遊戲app成為駭客盜刷信用卡洗錢新管道

使用者從遊戲app中買寶物、跟他人買賣寶物，是很常見的行為，但可能暗藏風險。安全業者就發現一宗駭客竊取信用卡號碼後，再利用遊戲買、賣寶物及代幣的機制來洗錢。

安全業者Kromtech研究人員Bob Diachenko指出，利用蘋果App Store或Google Play洗錢並不是新聞，但是這次發現的是一個手法相當高明的洗錢行為。

他們在六月間發現一個未上鎖、不需密碼的MongoDB執行個體，內藏大量信用卡號碼及個人資訊，研究後發現屬於信用卡竊賊集團。研究人員相信，該集團的犯罪手法相當複雜：首先駭客從外部買來或假造數量龐大電子郵件信箱，以一種自動化工具建立假的Apple ID。然後以另外買來的消費者信用卡資訊和這些Apple ID帳號綁在一起。接著，這些Apple ID可再綁上駭客假造的遊戲帳號。另一方面，駭客在數百隻刷過機的iPhone 上安裝遊戲app。

等一切就緒後，駭客開始利用這些遊戲帳號，透過程式內購買（in-app purchase）買賣寶物或代幣，而出錢的就是信用卡號碼外洩的可憐受害者。而等寶物或代幣到手後，駭客再轉售給其他玩家，以獲得乾淨合法的錢，也讓其犯罪行為無從追查。

Diachenko相信，Apple ID驗證不嚴謹給駭客開了一扇方便之門。他指出，Apple ID的建立只需一個有用的電子郵件信箱、密碼、生日和三個安全問題。但電子郵件信箱業者建立也不需什麼驗證，因此讓駭客可以利用自動化工具建立大批AppleID帳號。隨後駭客利用自動工具選用信用卡、購買遊戲寶物、自動轉賣，再自動管理多台iPhone手機「作案」。

駭客只鎖定三款最受歡迎的遊戲，其中二個是SuperCell的《部落衝突》（Clash of Clans）和《部落衝突：皇室戰爭》（Clash Royale），以及Kabam 的《漫威：超級爭霸戰》（Marvel Contest of Champions）。三款app用戶達2.5億，產出營收高達3.3億美元，自然是歹徒下手的好目標。

研究人員發現，自動化工具使用的地方落在沙烏地阿拉伯、印度、印尼、科威特及茅利塔尼亞。而被盜信用卡分屬19家銀行，由於是以1萬、2萬、3萬成批出現，可能是從網路黑市買來。而從今年4月到6月中，近2萬張信用卡已經遭盜刷。

安全廠商已經通報美國司法部及遊戲業者，美國司法部及SuperCell也分別發出警告。