iPhone被盗刷信用卡 手机安全如何防范？

安全风险的到来总是猝不及防。盘古团队发布iOS 9.2-9.3.3 越狱工具还不到一周，就有不少越狱玩家相继曝光，称自己的PayPal 帐号在越狱后被盗刷。

如今的越狱圈子已非早期那么简单。在这一周里，这些用户究竟遇见了多么心惊胆战的经历？

只持续了1 小时的新鲜感，瞬间被危机取代

时间：2016 年7 月25 日

越狱对象：升级至iOS 9.3.3 的iPhone 6

升级环境：一台为图形设计而装配的Windows 10 台式机

Reddit 用户MacOda正是在这样的条件下，用盘古最新发布的工具进行了一次越狱。在越狱之后，MacOda 安装了PokemonGoAnywhere、Masterball、PP 助手应用商店这几个插件。

不过，这位“有着多年越狱经验”的老用户似乎并没有从这次越狱中得到好处。仅仅一个小时后，有人暗地里登录了他的PayPal 帐号，向另一个PayPal 账户转了50 美元。这个不知道身处何地的黑客还曾尝试盗刷MacOda 的信用卡，但银行的保护机制及时排除了危机。

在Reddit 的越狱讨论区里，有同样遭遇的用户纷纷回帖投诉。卷进此次漏洞风波的不只有PayPal、信用卡，还有Facebook。

MacOda 公开自己的经历后，iOS 越狱界的祖师爷、Cydia 的开发者Saurik 站了出来，他表示自己相信盘古团队：

我很信任盘古团队，但我不确定中文版的越狱程序是否完全在盘古团队的掌控之下。我敢打赌，尽管我们需要在PP 助手上下载英文版，但这个版本只有盘古团队的成员接触过。

给iOS 设备越狱这事儿，在iPhone 4 时代的中国还非常流行。随着App Store 在中国的使用体验日益进步，很多原本需要通过越狱实现的系统功能也继承到新的iOS 里，越狱已经逐步淡出了大众的视线。

不过无论越不越狱，总会有不法分子希望拿到你手机里的机密信息。如果你能够按照爱范儿的建议，合理设置自己的数码设备和帐号，即使是最强大的黑客也不一定能刷爆你的信用卡，知道你在网络上隐藏起来的小秘密。

不想丢钱，就请用正确的方法绑定银行卡

别以为不越狱就不会丢钱，事实上会导致盗刷的漏洞可能存在于任何一款app，比如Uber。此前就有不少Uber 用户投诉称自己的Uber 帐号被盗，盗号者通过这些帐号刷单，刷单的同时盗刷了用户的信用卡。

其实只要换种姿势绑定支付方式，就能一定程度上降低风险。

尽可能不要直接绑定信用卡

信用卡，顾名思义与个人的征信记录有关。对于信用卡用户而言，丢钱还算是小事，万一降低自己的信用度，那可是会影响一辈子的，所以避免直接将信用卡与app 绑定。

不将鸡蛋放在一个篮子里

200 万余额的储蓄卡晒起来倍有面子，但如果你直接把如此高额的储蓄卡绑定在支付宝、微信、App Store，那就是想让自己成为黑客的受害者了。任何时候都不要将自己的主力银行卡与网络支付绑定。

玩转互联网，你还可以用这些措施保护自己

除了财产损失，信息安全风险还有带来一些更常见的问题，比如上文提到的盗号，手机重要资料的丢失和硬件故障。

不要拿主力机体验开发者的日常

在iOS 10 开发者预览版发布时，爱范儿已经提醒过：

如果有同学想尝鲜，千万不要拿自己的主力手机来冒险。

不要用主力机冒险

现在的智能手机承载着太多的东西——银行帐号、情侣自拍、与商业伙伴的微信聊天记录、重要短信……除非进行了100% 完整的信息备份，否则请不要轻易用主力手机越狱、刷最新的开发者预览版系统。

管理好自己的密码！

密码安全这事儿已经是老生常谈了，这一次，爱范儿来介绍点更加高级的密码管理方法。

首先，是选择一款靠谱的密码管理服务。一位在Google 从事运维工作的员工向爱范儿推荐了LastPass。这款于2008 年上线的密码管理器至今还未出现过数据泄露的事故。

管理好密码

如果你选择了LastPass、1Password 等密码管理软件，还可以活用软件内置的随机密码生成功能，生成一个毫无规律可言的随机密码，最大限度降低密码被破解的风险。

其次，在Google、Apple ID 等重要帐号中启用两步验证。开启两步验证后，登录对应帐号时除了输入密码外，还要输入一个有时效性的验证码。除非你的手机也落入了他人手中，否则要破解两步验证是非常困难的。

保持警惕

最后，也是最重要的一点——时刻保持警惕！犯罪分子入侵你帐号的方法不只有破解密码，还可以让你亲口说出来，比如设置一个假的客服电话。

他们还有可能给你发一个假的网站，并以“重要通知”的形式引诱你输入正确的帐号、密码。在写这篇文章的时候，我刚好收到了这样的短信，为此文完整性补上了一个重要的素材，呵呵。

警惕短信

所以，任何时候都不要在看起来不太正常的网站中输入密码。如何识别这些有问题的网站？最简单直接的方法就是看网站域名，只要看起来不正常，那就是不正常的网页。以上面的短信截图为例，苹果的域名绝不可能是“icloud-qq”。

总之，不要轻易登录来路不明的网站、看起来很官方的“官方通知”，不要随便输入帐号密码。

好了，对于普通用户而言，只要能按以上这些方法玩机，就不需要太过担心帐号安全，也不用因为害怕银行卡被盗刷而拒绝移动支付。

如果你身边有亲朋好友对最近频频出现的iPhone 被“绑架”忧心忡忡，不知道怎么管理众多帐号和密码，不妨把这篇文章转给他们看看。