2016年年中，蘋果公司開始給 APPLE Store 的商戶進行季度結算，負責和蘋果對接的騰訊游戲的相關員工覺得不對勁：蘋果給的金額和我們的實際銷售金額怎么相差這么多？

由于數額較大，騰訊方面立馬派出人員和蘋果對接，追問這一筆丟失的款項。蘋果結算部門在美國，一開始，沒有找到申訴的正確方向，騰訊方面隱隱覺得，莫不是跟黑產薅羊毛有關。

究竟是怎么回事？巨大的疑團擺在面前。

騰訊安全管理專家馬瑞凱告訴雷鋒網，涉及巨額資產，剛開始就想報警，但是此類新型網絡案件，在報案前都需要捋清作案手法，警方才能更有效地順藤摸瓜抓人。

于是，一場白與黑的對抗就此拉開……

老司機發(fā)現了其中的秘密

之前提到，由于蘋果的賬期是以季度計，騰訊守護者計劃安全團隊因此把追查時間回溯到了2016年初。

這群與黑產斡旋已久的老司機們馬上發(fā)現了線索：批量賬號進行了小額充值，在 APPLE Store 里購買了騰訊的產品。而且，詭異的是，這些賬號都只有兩筆購買記錄：6 元和 30 元，折算成美元，大概是 1 美元和 5 美元。

這些“小錢”丟在路上，也許撿的興趣不大，但是，對黑產來說，這是一筆可觀的費用。

安全人員立馬對蘋果的充值驗證機制進行了研究，一下發(fā)現了線索：蘋果公司在向用戶收取費用時，設計了40元以下小額充值，可以不經驗證購買，先派發(fā)商品的安全策略，目的是為了改善用戶體驗。但是，在不驗證的購買的情況下，6 元和 30 元的額度只能分別用一次，也就是說，一個賬號至少可以“薅”走 36 元！

安全人員立馬認識到問題的嚴重性。有了“線頭”，這個紛雜的謎團馬上被捋清了。

黑產人員利用蘋果的這一策略漏洞，綁定一張沒有余額的銀行卡或者虛擬銀行卡，再通過家庭共享支付，用一個主帳號綁定最多 8 個附屬帳號，所有附屬帳號的消費都可以通過主帳號進行支付進行盜刷。通過該模式，可以使每個被共享的 ID盜刷 6 元和 30 元兩筆小額費用。

但是，其中最關鍵的一個“漏洞”是——蘋果公司通常僅對直接進行盜刷的被共享 ID 進行封號處罰，而不會影響主 ID 。而且，在這個作案手段中，并不需要大量的銀行卡，作案成本極低。

在調查中，安全人員還發(fā)現，受到影響的不止騰訊一家，還有很多公司，尤其是提供游戲類產品的公司受到了影響，光在這個案例里，被黑產薅走的羊毛就高達上億元。

黑產究竟怎么得手的

這是怎么回事？我們先來梳理一下這個黑產背后的技術與步驟。

1.虛設大量帳號

要在 iOS 平臺購買服務，需要具備幾個要件：一臺蘋果設備、一個APPLE ID、一張銀行卡。

由于APPLE ID 是基于郵箱進行注冊，而每單盜刷完成后，蘋果公司都會對進行盜刷的帳號做封號處理，這也使得黑產人員需要獲得大量郵箱帳號。目前，大多數國內網站注冊郵箱需要提供手機號碼等信息。因此，黑產人員便通過一些國外網站以便捷注冊的方式大量注冊郵箱帳號。

馬瑞凱告訴雷鋒網，在本案中，他們發(fā)現，黑產人員利用了大量俄羅斯網站的郵箱賬號，“只要寫個簡單的腳本，就可以自動大批量注冊很多郵箱賬號”。

2.注冊APPLE ID帳號

郵箱帳號注冊完畢后，需要將其在蘋果官方網站以郵箱為用戶名，注冊 APPLE ID 帳號。黑產人員先是利用軟件，通過文本導入郵箱帳號密碼，批量生成 APPLE ID，然后利用軟件對注冊的 ID 進行批量激活。

這些生成出來的 APPLE ID，無論是密碼還是安全問題，都完全一致，這也方便了黑產人員的后續(xù)使用。

雷鋒網編輯冒出一個疑問：蘋果方面對這種批量生成 APPLE ID的手法沒有對抗措施嗎？

其實，互聯(lián)網企業(yè)的常用安全策略是，會檢測大量新注冊的 ID 是否由同一 IP 在短時間內注冊，這樣，可以封禁這一IP ，阻止生成 APPLE ID。

但是，道高一尺，魔高一丈。黑產團伙極其狡猾，他們使用了 VPN ，跳轉 IP 后，這一封禁策略起不到作用。

3.設置家庭共享

黑產人員將銀行卡綁定在 APPLE ID 作為主帳號，設定家庭共享后，用8個附屬帳號各刷30元和6元。這樣，即使附屬帳號被蘋果判定為惡意帳號、被封號，也不影響主帳號的使用。

4.虛擬卡策略對抗

如果多次綁定附屬帳號進行小額盜刷，被蘋果公司判定為惡意用戶，而將主帳號與綁定的銀行卡封號列入黑名單，黑產人員也會利用一種名為虛擬卡的方式再次進行策略對抗。

騰訊守護者計劃安全團隊在配合公安機關辦案中發(fā)現，黑產人員在原有注冊銀行卡的基礎上，申請?zhí)摂M銀行卡，由于虛擬卡的卡號與原卡不同，即使該卡被蘋果列入黑名單，黑產人員也可以立即將該虛擬卡注銷，重新注冊新的虛擬卡，完全不影響后續(xù)使用。

雷鋒網了解到，其實，黑產網絡里，“四大件”是比較值錢的黑料：身份證、銀行卡、密碼、手機號。但是，這也意味著購買成本會增高——一個賬號可以“薅”走 36 元，但黑料購買成本總不能比 36 元高。

讓人大跌眼鏡的是，為了降低作案成本，背后的黑產團伙甚至沒有到黑市購買銀行卡，而是讓自己的員工親自辦理了少量的銀行卡，然后通過這些余額為 0 的銀行卡，又注冊了許多虛擬卡。

講真，論摳門只服它。

但是，蘋果在審核時，無法判定這是虛擬卡還是銀行卡號，在封禁 ID 時，同時頂多封禁了虛擬卡，一張?zhí)摂M卡被封禁后，原來的銀行卡還可以重新注冊虛擬卡。

5.蘋果墻刷機提高效率

其實，蘋果還有一項對抗策略——除了封 ID 和卡號，還可以追查到持有ID 的手機序列卡號。

盜刷后，為了避免設備因違反蘋果公司的安全策略被鎖機，黑產人員還要對手機進行刷機。手動一部部刷機太慢了，他們想出了一個辦法——制作蘋果墻（將所有蘋果設備編號后懸掛在一面墻上），通過電腦屏控軟件批量控制蘋果手機進行刷機等動作，從而大大提升“工作效率”。

來看看蘋果墻長啥樣。

老司機的反擊

在搞清了對方的作案手法后，2016年9月，騰訊方面帶著技術分析找到了警方，趕緊報案，協(xié)助福建警方在南平、寧德兩地打掉3個犯罪團伙，抓獲嫌疑人20余名，破獲了這起國內首起 iOS 游戲小額盜刷案件。

雖說是“小額”，但實際金額并不小。

馬瑞凱表示，任何一款登錄在蘋果 APPLE Store上的 App，都可能成為 36 技術的受害者。蘋果公司與服務商的結算周期通常為 3 個月，這也由此帶來了兩點影響：其一，許多服務商長時間后才發(fā)現自身收到侵害。其二，在辦案過程中，由于受侵害時間較長，容易造成電子證據的缺失，為執(zhí)法機關辦案帶來諸多不利影響。

當前，受36技術侵害的重災區(qū)集中在游戲領域。黑產人員利用低價的優(yōu)勢，在淘寶等網站上公然販賣游戲金幣、鉆石等虛擬商品。要識別這些商戶，很簡單，他們的共同特點是：提供的充值服務需要用戶提供游戲的帳號、密碼，并且這些商戶只能提供 iOS 充值服務。

由于蘋果公司季度結算的模式，36 技術對于蘋果公司和服務商雙方造成了大量的應收賬款壞賬，形成了雙輸的局面。

這起案件成功告破后，蘋果決定，對于新注冊的用戶限制其使用不經驗證購買先派發(fā)商品的模式。

但是，黑產的反擊仍在繼續(xù)。他們通過盜竊、購買、撞庫等形式，獲取大量老的 APPLE ID 帳號，而一些玩家也因為在充值時提供了自己的蘋果帳號，造成號碼被盜竊。

你看，想占小便宜去充值，反倒可能讓自己的 ID 被盜。

雷鋒網了解到，如果說，之前用新賬號“薅羊毛”成本只需要1元錢，那么現在這項對抗策略算是讓成本增加了幾塊錢。黑產總會想到各種辦法繞過安全人員的對抗策略，但是，對抗策略還是要做，這樣可以提高對方的作惡成本，如果有一天，成本提高到讓他們幾乎無利可圖，也許這就是事情的終結。

最后，黑產千萬不要惹會自己破案的老司機……

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。