2016 年年中,苹果公司开始给 APPLE Store 的商户进行季度结算,负责和苹果对接的腾讯游戏的相关员工觉得不对劲:苹果给的金额和我们的实际销售金额怎么相差这么多?
由于数额较大,腾讯方面立马派出人员和苹果对接,追问这一笔丢失的款项。苹果结算部门在美国,一开始,没有找到申诉的正确方向,腾讯方面隐隐觉得,莫不是跟黑产薅羊毛有关。
腾讯安全管理专家马瑞凯说,涉及巨额资产,刚开始就想报警,但是此类新型网络案件,在报案前都需要捋清作案手法,警方才能更有效地顺藤摸瓜抓人。
之前提到,由于苹果的账期是以季度计,腾讯守护者计划安全团队因此把追查时间回溯到了 2016 年初。
这群与黑产斡旋已久的老司机们马上发现了线索:批量账号进行了小额充值,在 APPLE Store 里购买了腾讯的产品。而且,诡异的是,这些账号都只有两笔购买记录:6 元和 30 元,折算成美元,大概是 1 美元和 5 美元。
这些 “小钱” 丢在路上,也许捡的兴趣不大,但是,对黑产来说,这是一笔可观的费用。
安全人员立马对苹果的充值验证机制进行了研究,一下发现了线索:苹果公司在向用户收取费用时,设计了 40 元以下小额充值,可以不经验证购买,先派发商品的安全策略,目的是为了改善用户体验。但是,在不验证的购买的情况下,6 元和 30 元的额度只能分别用一次,也就是说,一个账号至少可以 “薅” 走 36 元!
安全人员立马认识到问题的严重性。有了 “线头”,这个纷杂的谜团马上被捋清了。
黑产人员利用苹果的这一策略漏洞,绑定一张没有余额的银行卡或者虚拟银行卡,再通过家庭共享支付,用一个主帐号绑定最多 8 个附属帐号,所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式,可以使每个被共享的 ID 盗刷 6 元和 30 元两笔小额费用。
黑产人员利用苹果的这一策略漏洞,绑定一张没有余额的银行卡或者虚拟银行卡,再通过家庭共享支付,用一个主帐号绑定最多 8 个附属帐号,所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式,可以使每个被共享的 ID 盗刷 6 元和 30 元两笔小额费用。
但是,其中最关键的一个 “漏洞” 是——苹果公司通常仅对直接进行盗刷的被共享 ID 进行封号处罚,而不会影响主 ID 。而且,在这个作案手段中,并不需要大量的银行卡,作案成本极低。
在调查中,安全人员还发现,受到影响的不止腾讯一家,还有很多公司,尤其是提供游戏类产品的公司受到了影响,光在这个案例里,被黑产薅走的羊毛就高达上亿元。
要在 iOS 平台购买服务,需要具备几个要件:一台苹果设备、一个 APPLE ID、一张银行卡。
由于 APPLE ID 是基于邮箱进行注册,而每单盗刷完成后,苹果公司都会对进行盗刷的帐号做封号处理,这也使得黑产人员需要获得大量邮箱帐号。目前,大多数国内网站注册邮箱需要提供手机号码等信息。因此,黑产人员便通过一些国外网站以便捷注册的方式大量注册邮箱帐号。
马瑞凯说,在本案中,他们发现,黑产人员利用了大量俄罗斯网站的邮箱账号,“只要写个简单的脚本,就可以自动大批量注册很多邮箱账号”。
邮箱帐号注册完毕后,需要将其在苹果官方网站以邮箱为用户名,注册 APPLE ID 帐号。黑产人员先是利用软件,通过文本导入邮箱帐号密码,批量生成 APPLE ID,然后利用软件对注册的 ID 进行批量激活。
这些生成出来的 APPLE ID,无论是密码还是安全问题,都完全一致,这也方便了黑产人员的后续使用。
编辑冒出一个疑问:苹果方面对这种批量生成 APPLE ID 的手法没有对抗措施吗?
其实,互联网企业的常用安全策略是,会检测大量新注册的 ID 是否由同一 IP 在短时间内注册,这样,可以封禁这一 IP ,阻止生成 APPLE ID。
但是,道高一尺,魔高一丈。黑产团伙极其狡猾,他们使用了 VPN ,跳转 IP 后,这一封禁策略起不到作用。
黑产人员将银行卡绑定在 APPLE ID 作为主帐号,设定家庭共享后,用 8 个附属帐号各刷 30 元和 6 元。这样,即使附属帐号被苹果判定为恶意帐号、被封号,也不影响主帐号的使用。
如果多次绑定附属帐号进行小额盗刷,被苹果公司判定为恶意用户,而将主帐号与绑定的银行卡封号列入黑名单,黑产人员也会利用一种名为虚拟卡的方式再次进行策略对抗。
腾讯守护者计划安全团队在配合公安机关办案中发现,黑产人员在原有注册银行卡的基础上,申请虚拟银行卡,由于虚拟卡的卡号与原卡不同,即使该卡被苹果列入黑名单,黑产人员也可以立即将该虚拟卡注销,重新注册新的虚拟卡,完全不影响后续使用。
了解到,其实,黑产网络里,“四大件” 是比较值钱的黑料:身份证、银行卡、密码、手机号。但是,这也意味着购买成本会增高——一个账号可以 “薅” 走 36 元,但黑料购买成本总不能比 36 元高。
让人大跌眼镜的是,为了降低作案成本,背后的黑产团伙甚至没有到黑市购买银行卡,而是让自己的员工亲自办理了少量的银行卡,然后通过这些余额为 0 的银行卡,又注册了许多虚拟卡。
但是,苹果在审核时,无法判定这是虚拟卡还是银行卡号,在封禁 ID 时,同时顶多封禁了虚拟卡,一张虚拟卡被封禁后,原来的银行卡还可以重新注册虚拟卡。
其实,苹果还有一项对抗策略——除了封 ID 和卡号,还可以追查到持有 ID 的手机序列卡号。
盗刷后,为了避免设备因违反苹果公司的安全策略被锁机,黑产人员还要对手机进行刷机。手动一部部刷机太慢了,他们想出了一个办法——制作苹果墙(将所有苹果设备编号后悬挂在一面墙上),通过电脑屏控软件批量控制苹果手机进行刷机等动作,从而大大提升 “工作效率”。
在搞清了对方的作案手法后,2016 年 9 月,腾讯方面带着技术分析找到了警方美国苹果id和中国苹果id的区别,赶紧报案,协助福建警方在南平、宁德两地打掉 3 个犯罪团伙,抓获嫌疑人 20 余名,破获了这起国内首起 iOS 游戏小额盗刷案件。
马瑞凯表示,任何一款登录在苹果 APPLE Store 上的 App,都可能成为 36 技术的受害者。苹果公司与服务商的结算周期通常为 3 个月,这也由此带来了两点影响:其一,许多服务商长时间后才发现自身收到侵害。其二,在办案过程中,由于受侵害时间较长,容易造成电子证据的缺失,为执法机关办案带来诸多不利影响。
当前,受 36 技术侵害的重灾区集中在游戏领域。黑产人员利用低价的优势,在淘宝等网站上公然贩卖游戏金币、钻石等虚拟商品。要识别这些商户,很简单,他们的共同特点是:提供的充值服务需要用户提供游戏的帐号、密码,并且这些商户只能提供 iOS 充值服务。
由于苹果公司季度结算的模式,36 技术对于苹果公司和服务商双方造成了大量的应收账款坏账,形成了双输的局面。
涵盖:程序人生美国苹果id可以作为主帐号使用吗、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、Linux、数据库、运维等。返回搜狐,查看更多
