睡眼惺忪的張女士(化名)習慣性地打開手機,卻發現需要輸入蘋果 ID之後才能登錄。隨後發生的事,令張女士睡意全消。登錄蘋果ID後,她發現手機已經一片空白,就如同被恢復了出廠設置。再接下來,大量的簡訊提示下,張女士發現自己的錢不翼而飛,總計約4.2萬元,被分為多筆拿去購買了遊戲的「鑽石」。從不玩遊戲的張女士懵了。
調查發現,類似張女士這樣的遭遇並不罕見。記者曾進入一個蘋果被盜刷維權群,群內不少人有著與張女士大同小異的經歷。
隨著調查的深入,一條「個人資料售賣-掃號-盜刷-通過遊戲變現」一條龍的詐騙產業鏈路徑浮現。在這一個見不得光的行當內,也逐漸發展出了一套「黑話」,比如掃號軟體叫「財神」,受害者叫「魚」,國內的蘋果帳號叫「國魚」,收帶餘額的蘋果帳號叫「收魚」,盜刷過程叫「吃魚」
匪夷所思一覺醒來,錢沒了
據記者調查,被盜刷的時間大多發生在凌晨1點至清晨。這段時間也是中國絕大多數人深度睡眠的時候,很難注意到手機上發生了什麼。直至一覺醒來發現被盜刷時,已經無法採取有效措施止損。張女士告訴每經記者,意識到被盜刷後,她迅速登錄了蘋果後台,發現了兩個她根本不認識的受信任電話號碼。記者嘗試撥打這兩個號碼時,都提示「您的號碼有誤,請查證後再撥。」
而據張女士回憶,她此前並未點開過任何可疑連結,未買賣過蘋果二手手機,也未向他人泄露過蘋果ID帳戶和密碼。事情似乎匪夷所思。然而,記者調查發現,不法分子除了利用常見的「釣魚網站」、「二手手機」和所謂「社會工程學」之外,「撞庫」是另外一個常見的犯罪手法。
什麼叫「撞庫」?
很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在 A網站的帳戶嘗試登錄 B網址,這就可以理解為撞庫攻擊。
他們會將「撞庫」成功的帳號密碼記錄下來,為接下來做其他的壞事做好準備。
被「撞庫」的受害者就是在完全不知情的情況下,因為多個網際網路平台密碼相同而被盜刷。
盜刷調查正刷短視頻,突現彈窗讓輸ID密碼
4月6日6時2分,李先生一筆5元的支付記錄通過微信零錢付款成功,隨即是1000元通過零錢通支付成功。截至6時31分,微信45條扣款通知,共計28000元從他的微信零錢、零錢通、農行儲蓄卡中支付成功,而所有資金同樣流向了遊戲。據李先生提供的Apple記錄顯示,上述資金基本都在遊戲軟體中購買了「鑽石」。當天早晨7時左右,李先生起床後,發現數條簡訊支付通知。隨即與蘋果客服溝通申請攔截,但收到郵件反饋,有47項不符合退款條件。同日19時22分,李先生去派出所報案。4月7日拿到立案回執單。4月7日,李先生也使用蘋果的第二次退款申訴機會,被再次駁回,40個項目不符合退款條件。這期間,李先生三次向相關遊戲客服發起申訴。被分別回應為:遊戲方並無iOS平台退款權限。如遭遇AppleID被盜,可攜相關憑據與iOS平台客服聯繫處理。遊戲內正常儲值需要通過二次確認,默認為認可儲值,是不進行退款的。如遇盜號,建議報警處理。李先生回想,他曾點擊過由0010692272576和0010626255534號碼發來的「兩條【Apple】AppleID帳號存在安全隱患簡訊連結。
提供李先生對此提出了自己的疑惑:「為什麼假的網站可以和真的網站一模一樣,連雙重認證都可以通過?」在這個連結網址中,輸入ID和密碼,是可以和手機進行連結的,並且可以在此網站中完成個人手機的雙重認證。作為受害者的李先生,並不是一個人在面對和處理被盜刷事件。李先生所在的一個「維權討論群」里,目前已經有94位受害者。在這個微信群中,近兩日每天都有新的受害者入群,最多的人被盜刷了54000元。陳先生也向記者反饋,他不久前在閒魚平台,向一商家購買了一份王者榮耀的代充。在給代充發送自己的ID和密碼之前,陳先生主動解綁了蘋果端的微信支付方式。4月6日12時24分,第一筆1000元資金被盜刷,3分鐘內微信支付了4筆交易,共計2600元。據蘋果後台數據查詢發現,均買了王者榮耀的點券。被盜刷後,陳先生發現,交易是通過微信免密支付的形式進行的。同時,他也第一時間聯繫了代充的閒魚賣家,發現已被拉黑。隨後,陳先生向閒魚平台進行舉報。4月11日17時11分,系統顯示追損失敗。陳先生也與閒魚客服多次交涉,希望官方可以與賣家溝通,向其索要賠款。最終,閒魚平台提供了賣家的信息。陳先生也通過手機號碼聯繫上賣家,但賣家稱自己被盜號。
「我正在刷短視頻的時候,突然蹦出來讓我輸ID密碼,我輸入正確密碼了,(卻)一直提示密碼錯誤,於是我又輸了三四遍。」4月13日,正在刷短視頻的趙女士的蘋果手機屏幕上,出現了提示輸入APPLE ID密碼的界面,趙女士以為是ID登錄久了要重新認證,但輸入密碼後一分鐘內,發現自己花唄帳單里有三筆支出。隨即,她收到支付寶提示的在AppStore消費的簡訊驗證碼。「第一筆34元,第二筆215元,最後一筆1000元。」趙女士告訴記者,她馬上關閉了支付寶免密支付,Apple ID也退出登錄。隨後,趙女士撥打了支付寶客服電話,客服稱需要具體消費的商品名稱,而趙女士再次登錄的時候,卻怎麼也登不上自己的蘋果ID了。「我申請了兩次,都顯示退款審核不通過,蘋果客服表示這是最終的結果。問及原因,客服說每個人的情況都不一樣,也有審核通過的。」趙女士表示,蘋果客服則是讓她先登錄看一下具體消費在哪裡,再找源頭。「客服的意思是這錢不在他們蘋果公司,花費到哪裡他們客服查不到,屬於個人隱私,只能等著登錄後查看每筆帳單的具體消費在哪裡。」「我報警了,但是金額不超過3000元,定義不了詐騙。」趙女士說。「我一開始懷疑過密碼泄露的途徑,後來發現我同事和家裡人用蘋果手機的,也反映上周日突然跳出那個界面,我認為應該是大批量的。」趙女士向記者表示。
盜刷產業鏈
屢現「黑話」,撞庫、收魚、吃魚形成「一條龍」
「是有專門賺這路錢的。」長期在遊戲業從事營運工作的謝林(化名)對這群隱身在黑暗之中的人略有耳聞。蘋果帳號盜刷黑色產業鏈如下:
一般來說,收集信息和買信息盜刷的是兩撥人。「有人專門採集信息,有人買去試,用腳本(一款開源軟體)開起來試也是很快的。」謝林說。謝林所說的「腳本」這款開源軟體,主要的原理是「撞庫」,即模擬人工,將數據輸入一些網站,如果能登錄成功,說明數據有用,然後軟體就會自動把有用的數據(比如正確的蘋果ID帳號密碼)保存在一個文檔中。「代充時給帳號密碼,會出現盜號,但作為成年人,把自己的帳號密碼給別人,就要為自己的行為負責。」謝林認為。《每日經濟新聞》記者進一步調查發現,犯罪分子最終能夠實現盜刷,並不是由一個人完成的,而是在這個領域內逐步形成了一條信息盜取、撞庫、盜刷的「產業鏈」。
首先,是獲取信息。一般有三種方式:釣魚連結、二手手機和「社會工程學」。釣魚連結通常以簡訊形式發送至受害人手機,理由多為帳戶存在風險,要求受害人點擊後輸入帳號和密碼。而二手手機主要是在買賣過程中泄露了自己的ID和密碼。「社會工程學」則是通過社交方式,獲取受害者信任,進而獲得帳號和密碼的方式。此外,在第一個源頭上,還存在黑客直接攻擊一些網際網路企業,獲得其用戶信息的情況。通常來講,這些都是非常原始的數據。然後,對上述這些原始數據進行「掃號」,發掘其中有價值的帳號。「掃號」主要是基於大多數人會在不同平台使用相同密碼(或者簡單修改大小寫)的習慣進行撞庫,並做成更有「價值」的數據出售給「收魚人」。最後,「收魚人」登場,他們買來這些已經過掃號過的數據,具體實施盜刷和套現。而有些情況下,這些「收魚人」買數據時與上家之間並不是「買斷」,還會根據能夠盜刷的具體金額來分成。
蘋果用戶應當對不法分子的以下作案過程引起重視,並採取相應措施加強戒備。根據每經記者調查掌握的情況,整個黑產鏈上的三個環節具體作案過程如下:>>第一步:掃號
一份裁判文書顯示,落網後的犯罪分子交代了他們的作案手法。
葉某從網上購買了一款名為「財神」的APP掃號軟體,接著又在QQ上找人買了150元5G的混合數據,其中包括郵箱數據、帳號和密碼。
葉某把上述數據買來之後,從網上下載大文件處理器軟體對數據進行分類,接著把分類的數據導入一個叫「蘋果ID是否註冊」的檢測軟體進行過濾檢存,這一步驟的目的是為檢測帳號是否存在。
隨後,葉某將檢測成功的號碼撿出,再從網上購買遠程操控的虛擬伺服器,然後,再把此前檢測成功的數據同時導入到這個虛擬伺服器,接著,又通過該伺服器把「蘋果ID是否註冊」檢測軟體檢測出來的成功數據導入財神APP掃號軟體,財神APP掃號軟體通過伺服器對數據進行分析碰撞、掃號。
掃號的結果有四種:第一種是帳號密碼正確,但是帳戶沒餘額;第二種是密碼錯誤帳號不存在;第三種是會顯示為2014年以後的帳號;第四種是:帳號密碼正確且帳戶有餘額,並會顯示餘額數字。
遇到第三種情況,葉某會把顯示為2014年以後的帳號數據重新用「查14年後」的軟體再進行過濾碰撞。
檢測的結果同樣有三種:第一種是帳號密碼正確,但是帳戶沒餘額;第二種是密碼錯誤帳號不存在(或者帳號已經被停用、禁用);第三種是:帳號密碼正確且帳戶有餘額,並會顯示餘額數字。
最後,葉某通過這些軟體分析過後得到的數據,包括帳號、密碼和餘額。葉某把那些帶有餘額的蘋果帳號挑揀出來在網上賣掉。
經警方調查,葉某電腦上大概有9G到10G數據,差不多有兩億條。數據包括手機號、郵箱號、QQ號等。葉某交代,這些原始數據有一部分是網上買的,有一部分是跟網友互換的。
記者調查發現,葉某將有「價值」的帳號整理賣錢,其下家就是「收魚」人。「收魚」人給出的價格一般為:餘額6-11元的帳號統一1元/個,12-44元的3.5折,45-118元的5折,118-327元的6折,328-647元的6.5折,648元以上7折。
而每經記者進一步調查發現,掃號軟體雖然名字五花八門,但基本源頭都是一款開源軟體。在網際網路上,也有不少教程在教人使用這款軟體。
>>第二步:盜刷(「吃魚」)
王某被抓之前就在做盜刷。
「因為之前自己玩遊戲,然後儲值,在QQ群裡面有些人賣得很便宜,就慢慢接觸到盜刷蘋果帳號,別人教怎麼弄,就會了。」王某表示。
王某買到蘋果帳號之後,就通過蘋果設備登錄帳號,再利用從網上找到的虛擬帳號,綁定虛擬帳號到被盜的蘋果帳號上,然後就可以繞開蘋果的安全支付機制,利用某插件,購買遊戲點卡,最後再通過賣掉這些遊戲點卡賺錢。
「被盜刷過的蘋果帳戶放在電腦里,裡面沒錢了,等一段時間後再試一下,如果裡面還是沒錢就賣給其他人,還是有人要的。有的人知道蘋果帳戶的錢變少了,也會修改密碼,那些帳號就沒用了。」王某表示。
據王某供述,其所在的QQ群里有人發這些教程和虛擬銀行卡號。
綁定銀行卡的時候,要填寫能夠收到簡訊的手機號,王某就填寫自己買來的手機號。他交代稱,接收簡訊息,填寫驗證碼就可以了。
公安機關在王某處搜查到的「貓池設備」,就是用來群發簡訊和群收驗證碼的,用「貓池設備」看簡訊驗證碼時,能在電腦上顯示,可以批量操作。
王某的手機QQ聊天記錄里,有個叫「好朋友」的群,群里有個叫「驗證碼」的好友,這個QQ號碼就是「貓池設備」所聯接的電腦上的QQ帳號,只要「貓池設備」收到驗證碼,這個QQ號就會主動將收到的驗證碼發送到群里。
「這個群就是用來盜刷蘋果帳號的,方便裡面的人收到驗證碼,不用一個個使用手機了,裡面的人也都是做這個工作的。」王某表示。
盜刷(「吃魚」)成功後,王某的同夥會記下來,然後和賣數據的人結帳。
>>第三步:變現
「最乾淨的(變現渠道)是遊戲內道具交易,充錢換道具賣給其他玩家。比如刷5萬多,有點技巧應該可以換3萬左右。」謝林稱。
記者調查發現,變現的途徑總計有三種,第一種就是謝林所說的,通過遊戲公司的遊戲市場交易變現;第二種是向蘋果公司申請退款變現;第三種則是通過代充方式變現。
某網際網路交易平台上的代充金額與這些被害人單筆盜刷的金額,都是648元。
截圖648元的來源,有網友解釋為,早期蘋果單筆最高的儲值金額為100美元,當時匯率是6.48,所以就沿用了下來。代充是一條變現路徑。犯罪分子姚某供述,他買來的蘋果帳戶內的餘額,幫客戶為指定遊戲帳號儲值,成功後,客戶通過支付寶轉帳給他,他以此賺取差價。此外,向蘋果公司申請退款也是一種途徑。王某某供述稱,退款的操作手法是這樣的:用買來的蘋果ID帳號和密碼綁定自己的銀行卡,然後往買來的蘋果ID帳號裡面充錢買遊戲道具,再向蘋果客服申請退款,有時蘋果公司會退款到綁定的銀行卡中,而且遊戲道具也不收回,這樣他們就相當於又拿到了退款還能把買來的遊戲道具賣掉賺錢。
記者手記|分級管理自己的密碼或是好辦法
近年來,資訊安全領域的案件頻發。而這伙犯罪分子,有很大程度上並不是我們想像的那種科技怪才,甚至很多人根本沒啥文化水平。那他們是如何進行這樣看似「高科技」犯罪的?有相當一部分是在經過短暫的自學即可學會。究其原因,是那款開源的撞庫軟體所導致。這些撞庫軟體還有大小寫修改功能,比如可以將密碼進行大小寫修改後再次撞庫。
換言之,在不同平台上的密碼如果只是簡單的大小寫修改也仍然存在被攻破的風險。
因此,將自己的一般網際網路帳戶、重要網際網路帳戶和非常重要網際網路帳戶之間的密碼設置成三個完全不同的密碼就顯得重要。特別是與資金相關聯的帳戶,密碼要與自己的郵箱密碼、普通網站密碼完全不相同。
這樣,即便是黑客攻破了那些防禦力比較差的網站的用戶名和密碼,也照樣沒辦法通過撞庫的方式攻破我們比較重要的帳戶密碼。也奉勸不法分子,不要心存僥倖,警方很容易就可以通過IP位址定位到你的所在地,最終逃脫不了法律的制裁。
