每經(jīng)記者 趙李南    每經(jīng)編輯 易啟江    

睡眼惺忪的張女士（化名）習(xí)慣性地打開手機(jī)，卻發(fā)現(xiàn)需要輸入蘋果ID之后才能登錄。

隨后發(fā)生的事，令張女士睡意全消。登錄蘋果ID后，她發(fā)現(xiàn)手機(jī)已經(jīng)一片空白，就如同被恢復(fù)了出廠設(shè)置。

再接下來，大量的短信提示下，張女士發(fā)現(xiàn)自己的錢不翼而飛，總計約4.2萬元，被分為多筆拿去購買了游戲的“鉆石”。

從不玩游戲的張女士懵了。

《每日經(jīng)濟(jì)新聞》記者（以下簡稱每經(jīng)記者）調(diào)查發(fā)現(xiàn)，類似張女士這樣的遭遇并不罕見。記者曾進(jìn)入一個蘋果被盜刷維權(quán)群，群內(nèi)不少人有著與張女士大同小異的經(jīng)歷。

隨著調(diào)查的深入，一條“個人資料售賣-掃號-盜刷-通過游戲變現(xiàn)”一條龍的詐騙產(chǎn)業(yè)鏈路徑浮現(xiàn)。

在這一個見不得光的行當(dāng)內(nèi)，也逐漸發(fā)展出了一套“黑話”，比如掃號軟件叫“財神”，受害者叫“魚”，國內(nèi)的蘋果賬號叫“國魚”，收帶余額的蘋果賬號叫“收魚”，盜刷過程叫“吃魚”。

匪夷所思

一覺醒來，錢沒了

據(jù)每經(jīng)記者調(diào)查，被盜刷的時間大多發(fā)生在凌晨1點至清晨。

這段時間也是中國絕大多數(shù)人深度睡眠的時候，很難注意到手機(jī)上發(fā)生了什么。直至一覺醒來發(fā)現(xiàn)被盜刷時，已經(jīng)無法采取有效措施止損。

張女士告訴每經(jīng)記者，意識到被盜刷后，她迅速登錄了蘋果后臺，發(fā)現(xiàn)了兩個她根本不認(rèn)識的受信任電話號碼。記者嘗試撥打這兩個號碼時，都提示“您的號碼有誤，請查證后再撥。”

圖片來源：受訪者提供

顯然，這兩個號碼并不存在。那么，詐騙分子又是如何利用這種不存在的電話號碼來成功接收短信并綁定的呢？

這與一種用來群發(fā)短信和群收驗證碼的“貓池設(shè)備”有關(guān)。

也正是由于張女士的蘋果ID在其他地方被登錄，才會有這樣的結(jié)果。同時，張女士的微信支付與蘋果ID進(jìn)行了綁定，在微信開通免密支付的情況下，與微信支付關(guān)聯(lián)的多張銀行卡都遭到了盜刷。

圖片來源：受訪者提供

盜刷是分多筆進(jìn)行的，大部分的金額為648元。

有別于其他手機(jī)服務(wù)商的賬號，蘋果ID的權(quán)限非常之大。蘋果與用戶之間簽署的《Apple媒體服務(wù)條款和條件》協(xié)議約定：“Apple ID是您在整個Apple生態(tài)系統(tǒng)中使用的賬戶”、“您的賬戶非常寶貴，您負(fù)責(zé)維護(hù)其保密性和安全。對于未經(jīng)授權(quán)使用您的賬戶造成的任何損失，Apple概不負(fù)責(zé)。”

蘋果協(xié)議條款截圖

而據(jù)張女士回憶，她此前并未點開過任何可疑鏈接，未買賣過蘋果二手手機(jī)，也未向他人泄露過蘋果ID賬戶和密碼。

事情似乎匪夷所思。

然而，記者調(diào)查發(fā)現(xiàn)，不法分子除了利用常見的“釣魚網(wǎng)站”、“二手手機(jī)”和所謂“社會工程學(xué)”之外，“撞庫”是另外一個常見的犯罪手法。

什么叫“撞庫”？

很多用戶在不同網(wǎng)站使用的是相同的賬號密碼，因此黑客可以通過獲取用戶在 A 網(wǎng)站的賬戶嘗試登錄 B 網(wǎng)址，這就可以理解為撞庫攻擊。

他們會將“撞庫”成功的賬號密碼記錄下來，為接下來做其他的壞事做好準(zhǔn)備。

被“撞庫”的受害者就是在完全不知情的情況下，因為多個互聯(lián)網(wǎng)平臺密碼相同而被盜刷。

盜刷調(diào)查

正刷短視頻，突現(xiàn)彈窗讓輸ID密碼

4月6日6時2分，李先生一筆5元的支付記錄通過微信零錢付款成功，隨即是1000元通過零錢通支付成功。截至6時31分，微信45條扣款通知，共計28000元從他的微信零錢、零錢通、農(nóng)行儲蓄卡中支付成功，而所有資金同樣流向了游戲。

據(jù)李先生提供的Apple記錄顯示，上述資金基本都在游戲軟件中購買了“鉆石”。

當(dāng)天早晨7時左右，李先生起床后，發(fā)現(xiàn)數(shù)條短信支付通知。隨即與蘋果客服溝通申請攔截，但收到郵件反饋，有47項不符合退款條件。

同日19時22分，李先生去派出所報案。4月7日拿到立案回執(zhí)單。4月7日，李先生也使用蘋果的第二次退款申訴機(jī)會，被再次駁回，40個項目不符合退款條件。

這期間，李先生三次向相關(guān)游戲客服發(fā)起申訴。被分別回應(yīng)為：游戲方并無iOS平臺退款權(quán)限。如遭遇AppleID被盜，可攜相關(guān)憑據(jù)與iOS平臺客服聯(lián)系處理。游戲內(nèi)正常充值需要通過二次確認(rèn)，默認(rèn)為認(rèn)可充值，是不進(jìn)行退款的。如遇盜號，建議報警處理。

李先生回想，他曾點擊過由0010692272576和0010626255534號碼發(fā)來的“兩條【Apple】AppleID賬號存在安全隱患短信鏈接。

圖為李先生收到的“釣魚”短信 圖片來源：受訪者提供

李先生對此提出了自己的疑惑：“為什么假的網(wǎng)站可以和真的網(wǎng)站一模一樣，連雙重認(rèn)證都可以通過？”在這個鏈接網(wǎng)址中，輸入ID和密碼，是可以和手機(jī)進(jìn)行鏈接的，并且可以在此網(wǎng)站中完成個人手機(jī)的雙重認(rèn)證。

作為受害者的李先生，并不是一個人在面對和處理被盜刷事件。李先生所在的一個“維權(quán)討論群”里，目前已經(jīng)有94位受害者。在這個微信群中，近兩日每天都有新的受害者入群，最多的人被盜刷了54000元。

陳先生也向記者反饋，他不久前在閑魚平臺，向一商家購買了一份王者榮耀的代充。在給代充發(fā)送自己的ID和密碼之前，陳先生主動解綁了蘋果端的微信支付方式。

4月6日12時24分，第一筆1000元資金被盜刷，3分鐘內(nèi)微信支付了4筆交易，共計2600元。據(jù)蘋果后臺數(shù)據(jù)查詢發(fā)現(xiàn)，均買了王者榮耀的點券。

被盜刷后，陳先生發(fā)現(xiàn)，交易是通過微信免密支付的形式進(jìn)行的。同時，他也第一時間聯(lián)系了代充的閑魚賣家，發(fā)現(xiàn)已被拉黑。

隨后，陳先生向閑魚平臺進(jìn)行舉報。4月11日17時11分，系統(tǒng)顯示追損失敗。

陳先生也與閑魚客服多次交涉，希望官方可以與賣家溝通，向其索要賠款。最終，閑魚平臺提供了賣家的信息。陳先生也通過手機(jī)號碼聯(lián)系上賣家，但賣家稱自己被盜號。

圖片來源：視覺中國-VCG41N1336672828

“我正在刷短視頻的時候，突然蹦出來讓我輸ID密碼，我輸入正確密碼了，（卻）一直提示密碼錯誤，于是我又輸了三四遍。”4月13日，正在刷短視頻的趙女士的蘋果手機(jī)屏幕上，出現(xiàn)了提示輸入APPLE ID密碼的界面，趙女士以為是ID登錄久了要重新認(rèn)證，但輸入密碼后一分鐘內(nèi)，發(fā)現(xiàn)自己花唄賬單里有三筆支出。

隨即，她收到支付寶提示的在AppStore消費的短信驗證碼。“第一筆34元，第二筆215元，最后一筆1000元。”趙女士告訴記者，她馬上關(guān)閉了支付寶免密支付，Apple ID也退出登錄。

隨后，趙女士撥打了支付寶客服電話，客服稱需要具體消費的商品名稱，而趙女士再次登錄的時候，卻怎么也登不上自己的蘋果ID了。

“我申請了兩次，都顯示退款審核不通過，蘋果客服表示這是最終的結(jié)果。問及原因，客服說每個人的情況都不一樣，也有審核通過的。”趙女士表示，蘋果客服則是讓她先登錄看一下具體消費在哪里，再找源頭。“客服的意思是這錢不在他們蘋果公司，花費到哪里他們客服查不到，屬于個人隱私，只能等著登錄后查看每筆賬單的具體消費在哪里。”

“我報警了，但是金額不超過3000元，定義不了詐騙。”趙女士說。

“我一開始懷疑過密碼泄露的途徑，后來發(fā)現(xiàn)我同事和家里人用蘋果手機(jī)的，也反映上周日突然跳出那個界面，我認(rèn)為應(yīng)該是大批量的。”趙女士向記者表示。

圖片來源：每日經(jīng)濟(jì)新聞 資料圖

盜刷產(chǎn)業(yè)鏈

屢現(xiàn)“黑話”，撞庫、收魚、吃魚形成“一條龍”

“是有專門賺這路錢的。” 長期在游戲業(yè)從事運營工作的謝林（化名）對這群隱身在黑暗之中的人略有耳聞。

蘋果賬號盜刷黑色產(chǎn)業(yè)鏈如下：

（每經(jīng)記者根據(jù)綜合采訪及裁判文書相關(guān)內(nèi)容制作）

一般來說，收集信息和買信息盜刷的是兩撥人。“有人專門采集信息，有人買去試，用腳本（一款開源軟件）開起來試也是很快的。”謝林說。

謝林所說的“腳本”這款開源軟件，主要的原理是“撞庫”，即模擬人工，將數(shù)據(jù)輸入一些網(wǎng)站，如果能登錄成功，說明數(shù)據(jù)有用，然后軟件就會自動把有用的數(shù)據(jù)（比如正確的蘋果ID賬號密碼）保存在一個文檔中。

“代充時給賬號密碼，會出現(xiàn)盜號，但作為成年人，把自己的賬號密碼給別人，就要為自己的行為負(fù)責(zé)。”謝林認(rèn)為。

《每日經(jīng)濟(jì)新聞》記者進(jìn)一步調(diào)查發(fā)現(xiàn)，犯罪分子最終能夠?qū)崿F(xiàn)盜刷，并不是由一個人完成的，而是在這個領(lǐng)域內(nèi)逐步形成了一條信息盜取、撞庫、盜刷的“產(chǎn)業(yè)鏈”。

首先，是獲取信息。一般有三種方式：釣魚鏈接、二手手機(jī)和“社會工程學(xué)”。

釣魚鏈接通常以短信形式發(fā)送至受害人手機(jī)，理由多為賬戶存在風(fēng)險，要求受害人點擊后輸入賬號和密碼。而二手手機(jī)主要是在買賣過程中泄露了自己的ID和密碼。“社會工程學(xué)”則是通過社交方式，獲取受害者信任，進(jìn)而獲得賬號和密碼的方式。

此外，在第一個源頭上，還存在黑客直接攻擊一些互聯(lián)網(wǎng)企業(yè)，獲得其用戶信息的情況。通常來講，這些都是非常原始的數(shù)據(jù)。

然后，對上述這些原始數(shù)據(jù)進(jìn)行“掃號”，發(fā)掘其中有價值的賬號。“掃號”主要是基于大多數(shù)人會在不同平臺使用相同密碼（或者簡單修改大小寫）的習(xí)慣進(jìn)行撞庫，并做成更有“價值”的數(shù)據(jù)出售給“收魚人”。

最后，“收魚人”登場，他們買來這些已經(jīng)過掃號過的數(shù)據(jù)，具體實施盜刷和套現(xiàn)。而有些情況下，這些“收魚人”買數(shù)據(jù)時與上家之間并不是“買斷”，還會根據(jù)能夠盜刷的具體金額來分成。

圖片來源：視覺中國-VCG41153339889

蘋果用戶應(yīng)當(dāng)對不法分子的以下作案過程引起重視，并采取相應(yīng)措施加強(qiáng)戒備。根據(jù)每經(jīng)記者調(diào)查掌握的情況，整個黑產(chǎn)鏈上的三個環(huán)節(jié)具體作案過程如下：

>>第一步：掃號

一份裁判文書顯示，落網(wǎng)后的犯罪分子交代了他們的作案手法。

葉某從網(wǎng)上購買了一款名為“財神”的APP掃號軟件，接著又在QQ上找人買了150元5G的混合數(shù)據(jù)，其中包括郵箱數(shù)據(jù)、賬號和密碼。

葉某把上述數(shù)據(jù)買來之后，從網(wǎng)上下載大文件處理器軟件對數(shù)據(jù)進(jìn)行分類，接著把分類的數(shù)據(jù)導(dǎo)入一個叫“蘋果ID是否注冊”的檢測軟件進(jìn)行過濾檢存，這一步驟的目的是為檢測賬號是否存在。

隨后，葉某將檢測成功的號碼撿出，再從網(wǎng)上購買遠(yuǎn)程操控的虛擬服務(wù)器，然后，再把此前檢測成功的數(shù)據(jù)同時導(dǎo)入到這個虛擬服務(wù)器，接著，又通過該服務(wù)器把“蘋果ID是否注冊”檢測軟件檢測出來的成功數(shù)據(jù)導(dǎo)入財神APP掃號軟件，財神APP掃號軟件通過服務(wù)器對數(shù)據(jù)進(jìn)行分析碰撞、掃號。

掃號的結(jié)果有四種：第一種是賬號密碼正確，但是賬戶沒余額；第二種是密碼錯誤賬號不存在；第三種是會顯示為2014年以后的賬號；第四種是：賬號密碼正確且賬戶有余額，并會顯示余額數(shù)字。

遇到第三種情況，葉某會把顯示為2014年以后的賬號數(shù)據(jù)重新用 “查14年后”的軟件再進(jìn)行過濾碰撞。

檢測的結(jié)果同樣有三種：第一種是賬號密碼正確，但是賬戶沒余額；第二種是密碼錯誤賬號不存在（或者賬號已經(jīng)被停用、禁用）；第三種是：賬號密碼正確且賬戶有余額，并會顯示余額數(shù)字。

最后，葉某通過這些軟件分析過后得到的數(shù)據(jù)，包括賬號、密碼和余額。葉某把那些帶有余額的蘋果賬號挑揀出來在網(wǎng)上賣掉。

經(jīng)警方調(diào)查，葉某電腦上大概有9G到10G數(shù)據(jù)，差不多有兩億條。數(shù)據(jù)包括手機(jī)號、郵箱號、QQ號等。葉某交代，這些原始數(shù)據(jù)有一部分是網(wǎng)上買的，有一部分是跟網(wǎng)友互換的。

記者調(diào)查發(fā)現(xiàn)，葉某將有“價值”的賬號整理賣錢，其下家就是“收魚”人。“收魚”人給出的價格一般為：余額6-11元的賬號統(tǒng)一1元/個，12-44元的3.5折，45-118元的5折，118-327元的6折，328-647元的6.5折，648元以上7折。

而每經(jīng)記者進(jìn)一步調(diào)查發(fā)現(xiàn)，掃號軟件雖然名字五花八門，但基本源頭都是一款開源軟件。在互聯(lián)網(wǎng)上，也有不少教程在教人使用這款軟件。

>>第二步：盜刷（“吃魚”）

王某被抓之前就在做盜刷。

“因為之前自己玩游戲，然后充值，在QQ群里面有些人賣得很便宜，就慢慢接觸到盜刷蘋果賬號，別人教怎么弄，就會了。”王某表示。

王某買到蘋果賬號之后，就通過蘋果設(shè)備登錄賬號，再利用從網(wǎng)上找到的虛擬賬號，綁定虛擬賬號到被盜的蘋果賬號上，然后就可以繞開蘋果的安全支付機(jī)制，利用某插件，購買游戲點卡，最后再通過賣掉這些游戲點卡賺錢。

“被盜刷過的蘋果賬戶放在電腦里，里面沒錢了，等一段時間后再試一下，如果里面還是沒錢就賣給其他人，還是有人要的。有的人知道蘋果賬戶的錢變少了，也會修改密碼，那些賬號就沒用了。”王某表示。

據(jù)王某供述，其所在的QQ群里有人發(fā)這些教程和虛擬銀行卡號。

綁定銀行卡的時候，要填寫能夠收到短信的手機(jī)號，王某就填寫自己買來的手機(jī)號。他交代稱，接收短信息，填寫驗證碼就可以了。

公安機(jī)關(guān)在王某處搜查到的“貓池設(shè)備”，就是用來群發(fā)短信和群收驗證碼的，用“貓池設(shè)備”看短信驗證碼時，能在電腦上顯示，可以批量操作。

王某的手機(jī)QQ聊天記錄里，有個叫“好朋友”的群，群里有個叫“驗證碼”的好友，這個QQ號碼就是“貓池設(shè)備”所聯(lián)接的電腦上的QQ賬號，只要“貓池設(shè)備”收到驗證碼，這個QQ號就會主動將收到的驗證碼發(fā)送到群里。

“這個群就是用來盜刷蘋果賬號的，方便里面的人收到驗證碼，不用一個個使用手機(jī)了，里面的人也都是做這個工作的。”王某表示。

盜刷（“吃魚”）成功后，王某的同伙會記下來，然后和賣數(shù)據(jù)的人結(jié)賬。

>>第三步：變現(xiàn)

“最干凈的（變現(xiàn)渠道）是游戲內(nèi)道具交易，充錢換道具賣給其他玩家。比如刷5萬多，有點技巧應(yīng)該可以換3萬左右。”謝林稱。

記者調(diào)查發(fā)現(xiàn)，變現(xiàn)的途徑總計有三種，第一種就是謝林所說的，通過游戲公司的游戲市場交易變現(xiàn)；第二種是向蘋果公司申請退款變現(xiàn)；第三種則是通過代充方式變現(xiàn)。

某互聯(lián)網(wǎng)交易平臺上的代充金額與這些被害人單筆盜刷的金額，都是648元。

圖片來源：某互聯(lián)網(wǎng)平臺截圖

648元的來源，有網(wǎng)友解釋為，早期蘋果單筆最高的充值金額為100美元，當(dāng)時匯率是6.48，所以就沿用了下來。

代充是一條變現(xiàn)路徑。犯罪分子姚某供述，他買來的蘋果賬戶內(nèi)的余額，幫客戶為指定游戲賬號充值，成功后，客戶通過支付寶轉(zhuǎn)賬給他，他以此賺取差價。

此外，向蘋果公司申請退款也是一種途徑。

王某某供述稱，退款的操作手法是這樣的：用買來的蘋果ID賬號和密碼綁定自己的銀行卡，然后往買來的蘋果ID賬號里面充錢買游戲道具，再向蘋果客服申請退款，有時蘋果公司會退款到綁定的銀行卡中，而且游戲道具也不收回，這樣他們就相當(dāng)于又拿到了退款還能把買來的游戲道具賣掉賺錢。 

（實習(xí)生劉金玲、郭琳欣對本文亦有貢獻(xiàn)）

記者|趙李南

編輯|易啟江 

視覺|劉陽

排版|易啟江

記者手記 | 分級管理自己的密碼或是好辦法

近年來，信息安全領(lǐng)域的案件頻發(fā)。而這伙犯罪分子，有很大程度上并不是我們想象的那種科技怪才，甚至很多人根本沒啥文化水平。

那他們是如何進(jìn)行這樣看似“高科技”犯罪的？有相當(dāng)一部分是在經(jīng)過短暫的自學(xué)即可學(xué)會。究其原因，是那款開源的撞庫軟件所導(dǎo)致。

這些撞庫軟件還有大小寫修改功能，比如可以將密碼進(jìn)行大小寫修改后再次撞庫。換言之，在不同平臺上的密碼如果只是簡單的大小寫修改也仍然存在被攻破的風(fēng)險。

因此，將自己的一般互聯(lián)網(wǎng)賬戶、重要互聯(lián)網(wǎng)賬戶和非常重要互聯(lián)網(wǎng)賬戶之間的密碼設(shè)置成三個完全不同的密碼就顯得重要。特別是與資金相關(guān)聯(lián)的賬戶，密碼要與自己的郵箱密碼、普通網(wǎng)站密碼完全不相同。這樣，即便是黑客攻破了那些防御力比較差的網(wǎng)站的用戶名和密碼，也照樣沒辦法通過撞庫的方式攻破我們比較重要的賬戶密碼。

也奉勸不法分子，不要心存僥幸，警方很容易就可以通過IP地址定位到你的所在地，最終逃脫不了法律的制裁。