揭秘薅羊毛過億的蘋果36技術黑產

*本文原創作者：守護者觀察，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

「微信下架打賞功能」事件后，讓許多人開始關注IAP（In App Purchase）消費，即正常用戶在iOS平台上消費后，都需要由蘋果與app服務提供方按比例進行收入分賬。有錢一起賺，是件好事。但是，無孔不入的黑產人員，也想從中分一杯羹。

2016年中旬開始，一種名為「蘋果36技術」的黑產開始以薅羊毛的方式侵害iOS平台上的多款遊戲產品，影響了蘋果公司和遊戲產品的收益。近日，騰訊守護者計劃安全團隊協助福建警方在南平、寧德兩地打掉3個犯罪團伙，抓獲嫌疑人20餘名，破獲了國內首起iOS遊戲小額盜刷案件，並針對蘋果36技術的黑色產業鏈進行剖析。

一、36技術的起源

蘋果公司在向用戶收取費用時，設計了40元以下小額充值，可以不經驗證購買，先派發商品的安全策略，目的是為了改善用戶體現。

然而，狡詐的黑產人員卻把它發展成一門可以牟利的生意。自2016年初開始，一種名為「蘋果36充值」的技術悄然在黑產圈盛行，遊戲行業成為了最主要的受害群體。

黑產人員利用蘋果的這一策略漏洞，綁定一張沒有餘額的銀行卡或者虛擬銀行卡，再通過家庭共享支付（即用一個主帳號綁定最多8個附屬帳號，所有附屬帳號的消費都可以通過主帳號進行支付）進行盜刷。通過該模式，可以使每個被共享的ID盜刷6元和30元兩筆小額費用。但是，蘋果公司通常僅對直接進行盜刷的被共享ID進行封號處罰，所以這種盜刷技術作案成本極低。

二、36技術具體手法

1.虛設大量帳號

要在iOS平台購買服務，需要具備幾個要件：一台蘋果設備、一個APPLE ID、一張銀行卡。由於APPLE ID是基於郵箱進行註冊，而每單盜刷完成後，蘋果公司都會對進行盜刷的帳號做封號處理，這也使得黑產人員需要獲得大量郵箱帳號。

目前，大多數國內網站註冊郵箱需要提供手機號碼等信息。因此，黑產人員便通過一些國外網站以便捷註冊的方式大量註冊郵箱帳號。

2.註冊APPLE ID帳號

郵箱帳號註冊完畢后，需要將其在蘋果官方網站以郵箱為用戶名註冊APPLE ID帳號。黑產人員先是利用軟體，通過文本導入郵箱帳號密碼，批量生成APPLE ID，然後利用軟體對註冊的ID進行批量激活。

這些生成出來的APPLE ID，無論是密碼還是安全問題，都完全一致，這也方便了黑產人員的後續使用。

3.設置家庭共享

黑產人員將銀行卡綁定在APPLE ID作為主帳號，設定家庭共享后，用8個附屬帳號各刷30元和6元。這樣，即使附屬帳號被蘋果判定為惡意帳號、被封號，也不影響主帳號的使用。

4.虛擬卡策略對抗

如果多次綁定附屬帳號進行小額盜刷，被蘋果公司判定為惡意用戶，而將主帳號與綁定的銀行卡封號列入黑名單，黑產人員也會利用一種名為虛擬卡的方式再次進行策略對抗。

騰訊守護者計劃安全團隊在配合公安機關辦案中發現，黑產人員在原有註冊銀行卡的基礎上，申請虛擬銀行卡，由於虛擬卡的卡號與原卡不同，即使該卡被蘋果列入黑名單，黑產人員也可以立即將該虛擬卡註銷，重新註冊新的虛擬卡，完全不影響後續使用。

5.蘋果牆刷機提高效率

盜刷后，為了避免設備因違反蘋果公司的安全策略被鎖機，黑產人員還要講設備進行刷機。他們會製作蘋果牆（將所有蘋果設備編號后懸挂在一面牆上），通過電腦屏控軟體批量控制蘋果手機進行刷機等動作，從而大大提升「工作效率」。

三、36技術帶來的危害

任何一款登錄在蘋果APPLE Store上的app,都可能成為36技術的受害者。蘋果公司與服務商的結算周期通常為3個月，這也由此帶來了兩點影響：其一，許多服務商長時間后才發現自身收到侵害。其二，在辦案過程中，由於受侵害時間較長，容易造成電子證據的缺失，為執法機關辦案帶來諸多不利影響。

當前，受36技術侵害的重災區集中在遊戲領域。黑產人員利用低價的優勢，在淘寶等網站上公然販賣遊戲金幣、鑽石等虛擬商品。

要識別這些商戶，很簡單，他們的共同特點是：提供的充值服務需要用戶提供遊戲的帳號、密碼，並且這些商戶只能提供iOS充值服務。

由於蘋果公司季度結算的模式，36技術對於蘋果公司和服務商雙方造成了大量的應收賬款壞賬，形成了雙輸的局面。

近日，蘋果公司也針對該問題進行了策略調整，對於新註冊的用戶限制其使用不經驗證購買先派發商品的模式。

但是，36技術並沒有因此消失，黑產人員已經在進行策略上的對抗。他們通過盜竊、購買、撞庫等形式，獲取大量老的APPLE ID帳號，而一些玩家也因為在充值時提供了自己的蘋果帳號，造成號碼被盜竊。

就這樣，雖然作案成本有所上升，但黑產人員還是繞開了蘋果公司的安全策略，繼續從事著36技術黑產。

黑與白的對抗仍在繼續

守護者計劃：2016年騰訊發揮自身大數據能力和多年對抗網路黑產經驗，聯合產業鏈、運營商、銀行、警方等多方力量，共同推出「守護者計劃」平台，打擊危害網路安全的犯罪行為。

以下鏈接為守護者計劃年度10大案例介紹