随着以支付宝与微信支付为代表的移动支付方式深入人心，其已经介入我们日常生活的方方面面，即使是壁垒森严如苹果，在也同样需要拥抱这两大支付巨头。不过在大家享受ios平台上使用支付宝的便捷之余，也同样有不法分子悄然盯上了这块“蛋糕”。
昨晚，支付宝官方微博发布了关于苹果手机的安全提示，并表示已经检测到部分苹果用户apple id被盗，由此带来绑定的支付工具遭遇资金损失。目前，苹果方面已回复表示正在积极解决，支付宝方面建议此类用户调低免密支付额度，以最大限度保护资金安全。
实际上进入8月以来，关于apple id被盗刷的新闻就不绝于耳，此次支付宝官方对外发布公告，很可能是因为收到各类咨询投诉实在太多，需要对用户做出统一的说明。
而对于苹果来说，apple id在其生态中的重要性不言而喻，几乎所有与苹果关联乃至部分第三方服务都需要通过apple id来获取。并且由于apple id关联大量个人信息，因此对其安全防护也同样倾注了大量的心血，一直以来攻破屏障的难度也非常高，存储包括apple id等各类密码的icloud钥匙串，采用的是aes-128加密，而类似imessages信息的加密技术，也同属于目前公认极为安全的对称加密算法。
apple id是怎么被盗的？
既然苹果对于账号安全的防护周密，黑客又是如何盗取apple id的呢？可能出乎绝大多数人的意料，在为数众多的案例中，都是受害人“主动”向黑客提供了账号密码。通常黑客最常见的手段就是“钓鱼”，例如收到一封与苹果官方信息类似的邮件，其具有相同的字体、格式、语法，甚至apple logo等等元素，表示你的账户出现问题，请“点击此处重置您的密码”，并附上一串url，如果没有仔细观察发信人信息，用户一旦点开并进行输入，也就意味着apple id与密码相当于主动交给了对方。
当然，“钓鱼”这种手法尽管老而弥坚，许多用户已经有了防范心态，自然相应的手段也推陈出新。现在出现了一种新颖的方式——山寨热门手游，并且只能用game center登陆，此后自然也就变成了类似的套路。
此外撞库也是一大途径，一旦用户的密码信息在某一个薄弱环节被泄露，黑客就会利用这些账号密码去尝试登陆用户的重要服务，例如qq、微信、支付宝和apple id等等。如果说上述途径都行不通，他们还会盯上你的邮箱，众所周知，apple id也是邮箱账户，一旦邮箱被盗，盗窃者会直接在苹果官网申请密码重置，就能方便的使用密码重置邮件来修改apple id中的密码了。
另外一个需要提出的事实是，在2016年11月1日app store接入支付宝之前，黑客拿到你的apple id，基本上除了盗刷账户余额或是绑定的信用卡之外，就只能搞一搞“锁机勒索”。但是这种方式可以凭借购买设备的发票等实体信息追回，并且被盗刷的资金也是会被苹果退款。
但是在支付宝接入之后，小额免密功能的出现，就让情况变得异常复杂。因为一旦开通这一功能，就能用apple id直接消费支付宝里的钱，这样的盗刷由于很难界定行为主体是否为用户本身，并且责任也并不全在苹果身上，因此通常也不会进行退款操作。
苹果不会理赔，支付宝同样也不会进行赔偿，在其免密支付协议中已经有过相关表述，“支付宝只是被授权指令的执行方，除非没有依照特定第三方的指令进行操作，或操作指令错误，否则支付宝不对本服务产生的损失和责任负责”。
以正合以奇胜，拿到退款也有招
那么真的没办法拿回被盗的财产呢?事实上还是有的，作为一家极端注重用户体验的企业，苹果虽然在纸面上表示只能“同情”并不会赔偿，但是请遵照下列操作步骤，依旧有一定的几率得到退款。致电苹果客服——“系统判定无法退款”——再次致电苹果高级客服——高级客服通过申请or不通过后申请工程部调查。通常在这一系列操作接入高级客服之后，苹果就会发邮件告诉你“这是一次破例的退款”。
这通操作并不困难，唯一要注意的是使用这一套操作之后，您在日后的正常消费之后再次退款就会面临一定的难度。归根结底还是海外企业普遍都极其相信用户，但是它也仅仅是一式“奇招”，可一可二不可三。
君不见，《孙子兵法》上就写到，“凡战者，以正合，以奇胜”。在出奇制胜之外，最正面的做法当然是要加强自我保护了。除了按照支付宝建议的调低免密支付的安全月限额之外，开启apple id的“两步验证功能”也是极其必须的一步，因为同时攻破手机和邮箱，比单单盗窃邮箱在难度上有着指数级的提升。
其实，apple id和支付宝两者接入之后带来的盗刷仅仅是个缩影，更为严重和混乱的是，各大app互相授权带来的监管空白。比如说，在当下用户越来越不愿意注册账号的情况下，很多网站为了引流和留存，开通了“授权登录”体系，通常涵盖了qq、微信、支付宝、微博等常用账号。
可是尽管目前经常采用的oauth协议本身安全，但架不住某些中小网站的技术有限，通过支付宝及qq等账号登陆这些网站的“access token”也面临着一定的安全隐患。因此，对于自身账号安全担忧的朋友，不妨登陆qq互联、微博“我的应用”、支付宝“通用-授权管理”等方式，来检查自己的授权登录，对于不再使用的授权，还是尽快取消的好。