https://www.ithome.com.tw/news/124642
游戏app成为骇客盗刷信用卡洗钱新管道
文/林妍溱 | 2018-07-18发表
使用者从游戏app中买宝物、跟他人买卖宝物,是很常见的行为,但
可能暗藏风险。安全业者就发现一宗骇客窃取信用卡号码后,再利用
游戏买、卖宝物及代币的机制来洗钱。
安全业者Kromtech研究人员Bob Diachenko指出,利用苹果App Store
或Google Play洗钱并不是新闻,但是这次发现的是一个手法相当高
明的洗钱行为。
他们在六月间发现一个未上锁、不需密码的MongoDB执行个体,内藏
大量信用卡号码及个人资讯,研究后发现属于信用卡窃贼集团。研究
人员相信,该集团的犯罪手法相当复杂:首先骇客从外部买来或假造
数量庞大电子邮件信箱,以一种自动化工具建立假的Apple ID。然后
以另外买来的消费者信用卡资讯和这些Apple ID帐号绑在一起。接着
,这些Apple ID可再绑上骇客假造的游戏帐号。另一方面,骇客在数
百只刷过机的iPhone 上安装游戏app。
等一切就绪后,骇客开始利用这些游戏帐号,透过程式内购买(
in-app purchase)买卖宝物或代币,而出钱的就是信用卡号码外泄
的可怜受害者。而等宝物或代币到手后,骇客再转售给其他玩家,以
获得干净合法的钱,也让其犯罪行为无从追查。
Diachenko相信,Apple ID验证不严谨给骇客开了一扇方便之门。他
指出,Apple ID的建立只需一个有用的电子邮件信箱、密码、生日和
三个安全问题。但电子邮件信箱业者建立也不需什么验证,因此让骇
客可以利用自动化工具建立大批AppleID帐号。随后骇客利用自动工
具选用信用卡、购买游戏宝物、自动转卖,再自动管理多台iPhone手
机“作案”。
骇客只锁定三款最受欢迎的游戏,其中二个是SuperCell的《部落冲
突》(Clash of Clans)和《部落冲突:皇室战争》(Clash Royale
),以及Kabam 的《漫威:超级争霸战》(Marvel Contest of
Champions)。三款app用户达2.5亿,产出营收高达3.3亿美元,自然
是歹徒下手的好目标。
研究人员发现,自动化工具使用的地方落在沙特阿拉伯、印度、印
尼、科威特及毛里塔尼亚。而被盗信用卡分属19家银行,由于是以1
万、2万、3万成批出现,可能是从网络黑市买来。而从今年4月到6月
中,近2万张信用卡已经遭盗刷。
安全厂商已经通报美国司法部及游戏业者,美国司法部及SuperCell
也分别发出警告。
自动化盗刷~