揭秘薅羊毛过亿的苹果36技术黑产

“微信下架打赏功能”事件后，让许多人开始关注IAP（In App Purchase）消费，即正常用户在iOS平台上消费后，都需要由苹果与app服务提供方按比例进行收入分账。有钱一起赚，是件好事。但是，无孔不入的黑产人员，也想从中分一杯羹。

2016年中旬开始，一种名为“苹果36技术”的黑产开始以薅羊毛的方式侵害iOS平台上的多款游戏产品，影响了苹果公司和游戏产品的收益。近日，腾讯守护者计划安全团队协助福建警方在南平、宁德两地打掉3个犯罪团伙，抓获嫌疑人20余名，破获了国内首起iOS游戏小额盗刷案件，并针对苹果36技术的黑色产业链进行剖析。

一、36技术的起源

苹果公司在向用户收取费用时，设计了40元以下小额充值，可以不经验证购买，先派发商品的安全策略，目的是为了改善用户体现。

然而，狡诈的黑产人员却把它发展成一门可以牟利的生意。自2016年初开始，一种名为“苹果36充值”的技术悄然在黑产圈盛行，游戏行业成为了最主要的受害群体。

黑产人员利用苹果的这一策略漏洞，绑定一张没有余额的银行卡或者虚拟银行卡，再通过家庭共享支付（即用一个主帐号绑定最多8个附属帐号，所有附属帐号的消费都可以通过主帐号进行支付）进行盗刷。通过该模式，可以使每个被共享的ID盗刷6元和30元两笔小额费用。但是，苹果公司通常仅对直接进行盗刷的被共享ID进行封号处罚，所以这种盗刷技术作案成本极低。

二、36技术具体手法

1

虚设大量账号

要在iOS平台购买服务，需要具备几个要件：一台苹果设备、一个APPLE ID、一张银行卡。由于APPLE ID是基于邮箱进行注册，而每单盗刷完成后，苹果公司都会对进行盗刷的帐号做封号处理，这也使得黑产人员需要获得大量邮箱帐号。

目前，大多数国内网站注册邮箱需要提供手机号码等信息。因此，黑产人员便通过一些国外网站以便捷注册的方式大量注册邮箱帐号。

2

注册APPLEID账号

邮箱帐号注册完毕后，需要将其在苹果官方网站以邮箱为用户名注册APPLE ID帐号。黑产人员先是利用软件，通过文本导入邮箱帐号密码，批量生成APPLE ID，然后利用软件对注册的ID进行批量激活。

这些生成出来的APPLE ID，无论是密码还是安全问题，都完全一致，这也方便了黑产人员的后续使用。

3

设置家庭共享

黑产人员将银行卡绑定在APPLE ID作为主帐号，设定家庭共享后，用8个附属帐号各刷30元和6元。这样，即使附属帐号被苹果判定为恶意帐号、被封号，也不影响主帐号的使用。

4

虚拟卡策略对抗

如果多次绑定附属帐号进行小额盗刷，被苹果公司判定为恶意用户，而将主帐号与绑定的银行卡封号列入黑名单，黑产人员也会利用一种名为虚拟卡的方式再次进行策略对抗。

腾讯守护者计划安全团队在配合公安机关办案中发现，黑产人员在原有注册银行卡的基础上，申请虚拟银行卡，由于虚拟卡的卡号与原卡不同，即使该卡被苹果列入黑名单，黑产人员也可以立即将该虚拟卡注销，重新注册新的虚拟卡，完全不影响后续使用

5

苹果墙刷机提高效率

盗刷后，为了避免设备因违反苹果公司的安全策略被锁机，黑产人员还要讲设备进行刷机。他们会制作苹果墙（将所有苹果设备编号后悬挂在一面墙上），通过电脑屏控软件批量控制苹果手机进行刷机等动作，从而大大提升“工作效率”。

三、36技术带来的危害

任何一款登录在苹果APPLE Store上的app,都可能成为36技术的受害者。苹果公司与服务商的结算周期通常为3个月，这也由此带来了两点影响：其一，许多服务商长时间后才发现自身收到侵害。其二，在办案过程中，由于受侵害时间较长，容易造成电子证据的缺失，为执法机关办案带来诸多不利影响。

当前，受36技术侵害的重灾区集中在游戏领域。黑产人员利用低价的优势，在淘宝等网站上公然贩卖游戏金币、钻石等虚拟商品。

要识别这些商户，很简单，他们的共同特点是：提供的充值服务需要用户提供游戏的帐号、密码，并且这些商户只能提供iOS充值服务。

由于苹果公司季度结算的模式，36技术对于苹果公司和服务商双方造成了大量的应收账款坏账，形成了双输的局面。

近日，苹果公司也针对该问题进行了策略调整，对于新注册的用户限制其使用不经验证购买先派发商品的模式。

但是，36技术并没有因此消失，黑产人员已经在进行策略上的对抗。他们通过盗窃、购买、撞库等形式，获取大量老的APPLE ID帐号，而一些玩家也因为在充值时提供了自己的苹果帐号，造成号码被盗窃。

就这样，虽然作案成本有所上升，但黑产人员还是绕开了苹果公司的安全策略，继续从事着36技术黑产。

黑与白的对抗仍在继续

守护者计划：2016年腾讯发挥自身大数据能力和多年对抗网络黑产经验，联合产业链、运营商、银行、警方等多方力量，共同推出“守护者计划”平台，打击危害网络安全的犯罪行为。