親歷者講述:我如何搞掉蘋果36技術黑產,追回過億資產
本文作者:李勤
導語:任何一款登錄在蘋果 APPLE Store上的 App,都可能成為 36 技術的受害者。
2016年年中,蘋果公司開始給 APPLE Store 的商戶進行季度結算,負責和蘋果對接的騰訊遊戲的相關員工覺得不對勁:蘋果給的金額和我們的實際銷售金額怎麼相差這麼多?
由於數額較大,騰訊方面立馬派出人員和蘋果對接,追問這一筆丟失的款項。蘋果結算部門在美國,一開始,沒有找到申訴的正確方向,騰訊方面隱隱覺得,莫不是跟黑產薅羊毛有關。
究竟是怎麼回事?巨大的疑團擺在面前。
騰訊安全管理專家馬瑞凱告訴雷鋒網,涉及巨額資產,剛開始就想報警,但是此類新型網路案件,在報案前都需要捋清作案手法,警方才能更有效地順藤摸瓜抓人。
於是,一場白與黑的對抗就此拉開……
老司機發現了其中的秘密
之前提到,由於蘋果的賬期是以季度計,騰訊守護者計劃安全團隊因此把追查時間回溯到了2016年初。
這群與黑產斡旋已久的老司機們馬上發現了線索:批量賬號進行了小額充值,在 APPLE Store 里購買了騰訊的產品。而且,詭異的是,這些賬號都只有兩筆購買記錄:6 元和 30 元,折算成美元,大概是 1 美元和 5 美元。
這些「小錢」丟在路上,也許撿的興趣不大,但是,對黑產來說,這是一筆可觀的費用。
安全人員立馬對蘋果的充值驗證機制進行了研究,一下發現了線索:蘋果公司在向用戶收取費用時,設計了40元以下小額充值,可以不經驗證購買,先派發商品的安全策略,目的是為了改善用戶體現。但是,在不驗證的購買的情況下,6 元和 30 元的額度只能分別用一次,也就是說,一個賬號至少可以「薅」走 36 元!
安全人員立馬認識到問題的嚴重性。有了「線頭」,這個紛雜的謎團馬上被捋清了。
黑產人員利用蘋果的這一策略漏洞,綁定一張沒有餘額的銀行卡或者虛擬銀行卡,再通過家庭共享支付,用一個主帳號綁定最多 8 個附屬帳號,所有附屬帳號的消費都可以通過主帳號進行支付進行盜刷。通過該模式,可以使每個被共享的 ID盜刷 6 元和 30 元兩筆小額費用。
但是,其中最關鍵的一個「漏洞」是——蘋果公司通常僅對直接進行盜刷的被共享 ID 進行封號處罰,而不會影響主 ID 。而且,在這個作案手段中,並不需要大量的銀行卡,作案成本極低。
在調查中,安全人員還發現,受到影響的不止騰訊一家,還有很多公司,尤其是提供遊戲類產品的公司受到了影響,光在這個案例里,被黑產薅走的羊毛就高達上億元。
黑產究竟怎麼得手的
這是怎麼回事?我們先來梳理一下這個黑產背後的技術與步驟。
1.虛設大量帳號
要在 iOS 平台購買服務,需要具備幾個要件:一台蘋果設備、一個APPLE ID、一張銀行卡。
由於APPLE ID 是基於郵箱進行註冊,而每單盜刷完成後,蘋果公司都會對進行盜刷的帳號做封號處理,這也使得黑產人員需要獲得大量郵箱帳號。目前,大多數國內網站註冊郵箱需要提供手機號碼等信息。因此,黑產人員便通過一些國外網站以便捷註冊的方式大量註冊郵箱帳號。
馬瑞凱告訴雷鋒網,在本案中,他們發現,黑產人員利用了大量俄羅斯網站的郵箱賬號,「只要寫個簡單的腳本,就可以自動大批量註冊很多郵箱賬號」。
2.註冊APPLE ID帳號
郵箱帳號註冊完畢後,需要將其在蘋果官方網站以郵箱為用戶名,註冊 APPLE ID 帳號。黑產人員先是利用軟體,通過文本導入郵箱帳號密碼,批量生成 APPLE ID,然後利用軟體對註冊的 ID 進行批量激活。
這些生成出來的 APPLE ID,無論是密碼還是安全問題,都完全一致,這也方便了黑產人員的後續使用。
雷鋒網編輯冒出一個疑問:蘋果方面對這種批量生成 APPLE ID的手法沒有對抗措施嗎?
其實,互聯網企業的常用安全策略是,會檢測大量新註冊的 ID 是否由同一 IP 在短時間內註冊,這樣,可以封禁這一IP ,阻止生成 APPLE ID。
但是,道高一尺,魔高一丈。黑產團伙極其狡猾,他們使用了 VPN ,跳轉 IP 後,這一封禁策略起不到作用。
3.設置家庭共享
黑產人員將銀行卡綁定在 APPLE ID 作為主帳號,設定家庭共享後,用8個附屬帳號各刷30元和6元。這樣,即使附屬帳號被蘋果判定為惡意帳號、被封號,也不影響主帳號的使用。
4.虛擬卡策略對抗
如果多次綁定附屬帳號進行小額盜刷,被蘋果公司判定為惡意用戶,而將主帳號與綁定的銀行卡封號列入黑名單,黑產人員也會利用一種名為虛擬卡的方式再次進行策略對抗。
騰訊守護者計劃安全團隊在配合公安機關辦案中發現,黑產人員在原有註冊銀行卡的基礎上,申請虛擬銀行卡,由於虛擬卡的卡號與原卡不同,即使該卡被蘋果列入黑名單,黑產人員也可以立即將該虛擬卡註銷,重新註冊新的虛擬卡,完全不影響後續使用。
雷鋒網了解到,其實,黑產網路里,「四大件」是比較值錢的黑料:身份證、銀行卡、密碼、手機號。但是,這也意味著購買成本會增高——一個賬號可以「薅」走 36 元,但黑料購買成本總不能比 36 元高。
讓人大跌眼鏡的是,為了降低作案成本,背後的黑產團伙甚至沒有到黑市購買銀行卡,而是讓自己的員工親自辦理了少量的銀行卡,然後通過這些餘額為 0 的銀行卡,又註冊了許多虛擬卡。
講真,論摳門只服它。
但是,蘋果在審核時,無法判定這是虛擬卡還是銀行卡號,在封禁 ID 時,同時頂多封禁了虛擬卡,一張虛擬卡被封禁後,原來的銀行卡還可以重新註冊虛擬卡。
5.蘋果牆刷機提高效率
其實,蘋果還有一項對抗策略——除了封 ID 和卡號,還可以追查到持有ID 的手機序列卡號。
盜刷後,為了避免設備因違反蘋果公司的安全策略被鎖機,黑產人員還要對手機進行刷機。手動一部部刷機太慢了,他們想出了一個辦法——製作蘋果牆(將所有蘋果設備編號後懸掛在一面牆上),通過電腦屏控軟體批量控制蘋果手機進行刷機等動作,從而大大提升「工作效率」。
來看看蘋果牆長啥樣。
老司機的反擊
在搞清了對方的作案手法後,2016年9月,騰訊方面帶著技術分析找到了警方,趕緊報案,協助福建警方在南平、寧德兩地打掉3個犯罪團伙,抓獲嫌疑人20餘名,破獲了這起國內首起 iOS 遊戲小額盜刷案件。
雖說是「小額」,但實際金額並不小。
馬瑞凱表示,任何一款登錄在蘋果 APPLE Store上的 App,都可能成為 36 技術的受害者。蘋果公司與服務商的結算周期通常為 3 個月,這也由此帶來了兩點影響:其一,許多服務商長時間後才發現自身收到侵害。其二,在辦案過程中,由於受侵害時間較長,容易造成電子證據的缺失,為執法機關辦案帶來諸多不利影響。
當前,受36技術侵害的重災區集中在遊戲領域。黑產人員利用低價的優勢,在淘寶等網站上公然販賣遊戲金幣、鑽石等虛擬商品。要識別這些商戶,很簡單,他們的共同特點是:提供的充值服務需要用戶提供遊戲的帳號、密碼,並且這些商戶只能提供 iOS 充值服務。
由於蘋果公司季度結算的模式,36 技術對於蘋果公司和服務商雙方造成了大量的應收賬款壞賬,形成了雙輸的局面。
這起案件成功告破後,騰訊方面也順利地引起了「蘋果的重視」,蘋果決定,對於新註冊的用戶限制其使用不經驗證購買先派發商品的模式。
但是,黑產的反擊仍在繼續。他們通過盜竊、購買、撞庫等形式,獲取大量老的 APPLE ID 帳號,而一些玩家也因為在充值時提供了自己的蘋果帳號,造成號碼被盜竊。
你看,想佔小便宜去充值,反倒可能讓自己的 ID 被盜。
雷鋒網(公眾號:雷鋒網)了解到,如果說,之前用新賬號「薅羊毛」成本只需要1元錢,那麼現在這項對抗策略算是讓成本增加了幾塊錢。黑產總會想到各種辦法繞過安全人員的對抗策略,但是,對抗策略還是要做,這樣可以提高對方的作惡成本,如果有一天,成本提高到讓他們幾乎無利可圖,也許這就是事情的終結。
最後,黑產千萬不要惹會自己破案的老司機……
雷鋒網原創文章,網站轉載請至雷鋒網官網申請授權。但,歡迎轉發分享~
TAG:雷鋒網 |
※掏走谷歌476億,搞掉蘋果984億,這個女人把矽谷嚇破膽,連川普都不敢罵她
※這瓶神水驚呆了!30秒漱出扁桃體結石,搞掉萬年口臭,連老咽炎也緩解了
※魏忠賢號稱「九千歲」,為何崇禎搞掉他不費力氣?專家:本來就沒難度
※4百火箭彈沒戰果,卻搞掉1個防長!哈馬斯大喜,以總理愁死了!
※毛澤東說:「取消,搞掉那塊牌牌!我早就想搞掉它!」
※快速漱出扁桃體結石,搞掉萬年口臭,連老咽炎也緩解了
※魏忠賢一手遮天,為何崇禎搞掉他如此簡單?學者:沒任何技術含量
※肩背酸痛?這2個「土」方堅持用,搞掉了頸椎病,連腰突也緩解了
※若不是諸葛亮「搞掉」這些人,蜀漢早已無敵,結果後悔都來不及
※這個大臣臨死了還不老實,硬是一句話搞掉了三個重臣
※蜀漢的後期為何缺人才?要不是諸葛亮搞掉這些人,蜀漢早就無敵了
※蜀漢後期為何缺人才?若不是諸葛亮「搞掉」這些人,蜀漢早已無敵
※誰說坦克堅不可摧?用最原始的武器就能搞掉這隻鐵王八!
※為了「義氣」兩字,他暗下決心要報復,謀劃一場血案搞掉一個王朝
※美國空軍多次想搞掉「疣豬」攻擊機,結果國會給了一個更鬱悶的方案
※十一歲孩子能搞掉五輛坦克?日軍也有仿製「鐵拳」,卻毫無作為!
※這不是意外!美軍又被搞掉一架絕密戰機 俄盟友:敢動武就打航母
※和珅被嘉慶搞掉,並不是手裡錢多,而是手裡握的這個東西太大
※搞掉土耳其然後搞誰?美國國防部發言,這國又遭殃了
※大主宰:九幽雀處於虛弱期?不存在的,一上來就搞掉柳擎天一隻手