V2EX 有一个帖子《家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑苹果手机关掉ID双重认证，也顺便给大家提个醒》，详细描述了一个新的诈骗过程：在 Apple ID 开通双重认证的情况下，被高仿的李鬼 App 诱骗出密码，并被添加信任号码、家庭共享，再通过家庭共享成员完成消费。但整个过程中，原设备并未出现新设备登录时需要的双重认证验证码，也就是说双重验证并未起作用。

　　7 月 11 号下午，丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ，它的登录方式是 Apple ID 授权，这一步如果没有开启 iCloud+ 隐藏邮件地址的话，Apple ID 账号就会泄露，如图

　　接着，会出来一个跟 App Store 长得非常像的密码输入框，大家如果经常安装 App ，人脸识别失败的时候，就会有这个密码输入框，不熟悉 App Store 登录流程的话，很容易中招，如图

　　有了 Apple ID 的账号和密码，就可以登录了，这一步我跟丈母娘反复确认了，她没有见过双重认证的弹窗。

　　登录之后，他会把自己的号码，加入双重认证的信任号码中，目的是为了后续的登录可以通过自己认证

　　接下来，盗号者并不会直接用 Apple ID 下单支付，而是会创建一个家庭共享，加入另一个账号，由这个账号购买 App 中的虚拟商品

　　整个钓鱼过程，我有一点不太理解，在开启了双重认证的情况下，除非我丈母娘主动输入验证码，否则即使对方拿到了 Apple ID 的账号密码，应该也无法登录才对，这里请大佬帮忙解惑。

　　，这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码，然后将诈骗者的手机号加入双重认证的信任号码，直接远程抹掉设备，使用户无法接收扣款信息，并进行盗刷。

　　@BugOS 技术组 表示，当 iPhone 上出现输入 Apple ID 密码的窗口时，按 Home 键或上划手势尝试退出一下，能退出的都是在诈骗。