游戏app成为骇客盗刷信用卡洗钱新管道

使用者从游戏app中买宝物、跟他人买卖宝物，是很常见的行为，但可能暗藏风险。安全业者就发现一宗骇客窃取信用卡号码后，再利用游戏买、卖宝物及代币的机制来洗钱。

安全业者Kromtech研究人员Bob Diachenko指出，利用苹果App Store或Google Play洗钱并不是新闻，但是这次发现的是一个手法相当高明的洗钱行为。

他们在六月间发现一个未上锁、不需密码的MongoDB执行个体，内藏大量信用卡号码及个人资讯，研究后发现属于信用卡窃贼集团。研究人员相信，该集团的犯罪手法相当复杂：首先骇客从外部买来或假造数量庞大电子邮件信箱，以一种自动化工具建立假的Apple ID。然后以另外买来的消费者信用卡资讯和这些Apple ID账号绑在一起。接着，这些Apple ID可再绑上骇客假造的游戏账号。另一方面，骇客在数百只刷过机的iPhone 上安装游戏app。

等一切就绪后，骇客开始利用这些游戏账号，透过程式内购买（in-app purchase）买卖宝物或代币，而出钱的就是信用卡号码外泄的可怜受害者。而等宝物或代币到手后，骇客再转售给其他玩家，以获得干净合法的钱，也让其犯罪行为无从追查。

Diachenko相信，Apple ID验证不严谨给骇客开了一扇方便之门。他指出，Apple ID的建立只需一个有用的电子邮件信箱、密码、生日和三个安全问题。但电子邮件信箱业者建立也不需什么验证，因此让骇客可以利用自动化工具建立大批AppleID账号。随后骇客利用自动工具选用信用卡、购买游戏宝物、自动转卖，再自动管理多台iPhone手机“作案”。

骇客只锁定三款最受欢迎的游戏，其中二个是SuperCell的《部落冲突》（Clash of Clans）和《部落冲突：皇室战争》（Clash Royale），以及Kabam 的《漫威：超级争霸战》（Marvel Contest of Champions）。三款app用户达2.5亿，产出营收高达3.3亿美元，自然是歹徒下手的好目标。

研究人员发现，自动化工具使用的地方落在沙特阿拉伯、印度、印尼、科威特及毛里塔尼亚。而被盗信用卡分属19家银行，由于是以1万、2万、3万成批出现，可能是从网络黑市买来。而从今年4月到6月中，近2万张信用卡已经遭盗刷。

安全厂商已经通报美国司法部及游戏业者，美国司法部及SuperCell也分别发出警告。