2016 年年中，苹果公司开始给 APPLE Store 的商户进行季度结算，负责和苹果对接的腾讯游戏的相关员工觉得不对劲：苹果给的金额和我们的实际销售金额怎么相差这么多？

　　由于数额较大，腾讯方面立马派出人员和苹果对接，追问这一笔丢失的款项。苹果结算部门在美国，一开始，没有找到申诉的正确方向，腾讯方面隐隐觉得，莫不是跟黑产薅羊毛有关。

　　腾讯安全管理专家马瑞凯说，涉及巨额资产，刚开始就想报警，但是此类新型网络案件，在报案前都需要捋清作案手法，警方才能更有效地顺藤摸瓜抓人。

　　之前提到，由于苹果的账期是以季度计，腾讯守护者计划安全团队因此把追查时间回溯到了 2016 年初。

　　这群与黑产斡旋已久的老司机们马上发现了线索：批量账号进行了小额充值，在 APPLE Store 里购买了腾讯的产品。而且，诡异的是，这些账号都只有两笔购买记录：6 元和 30 元，折算成美元，大概是 1 美元和 5 美元。

　　安全人员立马对苹果的充值验证机制进行了研究，一下发现了线索：苹果公司在向用户收取费用时，设计了 40 元以下小额充值，可以不经验证购买，先派发商品的安全策略，目的是为了改善用户体验。但是，在不验证的购买的情况下，6 元和 30 元的额度只能分别用一次，也就是说，一个账号至少可以 “薅” 走 36 元！

　　黑产人员利用苹果的这一策略漏洞，绑定一张没有余额的银行卡或者虚拟银行卡，再通过家庭共享支付，用一个主帐号绑定最多 8 个附属帐号，所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式，可以使每个被共享的 ID 盗刷 6 元和 30 元两笔小额费用。

　　黑产人员利用苹果的这一策略漏洞，绑定一张没有余额的银行卡或者虚拟银行卡，再通过家庭共享支付，用一个主帐号绑定最多 8 个附属帐号，所有附属帐号的消费都可以通过主帐号进行支付进行盗刷。通过该模式，可以使每个被共享的 ID 盗刷 6 元和 30 元两笔小额费用。

　　但是，其中最关键的一个 “漏洞” 是——苹果公司通常仅对直接进行盗刷的被共享 ID 进行封号处罚，而不会影响主 ID 。而且，在这个作案手段中，并不需要大量的银行卡，作案成本极低。

　　在调查中，安全人员还发现，受到影响的不止腾讯一家，还有很多公司，尤其是提供游戏类产品的公司受到了影响，光在这个案例里，被黑产薅走的羊毛就高达上亿元。

　　要在 iOS 平台购买服务，需要具备几个要件：一台苹果设备、一个 APPLE ID、一张银行卡。

　　由于 APPLE ID 是基于邮箱进行注册，而每单盗刷完成后，苹果公司都会对进行盗刷的帐号做封号处理注册美国苹果id大东，这也使得黑产人员需要获得大量邮箱帐号。目前，大多数国内网站注册邮箱需要提供手机号码等信息。因此，黑产人员便通过一些国外网站以便捷注册的方式大量注册邮箱帐号。

　　马瑞凯说，在本案中，他们发现，黑产人员利用了大量俄罗斯网站的邮箱账号，“只要写个简单的脚本，就可以自动大批量注册很多邮箱账号”。

　　邮箱帐号注册完毕后，需要将其在苹果官方网站以邮箱为用户名，注册 APPLE ID 帐号。黑产人员先是利用软件，通过文本导入邮箱帐号密码，批量生成 APPLE ID，然后利用软件对注册的 ID 进行批量激活。

　　这些生成出来的 APPLE ID，无论是密码还是安全问题，都完全一致，这也方便了黑产人员的后续使用。

　　其实，互联网企业的常用安全策略是，会检测大量新注册的 ID 是否由同一 IP 在短时间内注册，这样，可以封禁这一 IP ，阻止生成 APPLE ID。

　　但是，道高一尺，魔高一丈。黑产团伙极其狡猾，他们使用了 VPN ，跳转 IP 后，这一封禁策略起不到作用。

　　黑产人员将银行卡绑定在 APPLE ID 作为主帐号，设定家庭共享后，用 8 个附属帐号各刷 30 元和 6 元。这样，即使附属帐号被苹果判定为恶意帐号、被封号，也不影响主帐号的使用。

　　如果多次绑定附属帐号进行小额盗刷，被苹果公司判定为恶意用户，而将主帐号与绑定的银行卡封号列入黑名单，黑产人员也会利用一种名为虚拟卡的方式再次进行策略对抗。

　　腾讯守护者计划安全团队在配合公安机关办案中发现，黑产人员在原有注册银行卡的基础上，申请虚拟银行卡，由于虚拟卡的卡号与原卡不同，即使该卡被苹果列入黑名单，黑产人员也可以立即将该虚拟卡注销，重新注册新的虚拟卡，完全不影响后续使用。

　　了解到，其实，黑产网络里，“四大件” 是比较值钱的黑料：身份证、银行卡、密码、手机号。但是，这也意味着购买成本会增高——一个账号可以 “薅” 走 36 元，但黑料购买成本总不能比 36 元高。

　　让人大跌眼镜的是，为了降低作案成本，背后的黑产团伙甚至没有到黑市购买银行卡，而是让自己的员工亲自办理了少量的银行卡，然后通过这些余额为 0 的银行卡，又注册了许多虚拟卡。

　　但是，苹果在审核时，无法判定这是虚拟卡还是银行卡号，在封禁 ID 时，同时顶多封禁了虚拟卡，一张虚拟卡被封禁后，原来的银行卡还可以重新注册虚拟卡。

　　其实，苹果还有一项对抗策略——除了封 ID 和卡号，还可以追查到持有 ID 的手机序列卡号。

　　盗刷后，为了避免设备因违反苹果公司的安全策略被锁机，黑产人员还要对手机进行刷机。手动一部部刷机太慢了，他们想出了一个办法——制作苹果墙（将所有苹果设备编号后悬挂在一面墙上），通过电脑屏控软件批量控制苹果手机进行刷机等动作，从而大大提升 “工作效率”。

　　在搞清了对方的作案手法后，2016 年 9 月，腾讯方面带着技术分析找到了警方，赶紧报案，协助福建警方在南平、宁德两地打掉 3 个犯罪团伙，抓获嫌疑人 20 余名，破获了这起国内首起 iOS 游戏小额盗刷案件。

　　马瑞凯表示，任何一款登录在苹果 APPLE Store 上的 App，都可能成为 36 技术的受害者。苹果公司与服务商的结算周期通常为 3 个月，这也由此带来了两点影响：其一，许多服务商长时间后才发现自身收到侵害。其二，在办案过程中，由于受侵害时间较长，容易造成电子证据的缺失，为执法机关办案带来诸多不利影响。

　　当前，受 36 技术侵害的重灾区集中在游戏领域。黑产人员利用低价的优势，在淘宝等网站上公然贩卖游戏金币、钻石等虚拟商品。要识别这些商户，很简单，他们的共同特点是：提供的充值服务需要用户提供游戏的帐号、密码，并且这些商户只能提供 iOS 充值服务。

　　由于苹果公司季度结算的模式，36 技术对于苹果公司和服务商双方造成了大量的应收账款坏账，形成了双输的局面。

　　涵盖：程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、Linux、数据库、运维等。返回搜狐，查看更多