正文
之前提到,由于苹果的账期是以季度计,腾讯守护者计划安全团队因此把追查时间回溯到了 2016 年初。
这群与黑产斡旋已久的老司机们马上发现了线索:
批量账号进行了小额充值,在 APPLE Store 里购买了腾讯的产品。
而且,诡异的是,这些账号都只有两笔购买记录:6 元和 30 元,折算成美元,大概是 1 美元和 5 美元。
这些 “小钱” 丢在路上,也许捡的兴趣不大,但是,对黑产来说,这是一笔可观的费用。
安全人员立马对苹果的充值验证机制进行了研究,一下发现了线索:
苹果公司在向用户收取费用时,设计了 40 元以下小额充值,可以不经验证购买,先派发商品的安全策略,目的是为了改善用户体验。
但是,在不验证的购买的情况下,6 元和 30 元的额度只能分别用一次,也就是说,一个账号至少可以 “薅” 走 36 元!
安全人员立马认识到问题的严重性。有了 “线头”,这个纷杂的谜团马上被捋清了。
黑产人员利用苹果的这一策略漏洞,绑定一张没有余额的银行卡或者虚拟银行卡,再通过家庭共享支付,用一个主帐号绑定最多 8 个附属帐号,所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式,可以使每个被共享的 ID 盗刷 6 元和 30 元两笔小额费用。
但是,其中最关键的一个 “漏洞” 是——苹果公司通常仅对直接进行盗刷的被共享 ID 进行封号处罚,而不会影响主 ID 。而且,在这个作案手段中,并不需要大量的银行卡,作案成本极低。
在调查中,安全人员还发现,受到影响的不止腾讯一家,还有很多公司,尤其是提供游戏类产品的公司受到了影响,光在这个案例里,被黑产薅走的羊毛就高达上亿元。
黑产究竟怎么得手的
这是怎么回事?我们先来梳理一下这个黑产背后的技术与步骤。
1. 虚设大量帐号
要在 iOS 平台购买服务,需要具备几个要件:一台苹果设备、一个 APPLE ID、一张银行卡。
