海报新闻记者 秦文 实习记者 王晓丹 报道

一张标价低至2元的山姆会员“次卡”，背后可能是精心设计的千元陷阱。近期，多位消费者向记者反映，他们在闲鱼平台购买低价会员卡后，导致绑定的苹果ID被盗刷，资金流向一款名为“向僵尸开炮-尸潮来袭”的热门手游。

消费者张女士损失1302元、消费者刘女士损失4544元……记者调查发现，这类以“山姆会员伪装”为外衣、以“提供苹果ID密码”为后门的盗刷骗局，在网络平台屡见不鲜。受害者多为苹果手机用户，且维权过程极为坎坷。

“我只是想逛个山姆，手机却被骗子盗刷了4000多元”

2月25日，张女士（化名）因不想直接支付260元办理山姆会员年费，在闲鱼平台寻找“次卡”体验机会，并花费1.9元通过支付宝付款成功购买。

本以为省了钱，令张女士没想到的是，在商家诱导下，她提供了苹果ID及密码用于“绑定权益”。不到一分钟，其微信支付渠道被刷走两笔648元和一笔6元，全部用于“向僵尸开炮-尸潮来袭”游戏充值，一共被盗刷了1302元。

同样的套路也发生在刘女士身上。3月8日，她花费33元购买山姆会员卡，提交苹果ID后，被该游戏盗刷6笔648元和2笔328元，共计4544元。

这类骗局并非孤例。以“闲鱼山姆盗刷”为关键词在小红书进行搜索，因在闲鱼购买山姆会员卡被骗的消费者发出的求助帖数量众多。

记者注意到，这些受害者的经历高度相似：目标都是苹果手机用户，交易场景都是闲鱼等二手平台，最终资金都流向了虚拟商品或游戏充值。

受害者方方告诉记者，她所在的维权群几天内就超过了200人，“很多人还在其他群里。”

“向僵尸开炮”成资金回收地？游戏内购机制解析

在此次骗局中，“向僵尸开炮-尸潮来袭”成为了多个案例的资金流向终点站。这款由海南盛昌网络科技有限公司开发的Roguelike射击手游，在App Store中高达4.5分且有63万个评价，同时因其高昂的内购价格而备受争议。

记者看到，游戏内购项目极为丰富，648元档位的“648元钻石”正好对应了受害者被刷走的单笔最大金额。此外，还有30元月卡、6元礼包等多种付费点。游戏描述称玩家可以“肆意横扫来袭尸潮”，但现实中，不法分子正肆意横扫受害者的钱包。

这款游戏的年龄评级为13+，包含“卡通或幻想暴力”以及“战利品箱”等元素。但显然，利用其内购系统进行洗钱的犯罪分子，比游戏中的僵尸更难对付。

一位业内人士向记者透露，骗子选择这类游戏作为盗刷出口，是因为虚拟道具具有“高价值、易转移”的特性。“骗子将盗刷来的钻石购买游戏道具，然后通过第三方平台低价抛售，或者打赏给同伙，完成资金洗白。”

苹果ID沦为“提款机密钥”，免密支付成最大后门

为什么提供苹果ID和密码会导致银行卡被盗刷？这背后涉及苹果支付体系的底层逻辑。

据此前报道，中国社会科学院财经战略研究院副院长尹振涛分析指出，问题的核心在于苹果免密支付的安全设置。“在苹果支付的背后，很多人挂的不是银行卡，而是第三方支付工具。这些支付工具又通过免密支付的权限，挂着我们的银行账户，链条复杂，但风险集中在前端，即苹果支付的安全认证环节。”

当用户将苹果ID和密码交给骗子后，骗子可以登录账户，关闭“购买前询问”或“人脸识别”功能，利用已绑定的支付宝或微信免密支付权限进行代扣。

值得注意的是，多位受害者向记者表示，扣款时并未要求输入密码或进行人脸识别。张女士质疑道：“这是苹果系统的漏洞吗？在扣款时，根本没有要求我确认，均为自动扣费。”

对此，苹果客服回应称，近期确实有多起盗刷投诉，并强调“苹果账户密码是唯一的核心身份凭证”，任何索要密码的行为都应当警惕。但法律人士指出，仅建议用户开启双重认证，并不能被视为穷尽了应尽的安全保障义务。

艰难找到闲鱼卖家竟是不知情的未成年人

当张女士通过艰难维权拿到闲鱼卖家的信息披露结果时，一个尴尬的现实浮出水面：卖家是一名17岁的未成年人，且声称“账号被盗，并不知情”。

针对此事，3月12日，海报新闻记者采访了山东国曜琴岛律师事务所律师李立红。李律师指出，这位闲鱼卖家的“未成年人”身份以及“账号被盗”的抗辩，并不能让他轻易免责。17岁的未成年人属于限制民事行为能力人，如果其实施诈骗行为造成了他人财产损害，应当由其监护人承担侵权责任。关于其“账号被盗，不知情”的辩解，在法律上也很难成立，根据《未成年人网络保护条例》以及相关实名制规定，账号拥有人有妥善保管自己账号的义务，如果他主张账号被盗，那么他需要提供证据，如早期的账号异地登录提醒、挂失记录等，以证明账号确实在交易时段被他人盗用，而非其本人操作。

值得庆幸的是，张女士的维权纠纷在3月12日下午有了转机。张女士向记者反映，在卖家所在地警方的全力配合下，该闲鱼卖家已经退还被盗刷的1306元，“因为他（闲鱼卖家）想我撤案，所以就把钱退给我了。”

平台在整个交易过程中，承担什么责任？

李律师指出，闲鱼平台作为交易场地的提供者，负有直接责任，消费者的损失是由于泄露个人苹果账户信息导致的，且全程在闲鱼聊天工具内完成，如果平台在消费者交易过程中，没有对明显的异常行为进行识别、拦截或风险提示，那么平台在技术监管上确实存在一定瑕疵。

其次，平台负有信息披露义务，消费者权益保护法及《网络交易平台规则监督管理办法》中均有规定，消费者在平台内合法权益受损，且无法联系到卖家时，平台有义务向消费者提供卖家的真实名称、地址和有效联系方式，如果平台拒绝提供，或者提供的信息不实导致消费者无法维权，消费者可以向平台要求赔偿。

众多消费者维权陷入“踢皮球”困局，资金追回仍是未知数

目前，张女士已经收到了退款，但刘女士仍在等待警方的调查结果，然而游戏公司退款的道路，更加崎岖。

“游戏客服这边更难联系，找他们要联系方式，他们不给，只能在线上聊。你把所有他们需要的证据给他了，他说我们会有专员联系你的，实际上根本没人联系你。”张女士向海报新闻记者控诉道。

海报新闻记者通过企查查App查询到，“向僵尸开炮-尸潮来袭”游戏背后的公司为海南盛昌网络科技有限公司，注册资本100万元，成立日期2020年5月26日。记者拨打了该公司的电话，客服表示：“该电话仅为游戏玩家遇到的游戏内问题服务”，对于记者提出的费用盗刷的资金流入以及游戏平台监管等问题，客服称不便透露。

李律师提醒消费者，在交易前拒绝任何脱离平台的沟通与操作；其次，要给资金加上一把安全锁，建议用户设置“购买前询问”，关闭免密支付功能，这能有效防止盗刷者操作；如果不幸被骗，不要只盯着游戏公司退款，因为虚拟充值很难追回，要第一时间报警，拿着受案回执立刻联系闲鱼人工客服，要求其披露卖家信息，及时维权。

3月13日上午10：53，海报新闻记者通过闲鱼平台再次搜索“山姆次卡”，仍然存在很多金额为2元左右的商品链接。

记者购买了其中一个链接商品并联系了卖家，闲鱼卖家提供了类似张女士和刘女士遇到的跳转链接，链接点进去后需输入苹果ID和密码。记者提出疑问后卖家并未回复，13：00再次打开闲鱼平台时，聊天界面已显示“闲鱼安全诈骗提醒”，卖家用户因违反法规或闲鱼相关规则账号已被处置。

但是，真正购买此类商品服务的消费者能否产生疑问并且等待两个小时呢？