2016年年中,苹果公司开始给 APPLE Store 的商户进行季度结算,负责和苹果对接的腾讯游戏的相关员工觉得不对劲:苹果给的金额和我们的实际销售金额怎么相差这么多?
由于数额较大,腾讯方面立马派出人员和苹果对接,追问这一笔丢失的款项。苹果结算部门在美国,一开始,没有找到申诉的正确方向,腾讯方面隐隐觉得,莫不是跟黑产薅羊毛有关。
究竟是怎么回事?巨大的疑团摆在面前。
腾讯安全管理专家马瑞凯告诉雷锋网,涉及巨额资产,刚开始就想报警,但是此类新型网络案件,在报案前都需要捋清作案手法,警方才能更有效地顺藤摸瓜抓人。
于是,一场白与黑的对抗就此拉开……
老司机发现了其中的秘密
之前提到,由于苹果的账期是以季度计,腾讯守护者计划安全团队因此把追查时间回溯到了2016年初。
这群与黑产斡旋已久的老司机们马上发现了线索:批量账号进行了小额充值,在 APPLE Store 里购买了腾讯的产品。而且,诡异的是,这些账号都只有两笔购买记录:6 元和 30 元,折算成美元,大概是 1 美元和 5 美元。
这些“小钱”丢在路上,也许捡的兴趣不大,但是,对黑产来说,这是一笔可观的费用。
安全人员立马对苹果的充值验证机制进行了研究,一下发现了线索:苹果公司在向用户收取费用时,设计了40元以下小额充值,可以不经验证购买,先派发商品的安全策略,目的是为了改善用户体验。但是,在不验证的购买的情况下,6 元和 30 元的额度只能分别用一次,也就是说,一个账号至少可以“薅”走 36 元!
安全人员立马认识到问题的严重性。有了“线头”,这个纷杂的谜团马上被捋清了。
黑产人员利用苹果的这一策略漏洞,绑定一张没有余额的银行卡或者虚拟银行卡,再通过家庭共享支付,用一个主帐号绑定最多 8 个附属帐号,所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式,可以使每个被共享的 ID盗刷 6 元和 30 元两笔小额费用。
但是,其中最关键的一个“漏洞”是——苹果公司通常仅对直接进行盗刷的被共享 ID 进行封号处罚,而不会影响主 ID 。而且,在这个作案手段中,并不需要大量的银行卡,作案成本极低。
在调查中,安全人员还发现,受到影响的不止腾讯一家,还有很多公司,尤其是提供游戏类产品的公司受到了影响,光在这个案例里,被黑产薅走的羊毛就高达上亿元。
黑产究竟怎么得手的
这是怎么回事?我们先来梳理一下这个黑产背后的技术与步骤。
1.虚设大量帐号
要在 iOS 平台购买服务,需要具备几个要件:一台苹果设备、一个APPLE ID、一张银行卡。
由于APPLE ID 是基于邮箱进行注册,而每单盗刷完成后,苹果公司都会对进行盗刷的帐号做封号处理,这也使得黑产人员需要获得大量邮箱帐号。目前,大多数国内网站注册邮箱需要提供手机号码等信息。因此,黑产人员便通过一些国外网站以便捷注册的方式大量注册邮箱帐号。
马瑞凯告诉雷锋网,在本案中,他们发现,黑产人员利用了大量俄罗斯网站的邮箱账号,“只要写个简单的脚本,就可以自动大批量注册很多邮箱账号”。
2.注册APPLE ID帐号
邮箱帐号注册完毕后,需要将其在苹果官方网站以邮箱为用户名,注册 APPLE ID 帐号。黑产人员先是利用软件,通过文本导入邮箱帐号密码,批量生成 APPLE ID,然后利用软件对注册的 ID 进行批量激活。
这些生成出来的 APPLE ID,无论是密码还是安全问题,都完全一致,这也方便了黑产人员的后续使用。
雷锋网(公众号:雷锋网)编辑冒出一个疑问:苹果方面对这种批量生成 APPLE ID的手法没有对抗措施吗?
其实,互联网企业的常用安全策略是,会检测大量新注册的 ID 是否由同一 IP 在短时间内注册,这样,可以封禁这一IP ,阻止生成 APPLE ID。
但是,道高一尺,魔高一丈。黑产团伙极其狡猾,他们使用了 VPN ,跳转 IP 后,这一封禁策略起不到作用。
3.设置家庭共享
黑产人员将银行卡绑定在 APPLE ID 作为主帐号,设定家庭共享后,用8个附属帐号各刷30元和6元。这样,即使附属帐号被苹果判定为恶意帐号、被封号,也不影响主帐号的使用。
4.虚拟卡策略对抗
如果多次绑定附属帐号进行小额盗刷,被苹果公司判定为恶意用户,而将主帐号与绑定的银行卡封号列入黑名单,黑产人员也会利用一种名为虚拟卡的方式再次进行策略对抗。
腾讯守护者计划安全团队在配合公安机关办案中发现,黑产人员在原有注册银行卡的基础上,申请虚拟银行卡,由于虚拟卡的卡号与原卡不同,即使该卡被苹果列入黑名单,黑产人员也可以立即将该虚拟卡注销,重新注册新的虚拟卡,完全不影响后续使用。
雷锋网了解到,其实,黑产网络里,“四大件”是比较值钱的黑料:身份证、银行卡、密码、手机号。但是,这也意味着购买成本会增高——一个账号可以“薅”走 36 元,但黑料购买成本总不能比 36 元高。
让人大跌眼镜的是,为了降低作案成本,背后的黑产团伙甚至没有到黑市购买银行卡,而是让自己的员工亲自办理了少量的银行卡,然后通过这些余额为 0 的银行卡,又注册了许多虚拟卡。
讲真,论抠门只服它。
但是,苹果在审核时,无法判定这是虚拟卡还是银行卡号,在封禁 ID 时,同时顶多封禁了虚拟卡,一张虚拟卡被封禁后,原来的银行卡还可以重新注册虚拟卡。
5.苹果墙刷机提高效率
其实,苹果还有一项对抗策略——除了封 ID 和卡号,还可以追查到持有ID 的手机序列卡号。
盗刷后,为了避免设备因违反苹果公司的安全策略被锁机,黑产人员还要对手机进行刷机。手动一部部刷机太慢了,他们想出了一个办法——制作苹果墙(将所有苹果设备编号后悬挂在一面墙上),通过电脑屏控软件批量控制苹果手机进行刷机等动作,从而大大提升“工作效率”。
来看看苹果墙长啥样。
老司机的反击
在搞清了对方的作案手法后,2016年9月,腾讯方面带着技术分析找到了警方,赶紧报案,协助福建警方在南平、宁德两地打掉3个犯罪团伙,抓获嫌疑人20余名,破获了这起国内首起 iOS 游戏小额盗刷案件。
虽说是“小额”,但实际金额并不小。
马瑞凯表示,任何一款登录在苹果 APPLE Store上的 App,都可能成为 36 技术的受害者。苹果公司与服务商的结算周期通常为 3 个月,这也由此带来了两点影响:其一,许多服务商长时间后才发现自身收到侵害。其二,在办案过程中,由于受侵害时间较长,容易造成电子证据的缺失,为执法机关办案带来诸多不利影响。
当前,受36技术侵害的重灾区集中在游戏领域。黑产人员利用低价的优势,在淘宝等网站上公然贩卖游戏金币、钻石等虚拟商品。要识别这些商户,很简单,他们的共同特点是:提供的充值服务需要用户提供游戏的帐号、密码,并且这些商户只能提供 iOS 充值服务。
由于苹果公司季度结算的模式,36 技术对于苹果公司和服务商双方造成了大量的应收账款坏账,形成了双输的局面。
这起案件成功告破后,苹果决定,对于新注册的用户限制其使用不经验证购买先派发商品的模式。
但是,黑产的反击仍在继续。他们通过盗窃、购买、撞库等形式,获取大量老的 APPLE ID 帐号,而一些玩家也因为在充值时提供了自己的苹果帐号,造成号码被盗窃。
你看,想占小便宜去充值,反倒可能让自己的 ID 被盗。
雷锋网了解到,如果说,之前用新账号“薅羊毛”成本只需要1元钱,那么现在这项对抗策略算是让成本增加了几块钱。黑产总会想到各种办法绕过安全人员的对抗策略,但是,对抗策略还是要做,这样可以提高对方的作恶成本,如果有一天,成本提高到让他们几乎无利可图,也许这就是事情的终结。
最后,黑产千万不要惹会自己破案的老司机……
本文作者:李勤
本文转自雷锋网禁止二次转载,原文链接