搜索
查看: 2881|回复: 0

解密苹果36—无限循环的IOS手游充值“黑洞”

[复制链接]

581

主题

581

帖子

1371

菲华币

菲华精英

Rank: 4

积分
581
发表于 2021-1-11 10:34:43 | 显示全部楼层 |阅读模式

2021年01月09日

超低价IOS手游充值中隐藏的“秘密”
随着移动网络通信技术的不断发展,加之手机与用户更频繁的交互,用户黏度更高,极大地促进了各类手机APP的开发,推动智能手机的功能日趋完善和强大,以前需要使用电脑前才实现的功能,都出现了各类手机APP版本,移动端的很多功能、使用体验甚至已经超越PC端。

最明显的例子就是手游,从2008年至2019年我国的手游市场一直在极速扩张,市场规模逐渐上升,有数据显示我国已经成为亚洲乃至全球手游市场规模最大、增速最快的地区,手游规模的迅猛发展甚至一度导致了网吧、网咖行业的衰落。王者荣耀、穿越火线等爆款游戏纷纷从PC端上线,却在移动端攫取大量的用户。

随之而来的是各类手游充值业务的蓬勃发展。在某宝以“游戏充值代充 手游”为关键词搜索,可以检索到5000多家店铺,其中的IOS游戏代充店铺占比则达到40%。通过观察这些店铺的充值价格,有个更惊人的发现,那就是很多店铺的价格超级优惠,一般有八八折有的甚至达到五折。

以目前手游市场最火爆的王者荣耀为例,有70%以上的某宝商家以该游戏IOS的充值为核心业务,很多商家以八八折左右的价格出售王者荣耀点券,就是说游戏内售价648元的6480点券,在某宝商家以570元左右的价格就可以成交;而官网售价110元的1100点券,这些商家给出的售价区间在60-100元。而销量排名前十的商家成交量均在10万笔以上。


很多人不禁要问:这些打折的游戏点券是从何而来的呢?为何价格如此有诱惑力?又为何只有IOS游戏代充才有如此便宜的价格呢?

小漏洞催生的大灰产——苹果36技术
这些超低价的游戏点券都是通过一项所谓的“苹果36技术”刷单而来,成本低到几乎等于没有成本。“苹果36”即是一项利用苹果的小额支付漏洞实现的刷单套利业务。用户在iOS上使用APP消费后,苹果公司会按照3:7的比例与该APP的服务提供方进行分账,按季度结算。苹果公司为了提升用户体验,设置了在账户绑定银行卡的前提下,40美元以下的小额消费可以在不充值的情况下先购买商品,然后在一定账期内结账的策略。

也就是说,只要你有苹果账户,就等于拥有了一张额度为40美元的“信用卡”;如果你不在乎什么“信用”,那么每个苹果账户都可以免费获得价值在40美元以下的商品。这个漏洞在2016年被发现,在当时由于技术门槛较高只是个人零星、偶尔为之;但随着相对应的技术不断被解锁,现在已经形成分工明确、链条清晰、规模化的成熟产业链。每个苹果账户刷手们通常会分别刷30美元和6美元两单,为了便于出手变现,游戏点券、版权产品这些虚拟商品成为他们主要“购买”的对象,海量刷单甚至在中国给IOS手游造成10亿美元的坏账。

那么刷手们是如何操作的呢?他们如何规避网络安全措施、突破苹果公司的技术封锁?

第一步的目标,当然是获取大量的邮箱账号。

与国内不同的是,苹果账户的注册不是基于手机号码,而是基于邮箱账号。灰产人员在国外网站通过脚本批量注册大量邮箱账号,很多账号根本不需要提供手机号码,这一步操作几乎是零成本。

第二步的目标是获取苹果账号,操作也非常简单。

在苹果官网以邮箱账号为用户名,利用软件批量生成苹果账户再批量激活。为了方便后继的使用,这些批量生成的苹果账户甚至连密码和安全问题都是一致的。这些国外ID包括但不限于美国、加拿大、澳大利亚、英国、法国、俄罗斯等国家的地址。

而基于网络安全策略,如果系统检测到大量新注册的 ID 由同一 IP 同时生成,就会封禁这一IP来阻止生成 苹果 ID。此时只需要使用 VPN代理软件来跳转 IP 即可解决。

第三步的目标是用苹果账户绑定银行卡,这个步骤要稍稍麻烦一些,因为对银行卡的需求量比较大,解决方案是家庭共享和注册虚拟银行卡。

设置家庭共享之后,每个苹果账户可以以家庭成员的名义拥有最多8个附属账户,而这8个附属账户可以共享和绑定一张银行卡,这就大大减少了对银行卡的需求,而且每个附属账户都有刷单的权限。此时,刷手就可以使用这些账户去“免费”充值,而最大额的充值方法就是将充值权限分解为数个30元+6元。

而国外的各大银行为了方便没有国际信用卡的客户,还推出了虚拟信用卡。只要持有一张银行卡,即可登陆网上银行申请多达数张的虚拟银行卡。虚拟银行卡的卡号和主卡不同,但同属于一个账户,可以用虚拟信用卡代替主卡进行刷单,即使虚拟信用卡被封,可以注销掉再重新注册,完全不影响后继使用。主卡就成了可再生资源,可以循环利用。

第四步的目标是防止设备被锁死。

进行到这一步的时候,充值已经完成,但是苹果在对设备的检测过程中会发现这一盗刷行为,对设备的锁死也随之而来。这时只需要使用改机软件更改苹果设备的机器编码,在锁机前刷新设备指纹,一台“全新”的苹果手机就诞生了,可以投入后继使用。


点券等虚拟产品到手,第五步当然就是变现了。一般通过开设大量网店或者在网上招聘下游代理的途径,以出售点券、游戏代充等形式出售变现。


一本万利的工作室
这种玩法由于单笔金额较小,还要应对苹果的各种限制,如果没有规模优势则很难形成持续可观的盈利。因此,一般由3-5人组成工作室来分工合作,进行批量套现。工作室中分工明确,有专人负责注册ID并在手机上模拟正常使用行为即俗称的“养号”;一部分人负责手机IP更新,一般使用法拉球或者购买的定位IP软件进行更换;另一部分人负责刷单和销赃,购买相应游戏cdk再在国内低价出售或者购买游戏道具。

这种工作室硬件设施的基本配备仅为越狱后的苹果设备(需安装一键改机)和银行卡;软件则为批量注册邮箱软件、批量注册苹果ID软件、VPN等代理软件。苹果设备可以在二手市场上以几百元的价格购得;而银行卡则主要来源于地下黑市,甚至有人专门出售可以登陆iTunes且已经绑定了银行卡的账号;有的工作室为了节约成本,甚至自己办理少量的银行卡作为主卡来申请虚拟卡。为了提升刷机效率,这种工作室还会将苹果设备编号后悬挂制作“苹果墙”,利用电脑屏控软件进行批量刷机。


我们来计算一下工作室的成本:1、一个100G的VPN一个月正常的使用费用是20-30元;2、苹果设备,翻新机每部在400-1000元不等;如果人工手刷则没有机器控制成本;3、注册ID及更换IP的定位软件成本约200元/月;4、变现渠道如淘宝店,每年成本约30元左右;按20台设备、使用期限为一年来计算,每月成本仅为1300-1500之间。

这样的工作室每天能刷多少单?用从业人员的话说“主要看个人的良心”,每天10-20单是起步量,利益在前,只要设备能力允许肯定是韩信点兵—多多益善,按每天30单计算,月收入在20万元以上,可以说是一本万利。

漏洞难防,苹果公司为何没有一禁了之?
面对日益疯狂的盗刷行为,苹果也多次在技术和策略上进行调整,以期封堵漏洞。盗刷行为有着非常明显的行为特征,如果某个ID连续多次购买6元的商品,那么必是盗刷无疑了。苹果公司会将账号及与其绑定的银行卡列入黑名单,但是虚拟信用卡封掉一批又有新的一批继续注册使用,此举可以说是杯水车薪。

为了取得更好的反盗刷效果,苹果还进行了策略调整,对新注册的用户限制其使用先派发后收款的模式。然而此举只是导致了老号需求的大量增加,最终只是提高了一点成本。因为灰产人员会采取盗号、撞库、养号等方法来获取老号,还有一个渠道就是来自购买代充服务的玩家。由于苹果36技术的充值限制,玩家在购买此类充值服务时需要提供自己的游戏账号和密码,而自己的苹果ID也随之泄露,成为被盗号的目标。

目前,使用“苹果36技术”进行刷单的行为虽然被定义为“非法充值”,但是并未被完全禁止,当前所采取的措施也只是为了将其控制在一定范围内。对于游戏行业来讲,先进行小额充值来进行游戏体验也是一种常规操作,且国外信用体系健全,很少有人会为了几十美元而牺牲自己的信用;而在国内,由于信用体系尚不健全,且盗刷行为使用黑卡和虚拟账户,对自身信用没有任何影响,加之成本极低而导致泛滥成灾。

盗刷行为所产生的经济损失从绝对值上来看数字是庞大的,但是对于一些超大规模的游戏公司来讲,其导致的坏账率仍然在可以接受的范围之内。因此,苹果公司从更大范围的市场考虑,客户体验仍是其重要的市场指标,对盗刷行为也只是进行局部封堵,而并未取消这一政策。

转载应注明作者和网站出处,添加原文链接;
没有获得明确的许可,不得改写内容。如有编辑、改写或是缩短内容,请在文中注明:“本文在原文基础上进行了改编,原文首发于凤凰联盟。”



菲律宾华人电报群
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表