建议关闭或调低免密支付额度

这些用户的Apple ID为何会被盗？多名安全专家表示，常见的方式包括伪造钓鱼页面、撞库等。

伪造钓鱼页面通常是先给用户发送邮件或短信，提醒用户账户存在风险，让用户登录伪造的Apple的页面修改密码，用户一旦输入真实账户密码，就会被盗取。撞库则是利用了大部人在不同平台上使用相同账号密码的习惯，利用用户在A平台上丢失的账户密码，登录其在B平台的账户。

10月10日凌晨，支付宝在其微博上发布“关于苹果手机的安全提示”声明，称对于苹果用户ID被盗刷一事，已经多次联系苹果公司并推动其尽快定位被盗原因，提升安全防范水平，并彻底解决用户权益损失的问题。

支付宝在声明中强调，在苹果公司未完全解决问题之前，无论用户的Apple ID绑定了哪种支付方式（包括支付宝、微信支付或者信用卡）都可能出现资金损失风险。

顶象安全技术专家田际云对寻找中国创客（ID：xjbmaker）表示，问题很有可能出现在绑定账户的免密支付环节上。“免密支付虽然很方便，但是却存在安全漏洞。“

在上述用户被盗刷的案例中，盗刷金额均为几百元不等的小额支出，但经过多笔消费后累计支出达到了数千元不等。

墨云安全CEO刘兵也表示，开启小额免密支付后，用户在购买虚拟商品时不需输入密码就可付款，在账户被盗的情况下，很容易就会被不法分子利用。

支付宝同样在声明中提醒用户，可以选择调低苹果支付的免密支付额度以最大限度保护支付宝账户资产安全。

而用户在被盗刷之后，面临的很可能是一个两不管的境地。

记者在微信支付关于苹果免密支付的授权协议中看到，在任何情况下，只要商户向财付通（即微信支付）发出支付指令，财付通就可按照该指令进行资金扣划，而财付通对支付指令的正确性、合法性、完整性、真实性均不承担任何法律责任，相关法律责任由用户和商户自行承担。

支付宝同样在协议中表示，支付宝只是被授权指令的执行方，除非支付宝没有依照相关第三方的指令进行操作，或操作指令错误，否则支付宝不对服务产生的损失和责任负责，相关损失及责任由用户和特定第三方协商解决。

田际云建议，相关用户可以选择关闭免密支付或者调低支付额度，在不购买任何软件或服务的情况下，可以选择不绑定支付账户。

相关报道: