遊戲app成為駭客盜刷信用卡洗錢新管道 - 信用卡

https://www.ithome.com.tw/news/124642
遊戲app成為駭客盜刷信用卡洗錢新管道
文/林妍溱 | 2018-07-18發表

使用者從遊戲app中買寶物、跟他人買賣寶物，是很常見的行為，但
可能暗藏風險。安全業者就發現一宗駭客竊取信用卡號碼後，再利用
遊戲買、賣寶物及代幣的機制來洗錢。

安全業者Kromtech研究人員Bob Diachenko指出，利用蘋果App Store
或Google Play洗錢並不是新聞，但是這次發現的是一個手法相當高
明的洗錢行為。

他們在六月間發現一個未上鎖、不需密碼的MongoDB執行個體，內藏
大量信用卡號碼及個人資訊，研究後發現屬於信用卡竊賊集團。研究
人員相信，該集團的犯罪手法相當複雜：首先駭客從外部買來或假造
數量龐大電子郵件信箱，以一種自動化工具建立假的Apple ID。然後
以另外買來的消費者信用卡資訊和這些Apple ID帳號綁在一起。接著
，這些Apple ID可再綁上駭客假造的遊戲帳號。另一方面，駭客在數
百隻刷過機的iPhone 上安裝遊戲app。

等一切就緒後，駭客開始利用這些遊戲帳號，透過程式內購買（
in-app purchase）買賣寶物或代幣，而出錢的就是信用卡號碼外洩
的可憐受害者。而等寶物或代幣到手後，駭客再轉售給其他玩家，以
獲得乾淨合法的錢，也讓其犯罪行為無從追查。

Diachenko相信，Apple ID驗證不嚴謹給駭客開了一扇方便之門。他
指出，Apple ID的建立只需一個有用的電子郵件信箱、密碼、生日和
三個安全問題。但電子郵件信箱業者建立也不需什麼驗證，因此讓駭
客可以利用自動化工具建立大批AppleID帳號。隨後駭客利用自動工
具選用信用卡、購買遊戲寶物、自動轉賣，再自動管理多台iPhone手
機「作案」。

駭客只鎖定三款最受歡迎的遊戲，其中二個是SuperCell的《部落衝
突》（Clash of Clans）和《部落衝突：皇室戰爭》（Clash Royale
），以及Kabam 的《漫威：超級爭霸戰》（Marvel Contest of
Champions）。三款app用戶達2.5億，產出營收高達3.3億美元，自然
是歹徒下手的好目標。

研究人員發現，自動化工具使用的地方落在沙烏地阿拉伯、印度、印
尼、科威特及茅利塔尼亞。而被盜信用卡分屬19家銀行，由於是以1
萬、2萬、3萬成批出現，可能是從網路黑市買來。而從今年4月到6月
中，近2萬張信用卡已經遭盜刷。

安全廠商已經通報美國司法部及遊戲業者，美國司法部及SuperCell
也分別發出警告。



自動化盜刷~

--