遊戲app成為駭客盜刷信用卡洗錢新管道

使用者從遊戲app中買寶物、跟他人買賣寶物,是很常見的行為,但可能暗藏風險。安全業者就發現一宗駭客竊取信用卡號碼後,再利用遊戲買、賣寶物及代幣的機制來洗錢。

安全業者Kromtech研究人員Bob Diachenko指出,利用蘋果App Store或Google Play洗錢並不是新聞,但是這次發現的是一個手法相當高明的洗錢行為。

他們在六月間發現一個未上鎖、不需密碼的MongoDB執行個體,內藏大量信用卡號碼及個人資訊,研究後發現屬於信用卡竊賊集團。研究人員相信,該集團的犯罪手法相當複雜:首先駭客從外部買來或假造數量龐大電子郵件信箱,以一種自動化工具建立假的Apple ID。然後以另外買來的消費者信用卡資訊和這些Apple ID帳號綁在一起。接著,這些Apple ID可再綁上駭客假造的遊戲帳號。另一方面,駭客在數百隻刷過機的iPhone 上安裝遊戲app。

等一切就緒後,駭客開始利用這些遊戲帳號,透過程式內購買(in-app purchase)買賣寶物或代幣,而出錢的就是信用卡號碼外洩的可憐受害者。而等寶物或代幣到手後,駭客再轉售給其他玩家,以獲得乾淨合法的錢,也讓其犯罪行為無從追查。

Diachenko相信,Apple ID驗證不嚴謹給駭客開了一扇方便之門。他指出,Apple ID的建立只需一個有用的電子郵件信箱、密碼、生日和三個安全問題。但電子郵件信箱業者建立也不需什麼驗證,因此讓駭客可以利用自動化工具建立大批AppleID帳號。隨後駭客利用自動工具選用信用卡、購買遊戲寶物、自動轉賣,再自動管理多台iPhone手機「作案」。

駭客只鎖定三款最受歡迎的遊戲,其中二個是SuperCell的《部落衝突》(Clash of Clans)和《部落衝突:皇室戰爭》(Clash Royale),以及Kabam 的《漫威:超級爭霸戰》(Marvel Contest of Champions)。三款app用戶達2.5億,產出營收高達3.3億美元,自然是歹徒下手的好目標。

研究人員發現,自動化工具使用的地方落在沙烏地阿拉伯、印度、印尼、科威特及茅利塔尼亞。而被盜信用卡分屬19家銀行,由於是以1萬、2萬、3萬成批出現,可能是從網路黑市買來。而從今年4月到6月中,近2萬張信用卡已經遭盜刷。

安全廠商已經通報美國司法部及遊戲業者,美國司法部及SuperCell也分別發出警告。

原文來自 iThome Online