V2EX 有一個帖子《家人的 Apple ID 開了雙重認證，仍然被釣魚，求大佬解惑，也順便給大家提個醒》，詳細描述了一個新的詐騙過程：在 Apple ID 開通雙重認證的情況下，被高仿的李鬼 App 誘騙出密碼，并被添加信任號碼、家庭共享，再通過家庭共享成員完成消費。但整個過程中，原設(shè)備并未出現(xiàn)新設(shè)備登錄時需要的雙重認證驗證碼，也就是說雙重驗證并未起作用。

在那個帖子中，具體的被騙步驟是這樣的：

丈母娘曾經(jīng)在某 App 購買虛擬商品，App Store 綁定了微信免密支付。

7 月 11 號下午，丈母娘在 Apple Store 上下載了一個叫 “菜譜大全” 的 App ，它的登錄方式是 Apple ID 授權(quán)，這一步如果沒有開啟 iCloud+ 隱藏郵件地址的話，Apple ID 賬號就會泄露，如圖

接著，會出來一個跟 App Store 長得非常像的密碼輸入框，大家如果經(jīng)常安裝 App ，人臉識別失敗的時候，就會有這個密碼輸入框，不熟悉 App Store 登錄流程的話，很容易中招，如圖

有了 Apple ID 的賬號和密碼，就可以登錄了，這一步我跟丈母娘反復(fù)確認了，她沒有見過雙重認證的彈窗。

登錄之后，他會把自己的號碼，加入雙重認證的信任號碼中，目的是為了后續(xù)的登錄可以通過自己認證

到這一步，他已經(jīng)掌握了受害者 Apple ID 的所有權(quán)限。

接下來，盜號者并不會直接用 Apple ID 下單支付，而是會創(chuàng)建一個家庭共享，加入另一個賬號，由這個賬號購買 App 中的虛擬商品

疑問

整個釣魚過程，我有一點不太理解，在開啟了雙重認證的情況下，除非我丈母娘主動輸入驗證碼，否則即使對方拿到了 Apple ID 的賬號密碼，應(yīng)該也無法登錄才對，這里請大佬幫忙解惑。

以上內(nèi)容來自原帖。至于為何登錄了新設(shè)備或網(wǎng)頁而沒有彈出二次驗證，是此事的最大疑問。 根據(jù)博主@BugOS 技術(shù)組 的測試，受信設(shè)備中的應(yīng)用拉起隱藏 WebView 訪問 appleid.apple.com 無需雙重驗證，這一重大漏洞使得用戶掃個臉即可登錄。該 App 又用假的對話框騙取密碼，然后將詐騙者的手機號加入雙重認證的信任號碼，直接遠程抹掉設(shè)備，使用戶無法接收扣款信息，并進行盜刷。

@BugOS 技術(shù)組 表示，當 iPhone 上出現(xiàn)輸入 Apple ID 密碼的窗口時，按 Home 鍵或上劃手勢嘗試退出一下，能退出的都是在詐騙。