iCloud雲端備份爆安全漏洞｜接一個電話 即損失500萬加密貨幣

iCloud雲端備份安全漏洞｜智能手機現已成為人們生活上不可或缺的工具，當我們將越來越多的個人資料放到手機內，自然就會有不法份子對它打起壞主意，而且欺騙用戶的手段更是層出不窮。
日前一名美國男子就打出了一通接往「Apple」 的電話，在數秒間儲存在手機內價值數百萬港幣的加密貨幣就此消失。

Apple 官方來電、男子一個舉動損失＄500 萬加密貨幣

日前，一名居住在美國的男子 Domenic Iacovone 在短時間內收到了多通未接來電，由於其來電顯示指出來電者的號碼為「Apple Inc.」、亦即是 Apple 官方，他未虞有詐進而回撥號碼。

對方在接到 Domenic 的電話後，就聲稱 Domenic 的 Apple ID 有登入問題，需要以其手機號碼接收一個確認 SMS，而當 Domenic 收到 SMS 並為對方提供確認碼後，本來存放於其手機加密貨幣錢包 App《MetaMask》內的加密資產即時全數被轉走，當中包括幾枚 NFT、以及約 10000 枚 Apecoin，總價值達到 ＄65 萬美元、換算即超過＄500 萬港幣。

MetaMask 重大漏洞、黑客可經 iCloud 盜取助記詞

是次 Domenic 被騙巨款之因，其實源於加密貨幣錢包 MetaMask 的一個安全漏洞。

MetaMask 是目前加密貨幣市場中最多人使用的虛擬錢包，其保安基礎除了一般會使用的密碼之外，還包含一組隨機生成的「助記詞(Recovery Phase)」，如果需要登入錢包，就需要知道這組助記詞；但在較早前，就有人在 MetaMask 的 iOS 版本發現漏洞，指其在 iCloud 備份時會連同包含助記詞的檔案上載，當黑客取得這個檔案後就可以進行解密並取得助記詞。

但 Domenic 犯的最大錯誤，卻是為黑客提供了 Apple ID 的認證碼，此舉直接讓黑客可以取得 iCloud 的存取權，繼而盜取當中的所有資料、只不過剛好包括了 MetaMask 內的加密資產。

Domenic 的巨額加密資產可以取回的機會微乎其微，但這次的教訓亦足以讓他人提高警覺 － 即使各位沒持有任何加密資產，都要切記一點：在絕大多數情況之下，任何機構的職員都不會要求用戶以口頭提供 SMS 認證碼，如果有人要求你這樣做，他極有可能是騙子。