2016年年中，蘋(píng)果公司開(kāi)始給 APPLE Store 的商戶(hù)進(jìn)行季度結(jié)算，負(fù)責(zé)和蘋(píng)果對(duì)接的騰訊游戲的相關(guān)員工覺(jué)得不對(duì)勁：蘋(píng)果給的金額和我們的實(shí)際銷(xiāo)售金額怎么相差這么多？

由于數(shù)額較大，騰訊方面立馬派出人員和蘋(píng)果對(duì)接，追問(wèn)這一筆丟失的款項(xiàng)。蘋(píng)果結(jié)算部門(mén)在美國(guó)，一開(kāi)始，沒(méi)有找到申訴的正確方向，騰訊方面隱隱覺(jué)得，莫不是跟黑產(chǎn)薅羊毛有關(guān)。

究竟是怎么回事？巨大的疑團(tuán)擺在面前。

騰訊安全管理專(zhuān)家馬瑞凱告訴雷鋒網(wǎng)，涉及巨額資產(chǎn)，剛開(kāi)始就想報(bào)警，但是此類(lèi)新型網(wǎng)絡(luò)案件，在報(bào)案前都需要捋清作案手法，警方才能更有效地順藤摸瓜抓人。

于是，一場(chǎng)白與黑的對(duì)抗就此拉開(kāi)……

老司機(jī)發(fā)現(xiàn)了其中的秘密

之前提到，由于蘋(píng)果的賬期是以季度計(jì)，騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)因此把追查時(shí)間回溯到了2016年初。

這群與黑產(chǎn)斡旋已久的老司機(jī)們馬上發(fā)現(xiàn)了線(xiàn)索：批量賬號(hào)進(jìn)行了小額充值，在 APPLE Store 里購(gòu)買(mǎi)了騰訊的產(chǎn)品。而且，詭異的是，這些賬號(hào)都只有兩筆購(gòu)買(mǎi)記錄：6 元和 30 元，折算成美元，大概是 1 美元和 5 美元。

這些“小錢(qián)”丟在路上，也許撿的興趣不大，但是，對(duì)黑產(chǎn)來(lái)說(shuō)，這是一筆可觀(guān)的費(fèi)用。

安全人員立馬對(duì)蘋(píng)果的充值驗(yàn)證機(jī)制進(jìn)行了研究，一下發(fā)現(xiàn)了線(xiàn)索：蘋(píng)果公司在向用戶(hù)收取費(fèi)用時(shí)，設(shè)計(jì)了40元以下小額充值，可以不經(jīng)驗(yàn)證購(gòu)買(mǎi)，先派發(fā)商品的安全策略，目的是為了改善用戶(hù)體驗(yàn)。但是，在不驗(yàn)證的購(gòu)買(mǎi)的情況下，6 元和 30 元的額度只能分別用一次，也就是說(shuō)，一個(gè)賬號(hào)至少可以“薅”走 36 元！

安全人員立馬認(rèn)識(shí)到問(wèn)題的嚴(yán)重性。有了“線(xiàn)頭”，這個(gè)紛雜的謎團(tuán)馬上被捋清了。

黑產(chǎn)人員利用蘋(píng)果的這一策略漏洞，綁定一張沒(méi)有余額的銀行卡或者虛擬銀行卡，再通過(guò)家庭共享支付，用一個(gè)主帳號(hào)綁定最多 8 個(gè)附屬帳號(hào)，所有附屬帳號(hào)的消費(fèi)都可以通過(guò)主帳號(hào)進(jìn)行支付進(jìn)行盜刷。通過(guò)該模式，可以使每個(gè)被共享的 ID盜刷 6 元和 30 元兩筆小額費(fèi)用。

但是，其中最關(guān)鍵的一個(gè)“漏洞”是——蘋(píng)果公司通常僅對(duì)直接進(jìn)行盜刷的被共享 ID 進(jìn)行封號(hào)處罰，而不會(huì)影響主 ID 。而且，在這個(gè)作案手段中，并不需要大量的銀行卡，作案成本極低。

在調(diào)查中，安全人員還發(fā)現(xiàn)，受到影響的不止騰訊一家，還有很多公司，尤其是提供游戲類(lèi)產(chǎn)品的公司受到了影響，光在這個(gè)案例里，被黑產(chǎn)薅走的羊毛就高達(dá)上億元。

黑產(chǎn)究竟怎么得手的

這是怎么回事？我們先來(lái)梳理一下這個(gè)黑產(chǎn)背后的技術(shù)與步驟。

1.虛設(shè)大量帳號(hào)

要在 iOS 平臺(tái)購(gòu)買(mǎi)服務(wù)，需要具備幾個(gè)要件：一臺(tái)蘋(píng)果設(shè)備、一個(gè)APPLE ID、一張銀行卡。

由于A(yíng)PPLE ID 是基于郵箱進(jìn)行注冊(cè)，而每單盜刷完成后，蘋(píng)果公司都會(huì)對(duì)進(jìn)行盜刷的帳號(hào)做封號(hào)處理，這也使得黑產(chǎn)人員需要獲得大量郵箱帳號(hào)。目前，大多數(shù)國(guó)內(nèi)網(wǎng)站注冊(cè)郵箱需要提供手機(jī)號(hào)碼等信息。因此，黑產(chǎn)人員便通過(guò)一些國(guó)外網(wǎng)站以便捷注冊(cè)的方式大量注冊(cè)郵箱帳號(hào)。

馬瑞凱告訴雷鋒網(wǎng)，在本案中，他們發(fā)現(xiàn)，黑產(chǎn)人員利用了大量俄羅斯網(wǎng)站的郵箱賬號(hào)，“只要寫(xiě)個(gè)簡(jiǎn)單的腳本，就可以自動(dòng)大批量注冊(cè)很多郵箱賬號(hào)”。

2.注冊(cè)APPLE ID帳號(hào)

郵箱帳號(hào)注冊(cè)完畢后，需要將其在蘋(píng)果官方網(wǎng)站以郵箱為用戶(hù)名，注冊(cè) APPLE ID 帳號(hào)。黑產(chǎn)人員先是利用軟件，通過(guò)文本導(dǎo)入郵箱帳號(hào)密碼，批量生成 APPLE ID，然后利用軟件對(duì)注冊(cè)的 ID 進(jìn)行批量激活。

這些生成出來(lái)的 APPLE ID，無(wú)論是密碼還是安全問(wèn)題，都完全一致，這也方便了黑產(chǎn)人員的后續(xù)使用。

雷鋒網(wǎng)編輯冒出一個(gè)疑問(wèn)：蘋(píng)果方面對(duì)這種批量生成 APPLE ID的手法沒(méi)有對(duì)抗措施嗎？

其實(shí)，互聯(lián)網(wǎng)企業(yè)的常用安全策略是，會(huì)檢測(cè)大量新注冊(cè)的 ID 是否由同一 IP 在短時(shí)間內(nèi)注冊(cè)，這樣，可以封禁這一IP ，阻止生成 APPLE ID。

但是，道高一尺，魔高一丈。黑產(chǎn)團(tuán)伙極其狡猾，他們使用了 VPN ，跳轉(zhuǎn) IP 后，這一封禁策略起不到作用。

3.設(shè)置家庭共享

黑產(chǎn)人員將銀行卡綁定在 APPLE ID 作為主帳號(hào)，設(shè)定家庭共享后，用8個(gè)附屬帳號(hào)各刷30元和6元。這樣，即使附屬帳號(hào)被蘋(píng)果判定為惡意帳號(hào)、被封號(hào)，也不影響主帳號(hào)的使用。

4.虛擬卡策略對(duì)抗

如果多次綁定附屬帳號(hào)進(jìn)行小額盜刷，被蘋(píng)果公司判定為惡意用戶(hù)，而將主帳號(hào)與綁定的銀行卡封號(hào)列入黑名單，黑產(chǎn)人員也會(huì)利用一種名為虛擬卡的方式再次進(jìn)行策略對(duì)抗。

騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)在配合公安機(jī)關(guān)辦案中發(fā)現(xiàn)，黑產(chǎn)人員在原有注冊(cè)銀行卡的基礎(chǔ)上，申請(qǐng)?zhí)摂M銀行卡，由于虛擬卡的卡號(hào)與原卡不同，即使該卡被蘋(píng)果列入黑名單，黑產(chǎn)人員也可以立即將該虛擬卡注銷(xiāo)，重新注冊(cè)新的虛擬卡，完全不影響后續(xù)使用。

雷鋒網(wǎng)了解到，其實(shí)，黑產(chǎn)網(wǎng)絡(luò)里，“四大件”是比較值錢(qián)的黑料：身份證、銀行卡、密碼、手機(jī)號(hào)。但是，這也意味著購(gòu)買(mǎi)成本會(huì)增高——一個(gè)賬號(hào)可以“薅”走 36 元，但黑料購(gòu)買(mǎi)成本總不能比 36 元高。

讓人大跌眼鏡的是，為了降低作案成本，背后的黑產(chǎn)團(tuán)伙甚至沒(méi)有到黑市購(gòu)買(mǎi)銀行卡，而是讓自己的員工親自辦理了少量的銀行卡，然后通過(guò)這些余額為 0 的銀行卡，又注冊(cè)了許多虛擬卡。

講真，論摳門(mén)只服它。

但是，蘋(píng)果在審核時(shí)，無(wú)法判定這是虛擬卡還是銀行卡號(hào)，在封禁 ID 時(shí)，同時(shí)頂多封禁了虛擬卡，一張?zhí)摂M卡被封禁后，原來(lái)的銀行卡還可以重新注冊(cè)虛擬卡。

5.蘋(píng)果墻刷機(jī)提高效率

其實(shí)，蘋(píng)果還有一項(xiàng)對(duì)抗策略——除了封 ID 和卡號(hào)，還可以追查到持有ID 的手機(jī)序列卡號(hào)。

盜刷后，為了避免設(shè)備因違反蘋(píng)果公司的安全策略被鎖機(jī)，黑產(chǎn)人員還要對(duì)手機(jī)進(jìn)行刷機(jī)。手動(dòng)一部部刷機(jī)太慢了，他們想出了一個(gè)辦法——制作蘋(píng)果墻（將所有蘋(píng)果設(shè)備編號(hào)后懸掛在一面墻上），通過(guò)電腦屏控軟件批量控制蘋(píng)果手機(jī)進(jìn)行刷機(jī)等動(dòng)作，從而大大提升“工作效率”。

來(lái)看看蘋(píng)果墻長(zhǎng)啥樣。

老司機(jī)的反擊

在搞清了對(duì)方的作案手法后，2016年9月，騰訊方面帶著技術(shù)分析找到了警方，趕緊報(bào)案，協(xié)助福建警方在南平、寧德兩地打掉3個(gè)犯罪團(tuán)伙，抓獲嫌疑人20余名，破獲了這起國(guó)內(nèi)首起 iOS 游戲小額盜刷案件。

雖說(shuō)是“小額”，但實(shí)際金額并不小。

馬瑞凱表示，任何一款登錄在蘋(píng)果 APPLE Store上的 App，都可能成為 36 技術(shù)的受害者。蘋(píng)果公司與服務(wù)商的結(jié)算周期通常為 3 個(gè)月，這也由此帶來(lái)了兩點(diǎn)影響：其一，許多服務(wù)商長(zhǎng)時(shí)間后才發(fā)現(xiàn)自身收到侵害。其二，在辦案過(guò)程中，由于受侵害時(shí)間較長(zhǎng)，容易造成電子證據(jù)的缺失，為執(zhí)法機(jī)關(guān)辦案帶來(lái)諸多不利影響。

當(dāng)前，受36技術(shù)侵害的重災(zāi)區(qū)集中在游戲領(lǐng)域。黑產(chǎn)人員利用低價(jià)的優(yōu)勢(shì)，在淘寶等網(wǎng)站上公然販賣(mài)游戲金幣、鉆石等虛擬商品。要識(shí)別這些商戶(hù)，很簡(jiǎn)單，他們的共同特點(diǎn)是：提供的充值服務(wù)需要用戶(hù)提供游戲的帳號(hào)、密碼，并且這些商戶(hù)只能提供 iOS 充值服務(wù)。

由于蘋(píng)果公司季度結(jié)算的模式，36 技術(shù)對(duì)于蘋(píng)果公司和服務(wù)商雙方造成了大量的應(yīng)收賬款壞賬，形成了雙輸?shù)木置妗?/p>

這起案件成功告破后，蘋(píng)果決定，對(duì)于新注冊(cè)的用戶(hù)限制其使用不經(jīng)驗(yàn)證購(gòu)買(mǎi)先派發(fā)商品的模式。

但是，黑產(chǎn)的反擊仍在繼續(xù)。他們通過(guò)盜竊、購(gòu)買(mǎi)、撞庫(kù)等形式，獲取大量老的 APPLE ID 帳號(hào)，而一些玩家也因?yàn)樵诔渲禃r(shí)提供了自己的蘋(píng)果帳號(hào)，造成號(hào)碼被盜竊。

你看，想占小便宜去充值，反倒可能讓自己的 ID 被盜。

雷鋒網(wǎng)了解到，如果說(shuō)，之前用新賬號(hào)“薅羊毛”成本只需要1元錢(qián)，那么現(xiàn)在這項(xiàng)對(duì)抗策略算是讓成本增加了幾塊錢(qián)。黑產(chǎn)總會(huì)想到各種辦法繞過(guò)安全人員的對(duì)抗策略，但是，對(duì)抗策略還是要做，這樣可以提高對(duì)方的作惡成本，如果有一天，成本提高到讓他們幾乎無(wú)利可圖，也許這就是事情的終結(jié)。

最后，黑產(chǎn)千萬(wàn)不要惹會(huì)自己破案的老司機(jī)……

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。