代充乱象综述
现在的手游只要火了,基本上都会遇到苹果代充问题的困扰。因为苹果自身的政策漏洞,不法分子利用这些漏洞,以较低的价格为玩家充值;代充商家和玩家获利,而游戏商遭到损失。总的来说,现在的代充技术主要分为三种:“36技术”、退款、汇率差。
- “36技术”:苹果对于小额支付(一般是30元以下),可以不用先验证而直接发货,发货完再付款。这样做的原因是为了给用户更好的体验,但是留下了一个可以利用的漏洞:如果因为银行卡上金额不足而付款失败,那么已发的商品也无法退掉了。不法分子正是利用了这一漏洞,用大量的苹果账号和空的银行卡刷小额支付,此即所谓“36技术”。苹果官方会对恶意刷的账号和银行卡封禁,但是不法分子也有应对之道:用大量的共享账号和黑卡、虚拟卡来刷,这些获得成本低、可重复生成和利用,可以说是封之不尽。
- 退款:这个也是源于苹果一项自认为有助于用户体验的奇葩设定——用户在下载app并第一次付费后,可以向官方“报告问题”并要求退款。但问题就是,退款成功后用户购买的商品还在,这样游戏商就蒙受了损失。于是不法分子利用这个漏洞,大量组织退款。退款不一定都能通过申请,但即使成功一部分,也足以让不法分子大赚特赚了。
- 汇率差:要明白这个漏洞,先理解两个概念:
- 实际汇率:国际市场上两个国家货币之间的转换比例,这个是每天实时变化的。
- 苹果汇率:对于同一个app内的商品,所需不同国家货币数量的比例,这个限于苹果政策,在较长的一段时间内都是固定的。
- 举个实际的例子:假设一个app中的商品价格是6RMB,苹果规定用1美元也可以买到;当人民币对美元升值成3:1后,不法分子将3RMB兑换成1美元,然后把苹果账号切换到美国区,再购买1美元的苹果礼品卡来充值,那么就可以获得这个商品。也就是说,原本价值6RMB的商品,他利用汇率差3RMB就可以买到。这其中的差价就造成了游戏商的亏损。
应对之策
对于这些代充技术的防范办法:
- 对于“36技术”,我们需要对用户频繁的小额充值加以限制。例如,对于一个玩家每天的6元档或者30元档充值次数设置上限;6元档的可以设置为4次,因为更多的次数可以用更大额的档位(30元或更高)来代替。
- 对于退款和汇率差,我们可以对玩家在某个设备上的游戏时间做出监控,如果玩家在不常使用的设备上充值,那么我们就可以怀疑是通过代充商家的设备进行的。我们甚至可以在玩家充值前验证他的游戏时间,例如要求玩家必须在这个设备上游戏60分钟才可以充6元钱。这样可以大大增加代充商家的时间成本,使之变得无利可图。但是这里提出了一个问题,就是如何唯一判断一个设备?这一点我们在稍后说明。
如何获取唯一标识
ios获取设备唯一标识的几种常用方法:
- UDID(Unique Device Identifier):它是ios设备的唯一标识码,本来是作为苹果官方的唯一标识,但是它有两个明显的缺陷:一是基于对用户隐私的考虑,ios 5以上已经不允许再获取UDID了;二是对于越狱的设备,UUID是可以使用某些工具伪造的。
- IDFA(Identifier for Advertising):顾名思义,广告标识符,是用来做广告推广和用户追踪的。它是苹果用来替代UDID的方法,但是缺点也是很明显:一是ios 10之后,用户可以设置限制广告追踪,从而获取不到IDFA(又是出于对用户隐私保护的考虑);二是IDFA容易被修改,不仅用户可以通过还原广告标示符来重置IDFA,代充商家也可以通过一些工具来把IDFA修改为他们想要的值。
- UUID(Universally Unique Identifier):它是一种分布式的唯一id标准,无需通过中央控制系统来指定。它对于特定设备的特定应用是唯一的。但问题是,删除应用后重装,重新生成的UUID会改变。
- UUID + keychain:keychain(钥匙串)是ios中用来存储应用私密数据的地方。它的好处是:安全,其他应用无法访问;删除应用后这个数据还在。所以结合UUID和keychain我们就得到了一种比较好的方法:在应用第一次启动时生成UUID,并将其存储在keychain中。
结语
手游之所以会出现代充这一码事,根源还是得从苹果自身的策略这里说起。苹果也并非不知道这些漏洞,但是之所以迟迟没有行动,只能说它权衡之后认为为了更好的用户体验,这些小的猫腻或者损失都是可以被容忍的。对于苹果这样体量的公司来说也许只是九牛一毛,可是却苦了大量辛苦赚钱的游戏CP。只能说,希望苹果以后能逐渐改进和完善相关政策,在此之前,手游厂商和代充商的斗智斗勇还会继续。