蘋果账戶盜刷密集出現，移動支付安全亟須更新

蘋果账戶盜刷事件近日再度密集出現，據悉，受害者遍布全國各地，資金損失從幾百元到數萬元不等。

在蘋果账戶盜刷事件發生後，總有人聲稱“幸好我隻用安卓，從來不用蘋果手機”，實在是有失偏頗。蘋果公司對於密碼設定、密碼保護和支付安全方面的保障，要比開放後台的安卓更為嚴密。況且，在移動支付時代，沒有任何一種能保證絕對安全的設備，作為用戶亦應與平台一般時刻保持警惕。

此次盜刷事件，基本情況都是受害者的蘋果账戶莫名其妙在其他設備登錄，然後出現密集的遊戲充值消費。據專家分析，已破獲的蘋果账戶盜刷案件，大多是黑客通過撞庫登錄用戶的蘋果账戶，再借由免密支付之便，直接盜刷用戶支付寶、微信或是銀行卡內的資金。也就是說，個人資訊泄露與平台支付安全保障漏洞是根源所在。

在這一類蘋果账戶盜刷事件中，有兩個重點，一是撞庫，一是免密支付。

所謂撞庫，指的是由於用戶在多個網站和蘋果系統都使用同一組密碼，黑客通過收集或購買已泄露的其他網站的用戶資訊及密碼，生成對應的字典表，嘗試批量登錄其他網站後，就會得到一系列可以登錄的蘋果账戶，從而完成盜刷的第一步。

個人資訊泄露當然是事故根源，但在個人資訊泄露極其嚴重、很多網站尤其是郵箱密碼保護方式落後的情況下，個人只能通過提升安全意識，並盡可能多地使用支付安全保障手段，來為自己的財產安全盡綿薄之力。首先，在互聯網時代，隻使用同一組或同幾組密碼是非常危險的，在資訊泄露日漸嚴重的狀況下，一組密碼走天下會令自己的個人資訊和財產完全暴露於黑客眼底且極易被盜。即使做不到每一個網站、郵箱和系統都使用完全不同的高級密碼，至少設定一些規則和規律，讓密碼各不相同。其次，蘋果有一個專屬的安全保障措施，叫“雙重認證”，在初始注冊蘋果账戶的蘋果設備上開啟這個服務後，會讓你輸入電話號碼，此後，只要你的蘋果账戶在別的設備上登錄，就會將四位驗證碼發送到電話號碼所在的這台初始設備並於螢幕中央顯示，必須在新設備上線時輸入這個四位驗證碼才能開啟蘋果账戶使用權。開啟雙重認證之後，盜刷的人必須拿著你的手機並且擁有你的蘋果账戶和密碼，才有可能成功盜刷。很多此次事件的受害者是被盜刷後才得知並開啟雙重認證的，也就是說，盜刷者並沒有突破蘋果的安全保障系統，而是鑽了用戶缺乏移動支付安全意識的空子。

必須注意的是，此次蘋果账戶盜刷事件的另一個重點，是免密支付，或者更確切地說，是用戶主觀意識上並不知情的免密支付。很多人為了方便，會將蘋果账戶勾連中國最常用的支付寶或微信作為支付方式，不過，很多人不知道的是，當用戶選擇支付寶或微信作為蘋果App Store的支付方式時，這兩款APP會默認開通免密支付，但很多受害者表示根本沒有意識到開通了免密支付。這並不能責怪用戶不細心，在這兩款默認開通免密支付的頁面裡，微信支付在螢幕中央還有較大字體的“開通免密支付”字樣進行提示，而支付寶只有螢幕最上端的程式標題會顯示“支付寶免密支付”，螢幕中央沒有任何提示，需要點開小字體的查看協定才能看到條款。事發後，支付寶提示用戶可以調低免密支付額度。然而，無論是開通免密支付後可能的風險和需要注意的事項，又或是提示調低免密支付額度以減低盜刷損失，都應該在用戶開通之前，以明顯的字樣和方式明確告知用戶。

此次盜刷事件的部分受害者已通過蘋果追回被盜資金，而無論是蘋果或是兩大移動支付巨頭，都應意識到移動支付安全戰正不斷更新，需要從盜刷事件中吸取教訓。在移動互聯網時代，移動支付是不可逆轉的趨勢，與盜刷和資訊安全攻擊的戰鬥是不可避免且曠日持久的，必須積極面對並時刻保持警惕。用戶財產安全不容有失，平台應承擔更多責任，在提示風險盡量降低損失的基礎上，進一步研究防範之法，盡力避免盜刷事件的一再發生。