2016年中旬开始,一种名为“苹果36技术”的黑产开始以薅羊毛的方式侵害iOS平台上的多款游戏产品,影响了苹果公司和游戏产品的收益。近日,腾讯守护者计划安全团队协助福建警方在南平、宁德两地打掉3个犯罪团伙,抓获嫌疑人20余名,破获了国内首起iOS游戏小额盗刷案件,并针对苹果36技术的黑色产业链进行剖析。
一、36技术的起源
苹果公司在向用户收取费用时,设计了40元以下小额充值,可以不经验证购买,先派发商品的安全策略,目的是为了改善用户体现。
然而,狡诈的黑产人员却把它发展成一门可以牟利的生意。自2016年初开始,一种名为“苹果36充值”的技术悄然在黑产圈盛行,游戏行业成为了最主要的受害群体。
黑产人员利用苹果的这一策略漏洞,绑定一张没有余额的银行卡或者虚拟银行卡,再通过家庭共享支付(即用一个主帐号绑定最多8个附属帐号,所有附属帐号的消费都可以通过主帐号进行支付)进行盗刷。通过该模式,可以使每个被共享的ID盗刷6元和30元两笔小额费用。但是,苹果公司通常仅对直接进行盗刷的被共享ID进行封号处罚,所以这种盗刷技术作案成本极低。
二、36技术具体手法
1.虚设大量帐号
要在iOS平台购买服务,需要具备几个要件:一台苹果设备、一个APPLE ID、一张银行卡。由于APPLE ID是基于邮箱进行注册,而每单盗刷完成后,苹果公司都会对进行盗刷的帐号做封号处理,这也使得黑产人员需要获得大量邮箱帐号。
目前,大多数国内网站注册邮箱需要提供手机号码等信息。因此,黑产人员便通过一些国外网站以便捷注册的方式大量注册邮箱帐号。
2.注册APPLE ID帐号
邮箱帐号注册完毕后,需要将其在苹果官方网站以邮箱为用户名注册APPLE ID帐号。黑产人员先是利用软件,通过文本导入邮箱帐号密码,批量生成APPLE ID,然后利用软件对注册的ID进行批量激活。
这些生成出来的APPLE ID,无论是密码还是安全问题,都完全一致,这也方便了黑产人员的后续使用。
3.设置家庭共享
黑产人员将银行卡绑定在APPLE ID作为主帐号,设定家庭共享后,用8个附属帐号各刷30元和6元。这样,即使附属帐号被苹果判定为恶意帐号、被封号,也不影响主帐号的使用。
4.虚拟卡策略对抗
如果多次绑定附属帐号进行小额盗刷,被苹果公司判定为恶意用户,而将主帐号与绑定的银行卡封号列入黑名单,黑产人员也会利用一种名为虚拟卡的方式再次进行策略对抗。
腾讯守护者计划安全团队在配合公安机关办案中发现,黑产人员在原有注册银行卡的基础上,申请虚拟银行卡,由于虚拟卡的卡号与原卡不同,即使该卡被苹果列入黑名单,黑产人员也可以立即将该虚拟卡注销,重新注册新的虚拟卡,完全不影响后续使用。
5.苹果墙刷机提高效率
盗刷后,为了避免设备因违反苹果公司的安全策略被锁机,黑产人员还要讲设备进行刷机。他们会制作苹果墙(将所有苹果设备编号后悬挂在一面墙上),通过电脑屏控软件批量控制苹果手机进行刷机等动作,从而大大提升“工作效率”。
三、36技术带来的危害
任何一款登录在苹果APPLE Store上的app,都可能成为36技术的受害者。苹果公司与服务商的结算周期通常为3个月,这也由此带来了两点影响:其一,许多服务商长时间后才发现自身收到侵害。其二,在办案过程中,由于受侵害时间较长,容易造成电子证据的缺失,为执法机关办案带来诸多不利影响。
当前,受36技术侵害的重灾区集中在游戏领域。黑产人员利用低价的优势,在淘宝等网站上公然贩卖游戏金币、钻石等虚拟商品。
要识别这些商户,很简单,他们的共同特点是:提供的充值服务需要用户提供游戏的帐号、密码,并且这些商户只能提供iOS充值服务。
由于苹果公司季度结算的模式,36技术对于苹果公司和服务商双方造成了大量的应收账款坏账,形成了双输的局面。
近日,苹果公司也针对该问题进行了策略调整,对于新注册的用户限制其使用不经验证购买先派发商品的模式。
但是,36技术并没有因此消失,黑产人员已经在进行策略上的对抗。他们通过盗窃、购买、撞库等形式,获取大量老的APPLE ID帐号,而一些玩家也因为在充值时提供了自己的苹果帐号,造成号码被盗窃。
就这样,虽然作案成本有所上升,但黑产人员还是绕开了苹果公司的安全策略,继续从事着36技术黑产。
黑与白的对抗仍在继续
守护者计划:2016年腾讯发挥自身大数据能力和多年对抗网络黑产经验,联合产业链、运营商、银行、警方等多方力量,共同推出“守护者计划”平台,打击危害网络安全的犯罪行为。