Zi 字媒體

雷鋒網按：2016 年年中，蘋果公司開始給 APPLE Store 的商戶進行季度結算，負責和蘋果對接的騰訊遊戲的相關員工覺得不對勁：蘋果給的金額和我們的實際銷售金額怎麼相差這麼多？由於數額較大，騰訊方面立馬派出人員和蘋果對接，追問這一筆丟失的款項。蘋果結算部門在美國，一開始，沒有找到申訴的正確方向，騰訊方面隱隱覺得，莫不是跟黑產薅羊毛有關。究竟是怎麼回事？巨大的疑團擺在面前。騰訊安全管理專家馬瑞凱告訴雷鋒網，涉及巨額資產，剛開始就想報警，但是此類新型網路案件，在報案前都需要捋清作案手法，警方才能更有效地順藤摸瓜抓人。於是，一場白與黑的對抗就此拉開……老司機發現了其中的秘密之前提到，由於蘋果的賬期是以季度計，騰訊守護者計劃安全團隊因此把追查時間回溯到了 2016 年初。這群與黑產斡旋已久的老司機們馬上發現了線索：批量賬號進行了小額充值，在 APPLE Store 里購買了騰訊的產品。而且，詭異的是，這些賬號都只有兩筆購買記錄：6 元和 30 元，折算成美元，大概是 1 美元和 5 美元。這些 「小錢」 丟在路上，也許撿的興趣不大，但是，對黑產來說，這是一筆可觀的費用。安全人員立馬對蘋果的充值驗證機制進行了研究，一下發現了線索：蘋果公司在向用戶收取費用時，設計了 40 元以下小額充值，可以不經驗證購買，先派發商品的安全策略，目的是為了改善用戶體驗。但是，在不驗證的購買的情況下，6 元和 30 元的額度只能分別用一次，也就是說，一個賬號至少可以 「薅」 走 36 元！安全人員立馬認識到問題的嚴重性。有了 「線頭」，這個紛雜的謎團馬上被捋清了。黑產人員利用蘋果的這一策略漏洞，綁定一張沒有餘額的銀行卡或者虛擬銀行卡，再通過家庭共享支付，用一個主帳號綁定最多 8 個附屬帳號，所有附屬帳號的消費都可以通過主帳號進行支付進行盜刷。通過該模式，可以使每個被共享的 ID 盜刷 6 元和 30 元兩筆小額費用。但是，其中最關鍵的一個 「漏洞」 是——蘋果公司通常僅對直接進行盜刷的被共享 ID 進行封號處罰，而不會影響主 ID 。而且，在這個作案手段中，並不需要大量的銀行卡，作案成本極低。在調查中，安全人員還發現，受到影響的不止騰訊一家，還有很多公司，尤其是提供遊戲類產品的公司受到了影響，光在這個案例里，被黑產薅走的羊毛就高達上億元。黑產究竟怎麼得手的這是怎麼回事？我們先來梳理一下這個黑產背後的技術與步驟。1. 虛設大量帳號要在 iOS 平台購買服務，需要具備幾個要件：一台蘋果設備、一個 APPLE ID、一張銀行卡。由於 APPLE ID 是基於郵箱進行註冊，而每單盜刷完成後，蘋果公司都會對進行盜刷的帳號做封號處理，這也使得黑產人員需要獲得大量郵箱帳號。目前，大多數國內網站註冊郵箱需要提供手機號碼等信息。因此，黑產人員便通過一些國外網站以便捷註冊的方式大量註冊郵箱帳號。馬瑞凱告訴雷鋒網，在本案中，他們發現，黑產人員利用了大量俄羅斯網站的郵箱賬號，「只要寫個簡單的腳本，就可以自動大批量註冊很多郵箱賬號」。2. 註冊 APPLE ID 帳號郵箱帳號註冊完畢后，需要將其在蘋果官方網站以郵箱為用戶名，註冊 APPLE ID 帳號。黑產人員先是利用軟體，通過文本導入郵箱帳號密碼，批量生成 APPLE ID，然後利用軟體對註冊的 ID 進行批量激活。這些生成出來的 APPLE ID，無論是密碼還是安全問題，都完全一致，這也方便了黑產人員的後續使用。雷鋒網編輯冒出一個疑問：蘋果方面對這種批量生成 APPLE ID 的手法沒有對抗措施嗎？其實，互聯網企業的常用安全策略是，會檢測大量新註冊的 ID 是否由同一 IP 在短時間內註冊，這樣，可以封禁這一 IP ，阻止生成 APPLE ID。但是，道高一尺，魔高一丈。黑產團伙極其狡猾，他們使用了 VPN ，跳轉 IP 后，這一封禁策略起不到作用。3. 設置家庭共享黑產人員將銀行卡綁定在 APPLE ID 作為主帳號，設定家庭共享后，用 8 個附屬帳號各刷 30 元和 6 元。這樣，即使附屬帳號被蘋果判定為惡意帳號、被封號，也不影響主帳號的使用。4. 虛擬卡策略對抗如果多次綁定附屬帳號進行小額盜刷，被蘋果公司判定為惡意用戶，而將主帳號與綁定的銀行卡封號列入黑名單，黑產人員也會利用一種名為虛擬卡的方式再次進行策略對抗。騰訊守護者計劃安全團隊在配合公安機關辦案中發現，黑產人員在原有註冊銀行卡的基礎上，申請虛擬銀行卡，由於虛擬卡的卡號與原卡不同，即使該卡被蘋果列入黑名單，黑產人員也可以立即將該虛擬卡註銷，重新註冊新的虛擬卡，完全不影響後續使用。雷鋒網了解到，其實，黑產網路里，「四大件」 是比較值錢的黑料：身份證、銀行卡、密碼、手機號。但是，這也意味著購買成本會增高——一個賬號可以 「薅」 走 36 元，但黑料購買成本總不能比 36 元高。讓人大跌眼鏡的是，為了降低作案成本，背後的黑產團伙甚至沒有到黑市購買銀行卡，而是讓自己的員工親自辦理了少量的銀行卡，然後通過這些餘額為 0 的銀行卡，又註冊了許多虛擬卡。講真，論摳門只服它。但是，蘋果在審核時，無法判定這是虛擬卡還是銀行卡號，在封禁 ID 時，同時頂多封禁了虛擬卡，一張虛擬卡被封禁后，原來的銀行卡還可以重新註冊虛擬卡。5. 蘋果牆刷機提高效率其實，蘋果還有一項對抗策略——除了封 ID 和卡號，還可以追查到持有 ID 的手機序列卡號。盜刷后，為了避免設備因違反蘋果公司的安全策略被鎖機，黑產人員還要對手機進行刷機。手動一部部刷機太慢了，他們想出了一個辦法——製作蘋果牆（將所有蘋果設備編號后懸挂在一面牆上），通過電腦屏控軟體批量控制蘋果手機進行刷機等動作，從而大大提升 「工作效率」。來看看蘋果牆長啥樣。老司機的反擊在搞清了對方的作案手法后，2016 年 9 月，騰訊方面帶著技術分析找到了警方，趕緊報案，協助福建警方在南平、寧德兩地打掉 3 個犯罪團伙，抓獲嫌疑人 20 余名，破獲了這起國內首起 iOS 遊戲小額盜刷案件。雖說是 「小額」，但實際金額並不小。馬瑞凱表示，任何一款登錄在蘋果 APPLE Store 上的 App，都可能成為 36 技術的受害者。蘋果公司與服務商的結算周期通常為 3 個月，這也由此帶來了兩點影響：其一，許多服務商長時間后才發現自身收到侵害。其二，在辦案過程中，由於受侵害時間較長，容易造成電子證據的缺失，為執法機關辦案帶來諸多不利影響。當前，受 36 技術侵害的重災區集中在遊戲領域。黑產人員利用低價的優勢，在淘寶等網站上公然販賣遊戲金幣、鑽石等虛擬商品。要識別這些商戶，很簡單，他們的共同特點是：提供的充值服務需要用戶提供遊戲的帳號、密碼，並且這些商戶只能提供 iOS 充值服務。由於蘋果公司季度結算的模式，36 技術對於蘋果公司和服務商雙方造成了大量的應收賬款壞賬，形成了雙輸的局面。這起案件成功告破后，蘋果決定，對於新註冊的用戶限制其使用不經驗證購買先派發商品的模式。但是，黑產的反擊仍在繼續。他們通過盜竊、購買、撞庫等形式，獲取大量老的 APPLE ID 帳號，而一些玩家也因為在充值時提供了自己的蘋果帳號，造成號碼被盜竊。你看，想佔小便宜去充值，反倒可能讓自己的 ID 被盜。雷鋒網 () 了解到，如果說，之前用新賬號 「薅羊毛」 成本只需要 1 元錢，那麼現在這項對抗策略算是讓成本增加了幾塊錢。黑產總會想到各種辦法繞過安全人員的對抗策略，但是，對抗策略還是要做，這樣可以提高對方的作惡成本，如果有一天，成本提高到讓他們幾乎無利可圖，也許這就是事情的終結。最後，黑產千萬不要惹會自己破案的老司機……