原标题:游戏app成为骇客盗刷信用卡洗钱新管道
示意图,与新闻事件无关。
图片来源:维基共享资源;作者:Jericho
使用者从游戏app中买宝物、跟他人买卖宝物,是很常见的行为,但可能暗藏风险。安全业者就发现一宗骇客窃取信用卡号码后,再利用游戏买、卖宝物及代币的机制来洗钱。
安全业者Kromtech研究人员Bob△Diachenko指出,利用苹果App△Store或Google△Play洗钱并不是新闻,但是这次发现的是一个手法非常高明的洗钱行为。
他们在六月间发现一个未上锁、不需密码的MongoDB执行个体,内藏大量信用卡号码及个人资讯,研究后发现属于信用卡窃贼集团。研究人员相信,该集团的犯罪手法非常复杂:首先骇客从外部买来或假造数量庞大电子邮件信箱,以一种自动化工具建立假的Apple△ID。然后以另外买来的消费者信用卡资讯和这些Apple△ID帐号绑在一起。接着,这些Apple△ID可再绑上骇客假造的游戏帐号。另一方面,骇客在数百只刷过机的iPhone△上安装游戏app。
等一切就绪后,骇客开始利用这些游戏帐号,通过程式内购买(in-app△purchase)买卖宝物或代币,而出钱的就是信用卡号码外泄的可怜受害者。而等宝物或代币到手后,骇客再转售给其他玩家,以获得干净合法的钱,也让其犯罪行为无从追查。
Diachenko相信,Apple△ID验证不严谨给骇客开了一扇方便之门。他指出,Apple△ID的建立只需一个有用的电子邮件信箱、密码、生日和三个安全问题。但电子邮件信箱业者建立也不需什么验证,因此让骇客可以利用自动化工具建立大批AppleID帐号。随后骇客利用自动工具选用信用卡、购买游戏宝物、自动转卖,再自动管理多台iPhone手机“作案”。
骇客只锁定三款最受欢迎的游戏,其中二个是SuperCell的《部落冲突》(Clash△of△Clans)和《部落冲突:皇室战争》(Clash△Royale),以及Kabam△的《漫威:超级争霸战》(Marvel△Contest△of△Champions)。三款app用户达2.5亿,产出营收高达3.3亿美元,自然是歹徒下手的好目标。
研究人员发现,自动化工具使用的地方落在沙特阿拉伯、印度、印尼、科威特及茅利塔尼亚。而被盗信用卡分属19家银行,由于是以1万、2万、3万成批出现,可能是从网络黑市买来。而从今年4月到6月中,近2万张信用卡已经遭盗刷。
安全厂商已经通报美国司法部及游戏业者,美国司法部及SuperCell也分别发出警告。
相关:
Emporio Armani 最新版 Android 智能手表 价格同Apple Watch相近 | 香港 UNWIRE.HK 玩生活.乐科技
Emporio Armani 发表全新一代以 Google Wear OS 系统作基础的智能手表,现已接受订购,价钱范围与 Apple Watch 相若。Emporio Armani 以往推出的智能手表大多没有触控屏幕,App 选择也有限,被认为是豪华版的 Fitbit
调查:今年上半年App Store比Google play多赚一倍
示意图,与新闻事件无关。 图片来源: Apple 苹果App△Store好会赚!一份调查显示,今年上半年,苹果App△Store产生的营收比Google△Play多了90%,几乎是对手的两倍,但下载次数不到一半。根据研究机构Sensor△Towe
以文字游戏来训练增强学习AI,微软实验室开源TextWorld框架
在人工智能中,增强学习以及自然语言理解都是重要的技术,但是这两个项技术却很难合适的应用在一起。微软蒙特娄实验室释出了,用来制作文字游戏的可扩充Python框架TextWorld,开发人员除了可以使用TextWorld来训练或
国际表情符号日 Apple 带头以 70 新 Emoji 赠庆 | 香港 UNWIRE.HK 玩生活.乐科技
昨天 7 月 16 日是世界表情符号日(World Emoji Day),为了庆祝这个别具意义的日子,Apple 特别带头庆祝,公开展示了将会在今年秋季于 iPhone、iPad、Apple Watch 和 Mac 推出的 70 款全新 Emoji 表情符号,这批 Em
售票网站Ticketmaster第三方通讯软件遭骇,仅是大量窃取信用卡和银行帐号的冰山一角
先前,售票网站Ticketmaster在6月底传出部分用户个资外泄的事件。但美国的威胁鉴识公司RiskIQ研究发现,上述的攻击,并非Ticketmaster初步调查报告所述的单一事件,影响范围扩及旗下更多网站。根据Ticketmaster在6月