Tanıklar bana şunu söylüyor: Appleın 36 teknik siyah üretiminden nasıl kurtulabilirim ve 100 milyondan fazla varlığı kurtarabilirim
Apple, 2016 yılının ortalarında APPLE Store satıcıları için üç ayda bir ödeme yapmaya başladı ve Apple ile bağlantı kurmaktan sorumlu Tencent Games'in ilgili çalışanları bir şeylerin ters gittiğini düşünüyordu: Apple tarafından verilen miktar gerçek satış miktarımızdan nasıl bu kadar farklı olabilir?
Büyük miktar nedeniyle, Tencent, kayıp ödemeyi sorgulamak için hemen Apple ile bağlantı kurması için personel gönderdi. Amerika Birleşik Devletleri'nde, Apple'ın yerleşim departmanı başlangıçta şikayet için doğru yönü bulamadı.Tencent, bunun siyah yün üretimiyle bir ilgisi olduğunu belli belirsiz hissetti.
Ne oluyor? İleride büyük bir şüphe var.
Tencent güvenlik yönetimi uzmanı Ma Ruikai, Leifeng.com'a büyük varlıklar içerdiğini ve en başta polise bildirmek istediğini söyledi, ancak bu tür yeni çevrimiçi vakaların, rapor edilmeden önce suçları hakkında net olması gerekiyor, böylece polis daha etkili bir şekilde insanları yakalayabilir.
Sonuç olarak, beyaz ve siyah arasında bir çatışma açıldı ...
Eski şoför sırrı keşfetti
Daha önce de belirtildiği gibi, Appleın muhasebe dönemi üç ayda bir olduğundan, Tencent Guardian Programının güvenlik ekibi bu nedenle 2016'nın başına kadar geri gitti.
Siyah endüstri ile uzun süredir arabuluculuk yapan bu eski sürücüler grubu, hemen ipucunu buldu: Toplu hesaplarda küçük bir miktar yeniden yükleme yapıldı ve Tencent ürünleri APPLE Store'dan satın alındı. Dahası, tuhaf olan, bu hesapların yalnızca iki satın alma kaydına sahip olmasıdır: 6 yuan ve 30 yuan, bunlar yaklaşık 1 dolar ve 5 dolar ABD dolarına çevrilir.
Bu "küçük paralar" yola atılıyor, belki onları almaya pek ilgi duyulmuyor, ancak siyah mülk için bu önemli bir masraf.
Güvenlik personeli, Appleın şarj doğrulama mekanizmasını hemen inceledi ve ipuçlarını buldu: Apple, kullanıcılardan ücret aldığında, 40 yuan'ın altında, doğrulama yapılmadan satın alınabilecek küçük bir şarj tasarladı ve ürünleri ilk önce dağıtmanın güvenlik politikası, kullanıcı performansını artırmaktır. Ancak, doğrulanmamış satın alımlar durumunda, 6 yuan ve 30 yuan kotaları sırasıyla yalnızca bir kez kullanılabilir, yani bir hesap en az 36 yuan olabilir!
Güvenlik personeli sorunun ciddiyetini hemen fark etti. "İplik kafa" ile bu karmaşık gizem anında temizlendi.
Siyah üretim personeli, Appleın stratejisindeki bu boşluğu, bakiyesi olmayan bir banka kartını veya sanal banka kartını bağlamak için kullandı ve ardından ödeme yapmak, tek bir ana hesapla 8 yan kuruluş hesabını bağlamak için aile paylaşımını kullandı ve tüm yan kuruluş hesapları tüketebilir Çalmak için ana hesap üzerinden ödeme yapın. Bu model sayesinde, her paylaşılan kimlik için 6 yuan ve 30 yuan gibi iki küçük ücret çalınabilir.
Ancak, en kritik "güvenlik açıklarından" biri, Apple'ın genellikle yalnızca ana kimliği etkilemeden doğrudan çalınan paylaşılan kimliklere ceza uygulamasıdır. Üstelik bu suç yönteminde çok sayıda banka kartına gerek duyulmamakta ve suç maliyeti son derece düşüktür.
Soruşturma sırasında güvenlik görevlileri de sadece Tencent'in değil, özellikle oyun ürünleri sağlayan birçok şirketin etkilendiğini tespit etti.Sadece bu durumda, hacklenen yün miktarı yüz milyonları buluyor. yuan.
Siyah ürün nasıl başarılı oldu?
Bu nasıl gidiyor? Önce teknolojiyi ve bu siyah üretimin arkasındaki adımları çözelim.
1. Çok sayıda hesabı taklit edin
İOS platformunda servis satın almak için birkaç gereksinime sahip olmanız gerekir: bir Apple cihazı, bir APPLE ID ve bir banka kartı.
APPLE ID posta kutusuna göre kaydedildiğinden ve çalınan her hesap tamamlandıktan sonra, Apple çalınan hesabın hesabını yasaklayacak ve bu da siyah üretim personelinin çok sayıda e-posta hesabı edinmesini gerektirecek. Şu anda, çoğu yerel web sitesinin posta kutusunu kaydetmek için cep telefonu numarası ve diğer bilgileri sağlaması gerekmektedir. Bu nedenle, siyah üretilen personel, bazı yabancı web siteleri aracılığıyla çok sayıda e-posta hesabını uygun bir şekilde kaydeder.
Ma Ruikai Leifeng.com'a verdiği demeçte, bu durumda siyah üretilen personelin Rus web sitelerinde çok sayıda e-posta hesabı kullandıklarını, "basit bir komut dosyası yazdığınız sürece, büyük miktarlarda birçok e-posta hesabını otomatik olarak kaydedebilirsiniz" dedi.
2. APPLE ID hesabına kaydolun
Bir e-posta hesabı kaydettikten sonra, Apple resmi web sitesinde e-posta hesabınızla bir APPLE ID hesabı kaydetmeniz gerekir. Siyah üretim personeli, yazılımı ilk olarak e-posta hesabı şifresini metin yoluyla içe aktarmak, gruplar halinde APPLE ID'leri oluşturmak ve ardından kayıtlı kimlikleri gruplar halinde etkinleştirmek için kullanmak için kullanır.
Oluşturulan bu APPLE ID'leri, ister parolalar, ister güvenlik sorunları olsun, tamamen aynıdır ve bu da siyah işçilerin sonraki kullanımını kolaylaştırır.
Leifeng.com'un editörünün bir sorusu var: Apple'ın bu toplu işlerde APPLE ID'leri oluşturma yöntemine karşı herhangi bir önlemi yok mu?
Aslında, İnternet şirketlerinin ortak güvenlik stratejisi, çok sayıda yeni kayıtlı kimliğin aynı IP tarafından kısa sürede kaydedilip kaydedilmediğini tespit etmektir, böylece bu IP bloke edilebilir ve APPLE ID'lerin oluşturulması engellenebilir.
Bununla birlikte, yol bir ayak yüksekliğinde ve şeytan bir ayak yüksekliğinde. Siyah üretim çeteleri son derece kurnaz, VPN kullandılar ve IP yönlendirmesinden sonra bu yasaklama stratejisi işe yaramadı.
3. Ev paylaşımını ayarlayın
Siyah üretim personeli ana hesap olarak banka kartını APPLE ID'ye bağlar Aile paylaşımını kurduktan sonra, her biri 30 yuan ve 6 yuan ödemek için 8 yardımcı hesap kullanırlar. Bu şekilde, yan kuruluş hesabı Apple tarafından kötü niyetli veya engellenmiş olarak değerlendirilse bile, ana hesabın kullanımını etkilemeyecektir.
4. Sanal kart stratejisi çatışması
Bağlı hesap, az miktarda hırsızlık için birden çok kez bağlanmışsa ve Apple tarafından kötü niyetli bir kullanıcı olarak değerlendiriliyorsa ve ana hesap numarası ve bağlı banka kartı numarası kara listeye alınmışsa, siyah üretim personeli de bir sanal kart kullanacaktır. Tekrar stratejik çatışmaya girmenin yolu.
Tencent Guardian Programının güvenlik ekibi, siyah personelin orijinal kayıtlı banka kartına dayanarak sanal bir banka kartı için başvurduğu kamu güvenlik organları ile davayı ele aldığını tespit etti.Sanal kart numarası orijinal karttan farklı olduğu için, kart Apple tarafından kara listeye alınmış olsa bile Siyah üretim personeli, sanal kartı hemen iptal edebilir ve sonraki kullanımı etkilemeden yeni bir sanal kartı yeniden kaydedebilir.
Leifeng.com aslında, siyah üretim ağındaki "dört ana öğenin" nispeten değerli siyah malzemeler olduğunu öğrendi: Kimlik kartları, banka kartları, şifreler ve cep telefonu numaraları. Bununla birlikte, bu aynı zamanda satın alma maliyetinin artacağı anlamına gelir - bir hesap 36 yuan için "emilebilir", ancak siyah malzeme satın alma maliyeti hiçbir zaman 36 yuan'dan fazla olamaz.
Şaşırtıcı olan, suç işlemenin maliyetini düşürmek için, Arkasındaki siyah üretim çetesi, banka kartı almak için karaborsaya bile gitmedi, bunun yerine çalışanları kişisel olarak az sayıda banka kartı için başvurdu ve daha sonra bu banka kartları üzerinden 0 bakiye ile birçok sanal kart kaydettirdi.
Doğruyu söyle ama kabul et.
Ancak Apple, inceleme sırasında bunun sanal kart mı yoksa banka kartı numarası mı olduğunu belirleyemedi.Kimlik bloke edilirken en çok sanal kart aynı anda bloke edildi. Bir sanal kart bloke edildikten sonra, orijinal banka kartı yeniden kaydedilebilir.
5. Apple duvar fırçalama makinesi verimliliği artırır
Aslında, Apple'ın başka bir önlemi daha var - kimliği ve kart numarasını engellemenin yanı sıra, kimliğin bulunduğu cep telefonunun seri kart numarasını da izleyebilir.
Çaldıktan sonra, Apple'ın güvenlik politikasının ihlali nedeniyle cihazın kilitlenmesini önlemek için siyah üretim personelinin de telefonu flaş etmesi gerekiyor. Makineyi tek tek elle yenilemek çok yavaştı, bir yol buldular- Bir Apple duvarı yapın (numaralandırıldıktan sonra tüm Apple aygıtlarını duvara asın) ve Apple telefonlarını, bilgisayar ekranı kontrol yazılımında yanıp sönme gibi eylemleri gerçekleştirmek için toplu olarak kontrol edin, böylece "iş verimliliğini" büyük ölçüde artırın.
Bakalım Apple Wall nasıl görünüyor.
Eski sürücünün karşı saldırısı
Karşı tarafın çalışma yöntemini açıkladıktan sonra, Eylül 2016'da Tencent, polise teknik analizle yaklaştı ve olayı rapor etmek için acele etti, Fujian polisine Nanping ve Ningde'deki 3 suç çetesinin yok edilmesine yardımcı oldu ve 20'den fazla şüpheliyi tutukladı , İOS oyunlarının küçük miktarlarda çalınmasıyla ilgili ilk yerli davayı kırdı.
"Küçük bir miktar" olmasına rağmen, gerçek miktar küçük değildir.
Ma Ruikai şöyle dedi: Appleın APPLE Storeunda kayıtlı herhangi bir uygulama 36 teknolojinin kurbanı olabilir. Apple ile servis sağlayıcılar arasındaki hesap görme döngüsü genellikle 3 aydır ve bunun iki etkisi vardır: Birincisi, birçok servis sağlayıcı uzun bir süre sonra kendilerini ihlal edilmiş bulur. İkincisi, davanın ele alınma sürecinde, ihlalin uzun sürmesi nedeniyle, elektronik delil eksikliğine neden olmak kolaydır, bu da davayı ele alırken kolluk kuvvetlerine birçok olumsuz etki getirir.
Şu anda, 36 teknolojiden en çok etkilenen alanlar oyun alanında yoğunlaşmıştır. Siyah üretim personeli, Taobao ve diğer web sitelerinde oyun altınları ve elmaslar gibi sanal ürünleri açıkça satmak için düşük fiyatlardan yararlandı. Bu satıcıları tespit etmek çok basittir.Ortak özelliği şudur: sağlanan şarj hizmeti, kullanıcının oyun hesabını ve şifresini sağlamasını gerektirir ve bu satıcılar yalnızca iOS şarj hizmeti sağlayabilir.
Appleın üç aylık ödeme modeli nedeniyle, 36 teknolojisi hem Apple hem de servis sağlayıcılarda çok sayıda kötü borca neden olarak bir kayıp-kaybet durumu yarattı.
Vaka başarıyla çözüldükten sonra, Apple yeni kayıtlı kullanıcılar için doğrulama olmadan ilk dağıtım satın alma modelinin kullanımını kısıtlamaya karar verdi.
Ancak siyah üretimin karşı saldırısı devam ediyor. Hırsızlık, satın alma ve veritabanı çarpışması yoluyla çok sayıda eski APPLE ID hesabı elde ettiler. Bazı oyuncular, şarj ederken Apple hesap numaralarını da vererek numaralarının çalınmasına neden oldu.
Yeniden şarj etmek için küçük bir avantaj elde etmek istersen, kimliğini çaldırabilirsin.
Leifeng.com, "yünü sarmak" için yeni bir hesap kullanmanın maliyeti sadece 1 yuan ise, o zaman bu yüzleşme stratejisinin artık maliyete birkaç yuan ekleyeceğini öğrendi. Kara endüstrisi her zaman güvenlik personelinin yüzleşme stratejisini atlatmanın çeşitli yollarını düşünecektir, ancak yüzleşme stratejisinin hala yapılması gerekiyor, bu da rakibin kötülüğünün maliyetini artırabilir.Bir gün, onları neredeyse kârsız hale getirmek için maliyet artırılır. Meselenin sonu.
Son olarak, siyah endüstri, vakayı kendi başına çözecek olan eski sürücüyle uğraşmamalı ...
