解密苹果36—无限循环的IOS手游充值“黑洞”

2021年01月09日

超低价IOS手游充值中隐藏的“秘密”

随着移动网络通信技术的不断发展，加之手机与用户更频繁的交互，用户黏度更高，极大地促进了各类手机APP的开发，推动智能手机的功能日趋完善和强大，以前需要使用电脑前才实现的功能，都出现了各类手机APP版本，移动端的很多功能、使用体验甚至已经超越PC端。

最明显的例子就是手游，从2008年至2019年我国的手游市场一直在极速扩张，市场规模逐渐上升，有数据显示我国已经成为亚洲乃至全球手游市场规模最大、增速最快的地区，手游规模的迅猛发展甚至一度导致了网吧、网咖行业的衰落。王者荣耀、穿越火线等爆款游戏纷纷从PC端上线，却在移动端攫取大量的用户。

随之而来的是各类手游充值业务的蓬勃发展。在某宝以“游戏充值代充 手游”为关键词搜索，可以检索到5000多家店铺，其中的IOS游戏代充店铺占比则达到40%。通过观察这些店铺的充值价格，有个更惊人的发现，那就是很多店铺的价格超级优惠，一般有八八折有的甚至达到五折。

以目前手游市场最火爆的王者荣耀为例，有70%以上的某宝商家以该游戏IOS的充值为核心业务，很多商家以八八折左右的价格出售王者荣耀点券，就是说游戏内售价648元的6480点券，在某宝商家以570元左右的价格就可以成交；而官网售价110元的1100点券，这些商家给出的售价区间在60-100元。而销量排名前十的商家成交量均在10万笔以上。

很多人不禁要问：这些打折的游戏点券是从何而来的呢？为何价格如此有诱惑力？又为何只有IOS游戏代充才有如此便宜的价格呢？

小漏洞催生的大灰产——苹果36技术

这些超低价的游戏点券都是通过一项所谓的“苹果36技术”刷单而来，成本低到几乎等于没有成本。“苹果36”即是一项利用苹果的小额支付漏洞实现的刷单套利业务。用户在iOS上使用APP消费后，苹果公司会按照3：7的比例与该APP的服务提供方进行分账，按季度结算。苹果公司为了提升用户体验，设置了在账户绑定银行卡的前提下，40美元以下的小额消费可以在不充值的情况下先购买商品，然后在一定账期内结账的策略。

也就是说，只要你有苹果账户，就等于拥有了一张额度为40美元的“信用卡”；如果你不在乎什么“信用”，那么每个苹果账户都可以免费获得价值在40美元以下的商品。这个漏洞在2016年被发现，在当时由于技术门槛较高只是个人零星、偶尔为之；但随着相对应的技术不断被解锁，现在已经形成分工明确、链条清晰、规模化的成熟产业链。每个苹果账户刷手们通常会分别刷30美元和6美元两单，为了便于出手变现，游戏点券、版权产品这些虚拟商品成为他们主要“购买”的对象，海量刷单甚至在中国给IOS手游造成10亿美元的坏账。

那么刷手们是如何操作的呢？他们如何规避网络安全措施、突破苹果公司的技术封锁？

第一步的目标，当然是获取大量的邮箱账号。

与国内不同的是，苹果账户的注册不是基于手机号码，而是基于邮箱账号。灰产人员在国外网站通过脚本批量注册大量邮箱账号，很多账号根本不需要提供手机号码，这一步操作几乎是零成本。

第二步的目标是获取苹果账号，操作也非常简单。

在苹果官网以邮箱账号为用户名，利用软件批量生成苹果账户再批量激活。为了方便后继的使用，这些批量生成的苹果账户甚至连密码和安全问题都是一致的。这些国外ID包括但不限于美国、加拿大、澳大利亚、英国、法国、俄罗斯等国家的地址。

我们来计算一下工作室的成本：1、一个100G的VPN一个月正常的使用费用是20－30元；2、苹果设备，翻新机每部在400－1000元不等；如果人工手刷则没有机器控制成本；3、注册ID及更换IP的定位软件成本约200元/月；4、变现渠道如淘宝店，每年成本约30元左右；按20台设备、使用期限为一年来计算，每月成本仅为1300－1500之间。

这样的工作室每天能刷多少单？用从业人员的话说“主要看个人的良心”，每天10－20单是起步量，利益在前，只要设备能力允许肯定是韩信点兵—多多益善，按每天30单计算，月收入在20万元以上，可以说是一本万利。

漏洞难防，苹果公司为何没有一禁了之？

面对日益疯狂的盗刷行为，苹果也多次在技术和策略上进行调整，以期封堵漏洞。盗刷行为有着非常明显的行为特征，如果某个ID连续多次购买6元的商品，那么必是盗刷无疑了。苹果公司会将账号及与其绑定的银行卡列入黑名单，但是虚拟信用卡封掉一批又有新的一批继续注册使用，此举可以说是杯水车薪。

为了取得更好的反盗刷效果，苹果还进行了策略调整，对新注册的用户限制其使用先派发后收款的模式。然而此举只是导致了老号需求的大量增加，最终只是提高了一点成本。因为灰产人员会采取盗号、撞库、养号等方法来获取老号，还有一个渠道就是来自购买代充服务的玩家。由于苹果36技术的充值限制，玩家在购买此类充值服务时需要提供自己的游戏账号和密码，而自己的苹果ID也随之泄露，成为被盗号的目标。

目前，使用“苹果36技术”进行刷单的行为虽然被定义为“非法充值”，但是并未被完全禁止，当前所采取的措施也只是为了将其控制在一定范围内。对于游戏行业来讲，先进行小额充值来进行游戏体验也是一种常规操作，且国外信用体系健全，很少有人会为了几十美元而牺牲自己的信用；而在国内，由于信用体系尚不健全，且盗刷行为使用黑卡和虚拟账户，对自身信用没有任何影响，加之成本极低而导致泛滥成灾。

盗刷行为所产生的经济损失从绝对值上来看数字是庞大的，但是对于一些超大规模的游戏公司来讲，其导致的坏账率仍然在可以接受的范围之内。因此，苹果公司从更大范围的市场考虑，客户体验仍是其重要的市场指标，对盗刷行为也只是进行局部封堵，而并未取消这一政策。

转载应注明作者和网站出处，添加原文链接；

没有获得明确的许可，不得改写内容。如有编辑、改写或是缩短内容，请在文中注明：“本文在原文基础上进行了改编，原文首发于凤凰联盟。”