泥潭日报 uscardforum · 每日精选

Chase和邮箱被盗号,UR全部被换成苹果礼卡(已拿回5/8,还在维权)

💳 玩卡 作者 lolol 原帖 #488466 ↗
内容摘要

Mac中毒导致Chase与Gmail会话被盗,UR被转赠苹果礼卡。

1. 关键信息

  • 240k UR被盗,Gmail与Chase 2FA被绕过(#1)。
  • MacOS.Riskware.Keygen疑似盗cookie(#1, #35)。
  • 10分钟明文.csv暴露全部密码(#1, #24)。
  • 已回150k,余90k未动(#31)。

2. 羊毛/优惠信息

无。

3. 最新动态

仍在与Chase维权,等待退款与系统修复(#1, #31)。

4. 争议或不同意见

  • 是否Mac/Win中毒与2FA机制存在分歧(#5, #8, #13, #18)。
  • 2FA绕过的可能:cookies被盗或已登录设备(#4, #11, #25, #28)。
  • 扩展与Jiffy Reader嫌疑被讨论(#35, #44)。

5. 行动建议

  • 重装系统并扫描,禁用可疑扩展(#26, #35)。
  • 改用物理2FA(U2F/FIDO2),避免明文存储密码(#19, #20, #43)。
原始内容
--- 第 1 楼来自 lolol 的回复 (2026-03-04 09:24:18 PST) ---

3月2号收到邮件,提示”Your digital Gift Card from Chase has arrived”,当时在开会,就把手机放勿扰了,之后回去查看email,发现收件箱里没有相关邮件,用关键词搜索Chase,才看到订单邮件,意识到大事不妙。

共被刷走240k UR,Gmail也被盗号,相关邮件应该是被盗号者隐藏了,无法在Inbox中看到,只能通过关键词搜索或All Mail中看到。

在事发两小时后打电话给Chase客服,聊了大概一个多小时,我的Chase和Gmail都是有2FA的,但是没有收到任何验证(邮件或手机号),不知道怎么登陆上的。客服当时没提供什么有用信息,只说在6-12个工作日内(大概,具体忘了)会把UR退回给我。

结果3月4号早上收到Chase电话,黑大姐很不客气,质疑我UR redeem的礼卡都发到我的邮箱了,我说我邮箱也被盗号了,她要求我把手机或者电脑拿到专业的地方去检查出具报告(认真的吗),然后我说我被盗号当天就在电脑上下载杀毒软件了,确实检测出病毒,然后已经清理了。客服要求我提供杀毒记录以及邮箱密码重置记录。

被盗号潜在原因:

有一台macbook用Malwarebytes扫出了threats,显示为MacOS.Riskware.Keygen
前两天由于换了新iPhone但是沟槽的iOS抽风,iCloud里面的密码同步死活打不开,示例,找苹果客服也没解决,上网研究了一下有挺多人有相同经历并且无解,于是我用那台macbook导出了我的iCloud里所有密码,然后导入了bitwarden,打算在iPhone上用bitwarden自动填密码,其中有大概10分钟的window那个存着我全部密码的.csv文件是无保护的
一个Amazon账户没有2FA,但是上面绑定的是一张deactivated C1 vitual credit card,收到了C1的消息,这件事发生在3月1号,但是C1当时只告诉我卡号最后4位,而我的virtual card manager里面以及把这张卡删了,所以不知道商家是谁,如果我当时能意识到我Amazon账户被盗,也许能避免之后的事情发生
一个Amazon账户被尝试登录,收到了2FA邮件

BTW UR换苹果礼卡是秒发货的,感觉应该是被秒redeem了,现在邮件里的redeem链接点进去还能看到礼卡兑换码,但是应该是已经被绑定了。曾想过要不要把这些礼卡绑到我的apple id,但是一是大概率已经被用了,二是不利于我追回UR,三是说不定apple id会被封。

总之刚把补充信息发给Chase,还在等消息,不知道能不能追回来,真的是身心俱疲,所有网站的密码都得换

BTW我这台iPhone还有个bug,示例,在设置里搜关键词只能搜出来已安装的软件,其他的什么都没有,比如我输入wifi理论上能搜出来wifi界面,但是我这里搜索为空。是最新版本的系统,恢复出厂也没用,有人知道怎么解决吗?

--- 第 2 楼来自 a131421 的回复 (2026-03-04 09:33:42 PST) ---

【引用自 lolol】:
其中有大概10分钟的window那个存着我全部密码的.csv文件是无保护的
不是你这么一说让长期明盘保存在本地.numbers的人开始焦虑了

--- 第 3 楼来自 bujidao 的回复 (2026-03-04 09:38:36 PST) ---

【引用自 a131421】:
期明盘保存在本地.numbers
重点难道不是lz怎么中毒的么

--- 第 4 楼来自 bujidao 的回复 (2026-03-04 09:41:15 PST) ---

【引用自 lolol】:
我的Chase和Gmail都是有2FA的,但是没有收到任何验证(邮件或手机号),不知道怎么登陆上的
要不就是已登录设备 要不就是2FA快速验证 毕竟邮箱也被盗了 (但是邮箱的2FA是怎么过的?)

--- 第 5 楼来自 jpoint 的回复 (2026-03-04 09:42:26 PST) ---

到底是Mac还是Win中毒了?

--- 第 6 楼来自 jpoint 的回复 (2026-03-04 09:43:14 PST) ---

建议去报警要个receipt. 撕X的时候有用

--- 第 7 楼来自 lolol 的回复 (2026-03-04 09:43:33 PST) ---

【引用自 bujidao】:
已登录设备
这个应该是不可能的,因为我用Google和Chase查看了已登录设备,都只有我的常用设备
【引用自 bujidao】:
但是邮箱的2FA是怎么过的?
不知道,也许被删了?但是我印象里Chase新登录是要问我debit card information的,甚至包括pin码,不知道他怎么有的

--- 第 8 楼来自 lolol 的回复 (2026-03-04 09:44:17 PST) ---

大概率Mac,Win我平时都不开机的

--- 第 9 楼来自 bujidao 的回复 (2026-03-04 09:44:18 PST) ---

lz怀疑是mac。。。或许lz应该澄清一下有没有win

--- 第 10 楼来自 lolol 的回复 (2026-03-04 09:45:36 PST) ---

有理,感谢,请问这种一般是打电话还是线下报警?

--- 第 11 楼来自 Sam 的回复 (2026-03-04 09:45:49 PST) ---

【引用自 lolol】:
我的Chase和Gmail都是有2FA的,但是没有收到任何验证(邮件或手机号),不知道怎么登陆上的。
电脑浏览器登录的session token被偷了?不过像银行之类的session有效期应该不长啊

--- 第 12 楼来自 jpoint 的回复 (2026-03-04 09:48:25 PST) ---

警察局网站会写

--- 第 13 楼来自 ayzg 的回复 (2026-03-04 09:55:40 PST) ---

看描述应该是Mac,同步了手机message然后email也被黑了,所以2fa也没用了

--- 第 14 楼来自 joxu 的回复 (2026-03-04 09:55:51 PST) ---

是不是乱点了钓鱼Email?

--- 第 15 楼来自 hmmm 的回复 (2026-03-04 09:58:02 PST) ---

MacOS.Riskware.Keygen:keygen是生成盗版注册码的,是你用过这个吗还是不小心下载的?

Mac通常是很安全的,很难相信Mac会完全被黑掉

--- 第 16 楼来自 theothershore 的回复 (2026-03-04 10:11:00 PST) ---

【引用自 lolol】:
有大概10分钟的window那个存着我全部密码的.csv文件是无保护的
不是安全专业的,但做password migration时候一般会把网线拔掉。然后导入完后,加密并彻底删除明码文本。。

--- 第 17 楼来自 qq290575790 的回复 (2026-03-04 10:11:56 PST) ---

2年前也是UR被盗 被换成了2000多到的home depot gift card。。。chase 当时还比较好 秒退了 UR

当时是小公司渣IT, VPN 被盗了。。公司电脑被远程操作

--- 第 18 楼来自 mitac215 的回复 (2026-03-04 10:17:50 PST) ---

有2fa也绕过了也太可怕了… 楼主真的没装双系统之类的吗 mac应该很难中毒啊

--- 第 19 楼来自 ctest 的回复 (2026-03-04 16:34:17 PST) ---

2FA还是设置物理KEY或者手机吧,装APP的手机不要装2FA应用,手机分离

我之前Facebook被盗号,找不到客服,好不容易找到申诉界面,账户里面marketplace有我的SSN,上传驾照,最后收到回复说只能确定是我账号,只能重新注册新账号,之后所有账号都用物理KEY做2FA了

--- 第 20 楼来自 canyu 的回复 (2026-03-04 16:51:51 PST) ---

物理key怎么设置?

--- 第 21 楼来自 duanxu 的回复 (2026-03-04 16:58:22 PST) ---

2FA怎么能过的?关键还是Gmail唉,有点儿难以置信。

我印象中记得G家如果换个设备登录除了2FA外,还得让你在原设备上点击数字啊

--- 第 22 楼来自 aeiou 的回复 (2026-03-04 17:00:21 PST) ---

Chase和其他大银行好像都不支持FIDO2 security key和authenticator,只能手机短信2FA

--- 第 23 楼来自 piupiu 的回复 (2026-03-04 17:06:04 PST) ---

所以说傲慢的大银行活该承担盗刷损失,明明最简单不过的功能,就非得学习东大SMS至上

我的以上抱怨和楼主的案例无关

楼主的案例应该是被偷cookies了,楼主Gmail用的什么浏览器

--- 第 24 楼来自 klaxien 的回复 (2026-03-04 17:21:21 PST) ---

【引用自 lolol】:
导入了bitwarden,打算在iPhone上用bitwarden自动填密码,其中有大概10分钟的window那个存着我全部密码的.csv文件是无保护的
这个应该影响不大,当电脑被黑的时候不管本地软件再怎么保护都不安全了,病毒也不知道本地一个平平无奇的csv里有你的密码…或者说不如病毒会盯着你那个“加密”的keychain/bitwarden来盗取密码,因为这是一个确定,已知的攻击目标。

--- 第 25 楼来自 lolol 的回复 (2026-03-04 17:36:13 PST) ---

【引用自 piupiu】:
Gmail用的什么浏览器
Chrome和Firefox都会用,应该确实是cookies的问题,咨询了一下Gemini说只有这个办法能绕过2FA

--- 第 26 楼来自 klaxien 的回复 (2026-03-04 17:44:55 PST) ---

如果是走的盗cookie,有一个疑点是银行的session都是非常短的,几分钟没动作就失效。就是为了防止cookie被盗用,他只是单纯黑进去读取到你的过期cookie的话做不了什么。除非你刚好这两天登过一次,然后被盗用了。

不管他是怎么盗的,现在听起来你得重装系统,因为楼上也有人说了,MacOS.Riskware.Keygen听起来不像是盗号木马的名字,虽然这种软件本身也不干净,藏了个盗号木马也不是不可能。

重装完切记不要运行任何旧系统带过来的可执行程序,必须执行的放到virustotal扫一遍再执行,然后检查浏览器的拓展同步,有没有被添加不认识的拓展程序。

--- 第 27 楼来自 Frosty 的回复 (2026-03-04 17:48:45 PST) ---

可怕,有杀毒软件推荐吗?windows security不够用?

--- 第 28 楼来自 piupiu 的回复 (2026-03-04 18:01:26 PST) ---

我的设想是病毒在后台监控chase.com的cookies,等楼主登录chase.com,病毒等楼主关闭chase网页后立刻把active cookies复制到病毒控制的没有显示界面的“浏览器”然后保活,直到坏人上线人工进行转分

Firefox背锅的可能性更高一点,因为Firefox包括cookies、历史记录等重要信息的profile文件夹是没做加密而且任何一个软件不需要提权就可以访问的。Chrome似乎做了加密

--- 第 29 楼来自 klaxien 的回复 (2026-03-04 18:05:38 PST) ---

我也觉得最有可能是被盗取cookie,但前期是lz最近登录过chase,假如是人工转分而非自动的话,对楼主其实是有利的,因为后台it能看到一个时间异常长的session一直在保活,明显不正常。

至于加密本身我还是那个想法,电脑被黑的时候本地的加密已经没有太大意义了(这是chrome官方的说法,当电脑被攻破的时候chrome就不再安全),除非永远也不在本地解密他。firefox现在市占率这么低,专门为mac+firefox这种组合开发个盗号木马我觉得可能性不大。

--- 第 30 楼来自 ctest 的回复 (2026-03-04 21:32:36 PST) ---

2FA页面有USB Key选项

--- 第 31 楼来自 lolol 的回复 (2026-03-06 18:14:45 PST) ---

Update: 其中一张卡被盗的150k回来了,显示为Courtesy adjustments,另一张卡被盗90k还没动静

--- 第 32 楼来自 ait 的回复 (2026-03-06 19:26:02 PST) ---

mac杀毒用什么

感到害怕。。。

--- 第 33 楼来自 李十三 的回复 (2026-03-06 19:39:22 PST) ---

Chase UR 兑换或者转积分的时候我记得是需要手机或者短信验证?

--- 第 34 楼来自 FancyIX 的回复 (2026-03-06 19:47:33 PST) ---

看了一下两位数的UR,感觉有些放心

--- 第 35 楼来自 webmaster 的回复 (2026-03-06 20:42:00 PST) ---

【引用自 lolol】:
MacOS.Riskware.Keygen,Chrome里有一些小众的extension,其中一个显示contains malware
Keygen不是病毒,字面意义只是Keygen而已

像是被extension偷了,可以截图给坛友鉴定一下

--- 第 36 楼来自 always666 的回复 (2026-03-06 20:44:07 PST) ---

之前UR被盗,几天后要回来了,但是加了个vocal word

--- 第 37 楼来自 lolol 的回复 (2026-03-06 20:45:05 PST) ---

当时发现这两个extension是有问题的,已经remove了

Screenshot 2026-03-06 224357819×434 18.8 KB

Screenshot 2026-03-06 224344824×436 21 KB

--- 第 38 楼来自 canyu 的回复 (2026-03-06 21:26:15 PST) ---

同问,一直觉得Mac安全,看来并非如此,怕怕

--- 第 39 楼来自 canyu 的回复 (2026-03-06 21:27:40 PST) ---

是不是避免安装Chorme的extension?

--- 第 40 楼来自 诸葛亮 的回复 (2026-03-06 21:51:28 PST) ---

【引用自 canyu】:
是避免安装Chorme的extension
尽量别装任何奇怪的extension(无论chrome或者别的)。。只装有信誉的大商家大网站的。

--- 第 41 楼来自 ctest 的回复 (2026-03-06 22:46:05 PST) ---

各大银行和券商大部分都是U2F认证,偶尔那么一两家才是FIDO2

--- 第 42 楼来自 非要我起名 的回复 (2026-03-07 10:22:13 PST) ---

小白求问:如果用1password可以避免lz的遭遇吗

--- 第 43 楼来自 lolol 的回复 (2026-03-07 16:15:12 PST) ---

感觉问题最大的地方就是电脑中病毒了,导致浏览器session cookie被盗,因此盗号者登录没有触发2FA

--- 第 44 楼来自 webmaster 的回复 (2026-03-09 00:42:40 PDT) ---

分析了一下,Video Downloader我没看出来什么特别的偷银行cookie行为,并且所有的脚本都只注入在了Vimeo相关域名上,应该问题不是特别大

Jiffy Reader被下架是因为内置了Mellowtel,他会把你的电脑做成代理服务器,用来做黑产

image2521×1394 389 KB

src: https://secureannex.com/blog/mellow-drama/1787×732 52.8 KB

顺带一提,这个Jiffy Reader似乎不是Github上的正版;另外还有一些Websocket部分挺sus,我还没仔细看,明天再看一眼behavior

--- 第 45 楼来自 877 的回复 (2026-03-09 01:05:11 PDT) ---

对这些***如数家珍,还能被盗号,淹死会水的

--- 第 46 楼来自 LoongIsSmart 的回复 (2026-03-09 01:21:05 PDT) ---

典型的 session cookie 被一锅端了。搞再复杂的 2FA,也架不住把密码存在明文 .csv 里还乱下 keygen 啊

💳 玩卡 · 其他高楼

← 返回 💳 玩卡