https://www.ithome.com.tw/news/124642
遊戲app成為駭客盜刷信用卡洗錢新管道
文/林妍溱 | 2018-07-18發表
使用者從遊戲app中買寶物、跟他人買賣寶物,是很常見的行為,但
可能暗藏風險。安全業者就發現一宗駭客竊取信用卡號碼後,再利用
遊戲買、賣寶物及代幣的機制來洗錢。
安全業者Kromtech研究人員Bob Diachenko指出,利用蘋果App Store
或Google Play洗錢並不是新聞,但是這次發現的是一個手法相當高
明的洗錢行為。
他們在六月間發現一個未上鎖、不需密碼的MongoDB執行個體,內藏
大量信用卡號碼及個人資訊,研究後發現屬於信用卡竊賊集團。研究
人員相信,該集團的犯罪手法相當複雜:首先駭客從外部買來或假造
數量龐大電子郵件信箱,以一種自動化工具建立假的Apple ID。然後
以另外買來的消費者信用卡資訊和這些Apple ID帳號綁在一起。接著
,這些Apple ID可再綁上駭客假造的遊戲帳號。另一方面,駭客在數
百隻刷過機的iPhone 上安裝遊戲app。
等一切就緒後,駭客開始利用這些遊戲帳號,透過程式內購買(
in-app purchase)買賣寶物或代幣,而出錢的就是信用卡號碼外洩
的可憐受害者。而等寶物或代幣到手後,駭客再轉售給其他玩家,以
獲得乾淨合法的錢,也讓其犯罪行為無從追查。
Diachenko相信,Apple ID驗證不嚴謹給駭客開了一扇方便之門。他
指出,Apple ID的建立只需一個有用的電子郵件信箱、密碼、生日和
三個安全問題。但電子郵件信箱業者建立也不需什麼驗證,因此讓駭
客可以利用自動化工具建立大批AppleID帳號。隨後駭客利用自動工
具選用信用卡、購買遊戲寶物、自動轉賣,再自動管理多台iPhone手
機「作案」。
駭客只鎖定三款最受歡迎的遊戲,其中二個是SuperCell的《部落衝
突》(Clash of Clans)和《部落衝突:皇室戰爭》(Clash Royale
),以及Kabam 的《漫威:超級爭霸戰》(Marvel Contest of
Champions)。三款app用戶達2.5億,產出營收高達3.3億美元,自然
是歹徒下手的好目標。
研究人員發現,自動化工具使用的地方落在沙烏地阿拉伯、印度、印
尼、科威特及茅利塔尼亞。而被盜信用卡分屬19家銀行,由於是以1
萬、2萬、3萬成批出現,可能是從網路黑市買來。而從今年4月到6月
中,近2萬張信用卡已經遭盜刷。
安全廠商已經通報美國司法部及遊戲業者,美國司法部及SuperCell
也分別發出警告。
自動化盜刷~