扫码打开虎嗅APP
本文来自微信公众号:每经头条 (ID:nbdtoutiao),作者:赵李南,编辑:易启江,头图来自:视觉中国
睡眼惺忪的张女士(化名)习惯性地打开手机,却发现需要输入苹果ID之后才能登录。
随后发生的事,令张女士睡意全消。登录苹果ID后,她发现手机已经一片空白,就如同被恢复了出厂设置。
再接下来,大量的短信提示下,张女士发现自己的钱不翼而飞,总计约4.2万元,被分为多笔拿去购买了游戏的“钻石”。
从不玩游戏的张女士懵了。
《每日经济新闻》记者(以下简称每经记者)调查发现,类似张女士这样的遭遇并不罕见。记者曾进入一个苹果被盗刷维权群,群内不少人有着与张女士大同小异的经历。
随着调查的深入,一条“个人资料售卖—扫号—盗刷—通过游戏变现”一条龙的诈骗产业链路径浮现。
在这一个见不得光的行当内,也逐渐发展出了一套“黑话”,比如扫号软件叫“财神”,受害者叫“鱼”,国内的苹果账号叫“国鱼”,收带余额的苹果账号叫“收鱼”,盗刷过程叫“吃鱼”。
匪夷所思:一觉醒来,钱没了
据每经记者调查,被盗刷的时间大多发生在凌晨1点至清晨。
这段时间也是中国绝大多数人深度睡眠的时候,很难注意到手机上发生了什么。直至一觉醒来发现被盗刷时,已经无法采取有效措施止损。
张女士告诉每经记者,意识到被盗刷后,她迅速登录了苹果后台,发现了两个她根本不认识的受信任电话号码。记者尝试拨打这两个号码时,都提示“您的号码有误,请查证后再拨。”
图片来源:受访者提供
显然,这两个号码并不存在。那么,诈骗分子又是如何利用这种不存在的电话号码来成功接收短信并绑定的呢?
这与一种用来群发短信和群收验证码的“猫池设备”有关。
也正是由于张女士的苹果ID在其他地方被登录,才会有这样的结果。同时,张女士的微信支付与苹果ID进行了绑定,在微信开通免密支付的情况下,与微信支付关联的多张银行卡都遭到了盗刷。
图片来源:受访者提供
盗刷是分多笔进行的,大部分的金额为648元。
有别于其他手机服务商的账号,苹果ID的权限非常之大。苹果与用户之间签署的《Apple媒体服务条款和条件》协议约定:“Apple ID是您在整个Apple生态系统中使用的账户”“您的账户非常宝贵,您负责维护其保密性和安全。对于未经授权使用您的账户造成的任何损失,Apple概不负责。”
苹果协议条款截图
而据张女士回忆,她此前并未点开过任何可疑链接,未买卖过苹果二手手机,也未向他人泄露过苹果ID账户和密码。
事情似乎匪夷所思。
然而,记者调查发现,不法分子除了利用常见的“钓鱼网站”“二手手机”和所谓“社会工程学”之外,“撞库”是另外一个常见的犯罪手法。
什么叫“撞库”?
很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在 A 网站的账户尝试登录 B 网址,这就可以理解为撞库攻击。
他们会将“撞库”成功的账号密码记录下来,为接下来做其他的坏事做好准备。
被“撞库”的受害者就是在完全不知情的情况下,因为多个互联网平台密码相同而被盗刷。
盗刷调查:正刷短视频,突现弹窗让输ID密码
4月6日6时2分,李先生一笔5元的支付记录通过微信零钱付款成功,随即是1000元通过零钱通支付成功。截至6时31分,微信45条扣款通知,共计28000元从他的微信零钱、零钱通、农行储蓄卡中支付成功,而所有资金同样流向了游戏。
据李先生提供的Apple记录显示,上述资金基本都在游戏软件中购买了“钻石”。
当天早晨7时左右,李先生起床后,发现数条短信支付通知。随即与苹果客服沟通申请拦截,但收到邮件反馈,有47项不符合退款条件。
同日19时22分,李先生去派出所报案。4月7日拿到立案回执单。4月7日,李先生也使用苹果的第二次退款申诉机会,被再次驳回,40个项目不符合退款条件。
这期间,李先生三次向相关游戏客服发起申诉。被分别回应为:游戏方并无iOS平台退款权限。如遭遇AppleID被盗,可携相关凭据与iOS平台客服联系处理。游戏内正常充值需要通过二次确认,默认为认可充值,是不进行退款的。如遇盗号,建议报警处理。
李先生回想,他曾点击过由0010692272576和0010626255534号码发来的“两条【Apple】AppleID账号存在安全隐患的短信链接。
图为李先生收到的“钓鱼”短信 图片来源:受访者提供
李先生对此提出了自己的疑惑:“为什么假的网站可以和真的网站一模一样,连双重认证都可以通过?”在这个链接网址中,输入ID和密码,是可以和手机进行链接的,并且可以在此网站中完成个人手机的双重认证。
作为受害者的李先生,并不是一个人在面对和处理被盗刷事件。李先生所在的一个“维权讨论群”里,目前已经有94位受害者。在这个微信群中,近两日每天都有新的受害者入群,最多的人被盗刷了54000元。
陈先生也向记者反馈,他不久前在闲鱼平台,向一商家购买了一份王者荣耀的代充。在给代充发送自己的ID和密码之前,陈先生主动解绑了苹果端的微信支付方式。
4月6日12时24分,第一笔1000元资金被盗刷,3分钟内微信支付了4笔交易,共计2600元。据苹果后台数据查询发现,均买了王者荣耀的点券。
被盗刷后,陈先生发现,交易是通过微信免密支付的形式进行的。同时,他也第一时间联系了代充的闲鱼卖家,发现已被拉黑。
随后,陈先生向闲鱼平台进行举报。4月11日17时11分,系统显示追损失败。
陈先生也与闲鱼客服多次交涉,希望官方可以与卖家沟通,向其索要赔款。最终,闲鱼平台提供了卖家的信息。陈先生也通过手机号码联系上卖家,但卖家称自己被盗号。
“我正在刷短视频的时候,突然蹦出来让我输ID密码,我输入正确密码了,(却)一直提示密码错误,于是我又输了三四遍。”4月13日,正在刷短视频的赵女士的苹果手机屏幕上,出现了提示输入APPLE ID密码的界面,赵女士以为是ID登录久了要重新认证,但输入密码后一分钟内,发现自己花呗账单里有三笔支出。
随即,她收到支付宝提示的在AppStore消费的短信验证码。“第一笔34元,第二笔215元,最后一笔1000元。”赵女士告诉记者,她马上关闭了支付宝免密支付,Apple ID也退出登录。
随后,赵女士拨打了支付宝客服电话,客服称需要具体消费的商品名称,而赵女士再次登录的时候,却怎么也登不上自己的苹果ID了。
“我申请了两次,都显示退款审核不通过,苹果客服表示这是最终的结果。问及原因,客服说每个人的情况都不一样,也有审核通过的。”赵女士表示,苹果客服则是让她先登录看一下具体消费在哪里,再找源头。“客服的意思是这钱不在他们苹果公司,花费到哪里他们客服查不到,属于个人隐私,只能等着登录后查看每笔账单的具体消费在哪里。”
“我报警了,但是金额不超过3000元,定义不了诈骗。”赵女士说。
“我一开始怀疑过密码泄露的途径,后来发现我同事和家里人用苹果手机的,也反映上周日突然跳出那个界面,我认为应该是大批量的。”赵女士向记者表示。
盗刷产业链:屡现“黑话”,撞库、收鱼、吃鱼形成“一条龙”
“是有专门赚这路钱的。” 长期在游戏业从事运营工作的谢林(化名)对这群隐身在黑暗之中的人略有耳闻。
苹果账号盗刷黑色产业链如下:
(每经记者根据综合采访及裁判文书相关内容制作)
黑客出动:
钓鱼链接
二手手机
社会工程学
信息获取:
首先获取的是初步个人资料信息库
软件撞库:
建立有余额账号、密码的初步信息库
出售分成:
余额6-11元的账号1元/个
12元-44元的3.5折
45元-118元的5折
118元-327元的6折
328元-647元的6.5折
648元以上7折
游戏盗刷:
绑定虚拟账号到被盗的苹果账号上,绕开苹果安全支付机制,利用插件购买游戏点卡。
多种变现:
向苹果申请退款变现
游戏道具交易变现
游戏代充变现
一般来说,收集信息和买信息盗刷的是两拨人。“有人专门采集信息,有人买去试,用脚本(一款开源软件)开起来试也是很快的。”谢林说。
谢林所说的“脚本”这款开源软件,主要的原理是“撞库”,即模拟人工,将数据输入一些网站,如果能登录成功,说明数据有用,然后软件就会自动把有用的数据(比如正确的苹果ID账号密码)保存在一个文档中。
“代充时给账号密码,会出现盗号,但作为成年人,把自己的账号密码给别人,就要为自己的行为负责。”谢林认为。
《每日经济新闻》记者进一步调查发现,犯罪分子最终能够实现盗刷,并不是由一个人完成的,而是在这个领域内逐步形成了一条信息盗取、撞库、盗刷的“产业链”。
首先,是获取信息。一般有三种方式:钓鱼链接、二手手机和“社会工程学”。
钓鱼链接通常以短信形式发送至受害人手机,理由多为账户存在风险,要求受害人点击后输入账号和密码。而二手手机主要是在买卖过程中泄露了自己的ID和密码。“社会工程学”则是通过社交方式,获取受害者信任,进而获得账号和密码的方式。
此外,在第一个源头上,还存在黑客直接攻击一些互联网企业,获得其用户信息的情况。通常来讲,这些都是非常原始的数据。
然后,对上述这些原始数据进行“扫号”,发掘其中有价值的账号。“扫号”主要是基于大多数人会在不同平台使用相同密码(或者简单修改大小写)的习惯进行撞库,并做成更有“价值”的数据出售给“收鱼人”。
最后,“收鱼人”登场,他们买来这些已经过扫号过的数据,具体实施盗刷和套现。而有些情况下,这些“收鱼人”买数据时与上家之间并不是“买断”,还会根据能够盗刷的具体金额来分成。
苹果用户应当对不法分子的以下作案过程引起重视,并采取相应措施加强戒备。根据每经记者调查掌握的情况,整个黑产链上的三个环节具体作案过程如下:
第一步:扫号
一份裁判文书显示,落网后的犯罪分子交代了他们的作案手法。
叶某从网上购买了一款名为“财神”的APP扫号软件,接着又在QQ上找人买了150元5G的混合数据,其中包括邮箱数据、账号和密码。
叶某把上述数据买来之后,从网上下载大文件处理器软件对数据进行分类,接着把分类的数据导入一个叫“苹果ID是否注册”的检测软件进行过滤检存,这一步骤的目的是为检测账号是否存在。
随后,叶某将检测成功的号码捡出,再从网上购买远程操控的虚拟服务器,然后,再把此前检测成功的数据同时导入到这个虚拟服务器,接着,又通过该服务器把“苹果ID是否注册”检测软件检测出来的成功数据导入财神APP扫号软件,财神APP扫号软件通过服务器对数据进行分析碰撞、扫号。
扫号的结果有四种:第一种是账号密码正确,但是账户没余额;第二种是密码错误账号不存在;第三种是会显示为2014年以后的账号;第四种是:账号密码正确且账户有余额,并会显示余额数字。
遇到第三种情况,叶某会把显示为2014年以后的账号数据重新用 “查14年后”的软件再进行过滤碰撞。
检测的结果同样有三种:第一种是账号密码正确,但是账户没余额;第二种是密码错误账号不存在(或者账号已经被停用、禁用);第三种是:账号密码正确且账户有余额,并会显示余额数字。
最后,叶某通过这些软件分析过后得到的数据,包括账号、密码和余额。叶某把那些带有余额的苹果账号挑拣出来在网上卖掉。
经警方调查,叶某电脑上大概有9G到10G数据,差不多有两亿条。数据包括手机号、邮箱号、QQ号等。叶某交代,这些原始数据有一部分是网上买的,有一部分是跟网友互换的。
记者调查发现,叶某将有“价值”的账号整理卖钱,其下家就是“收鱼”人。“收鱼”人给出的价格一般为:余额6-11元的账号统一1元/个,12-44元的3.5折,45-118元的5折,118-327元的6折,328-647元的6.5折,648元以上7折。
而每经记者进一步调查发现,扫号软件虽然名字五花八门,但基本源头都是一款开源软件。在互联网上,也有不少教程在教人使用这款软件。
第二步:盗刷(“吃鱼”)
王某被抓之前就在做盗刷。
“因为之前自己玩游戏,然后充值,在QQ群里面有些人卖得很便宜,就慢慢接触到盗刷苹果账号,别人教怎么弄,就会了。”王某表示。
王某买到苹果账号之后,就通过苹果设备登录账号,再利用从网上找到的虚拟账号,绑定虚拟账号到被盗的苹果账号上,然后就可以绕开苹果的安全支付机制,利用某插件,购买游戏点卡,最后再通过卖掉这些游戏点卡赚钱。
“被盗刷过的苹果账户放在电脑里,里面没钱了,等一段时间后再试一下,如果里面还是没钱就卖给其他人,还是有人要的。有的人知道苹果账户的钱变少了,也会修改密码,那些账号就没用了。”王某表示。
据王某供述,其所在的QQ群里有人发这些教程和虚拟银行卡号。
绑定银行卡的时候,要填写能够收到短信的手机号,王某就填写自己买来的手机号。他交代称,接收短信息,填写验证码就可以了。
公安机关在王某处搜查到的“猫池设备”,就是用来群发短信和群收验证码的,用“猫池设备”看短信验证码时,能在电脑上显示,可以批量操作。
王某的手机QQ聊天记录里,有个叫“好朋友”的群,群里有个叫“验证码”的好友,这个QQ号码就是“猫池设备”所连接的电脑上的QQ账号,只要“猫池设备”收到验证码,这个QQ号就会主动将收到的验证码发送到群里。
“这个群就是用来盗刷苹果账号的,方便里面的人收到验证码,不用一个个使用手机了,里面的人也都是做这个工作的。”王某表示。
盗刷(“吃鱼”)成功后,王某的同伙会记下来,然后和卖数据的人结账。
第三步:变现
“最干净的(变现渠道)是游戏内道具交易,充钱换道具卖给其他玩家。比如刷5万多,有点技巧应该可以换3万左右。”谢林称。
记者调查发现,变现的途径总计有三种,第一种就是谢林所说的,通过游戏公司的游戏市场交易变现;第二种是向苹果公司申请退款变现;第三种则是通过代充方式变现。
某互联网交易平台上的代充金额与这些被害人单笔盗刷的金额,都是648元。
图片来源:某互联网平台截图
648元的来源,有网友解释为,早期苹果单笔最高的充值金额为100美元,当时汇率是6.48,所以就沿用了下来。
代充是一条变现路径。犯罪分子姚某供述,他买来的苹果账户内的余额,帮客户为指定游戏账号充值,成功后,客户通过支付宝转账给他,他以此赚取差价。
此外,向苹果公司申请退款也是一种途径。
王某某供述称,退款的操作手法是这样的:用买来的苹果ID账号和密码绑定自己的银行卡,然后往买来的苹果ID账号里面充钱买游戏道具,再向苹果客服申请退款,有时苹果公司会退款到绑定的银行卡中,而且游戏道具也不收回,这样他们就相当于又拿到了退款还能把买来的游戏道具卖掉赚钱。
记者手记:分级管理自己的密码或是好办法
近年来,信息安全领域的案件频发。而这伙犯罪分子,有很大程度上并不是我们想象的那种科技怪才,甚至很多人根本没啥文化水平。
那他们是如何进行这样看似“高科技”犯罪的?有相当一部分是在经过短暂的自学即可学会。究其原因,是那款开源的撞库软件所导致。
这些撞库软件还有大小写修改功能,比如可以将密码进行大小写修改后再次撞库。换言之,在不同平台上的密码如果只是简单的大小写修改也仍然存在被攻破的风险。
因此,将自己的一般互联网账户、重要互联网账户和非常重要互联网账户之间的密码设置成三个完全不同的密码就显得重要。特别是与资金相关联的账户,密码要与自己的邮箱密码、普通网站密码完全不相同。这样,即便是黑客攻破了那些防御力比较差的网站的用户名和密码,也照样没办法通过撞库的方式攻破我们比较重要的账户密码。
也奉劝不法分子,不要心存侥幸,警方很容易就可以通过IP地址定位到你的所在地,最终逃脱不了法律的制裁。
(实习生刘金玲、郭琳欣对本文亦有贡献)
本文来自微信公众号:每经头条 (ID:nbdtoutiao),作者:赵李南,编辑:易启江