针对苹果充值的坏账的防范方法

最新推荐文章于 2023-02-23 16:05:20 发布
最新推荐文章于 2023-02-23 16:05:20 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: iOS 文章标签: 36技术 内购 防刷 坏账 小额消费

苹果充值的刷单现象在游戏行业非常普遍,很多团队挖空心思寻找漏洞以非法获利。遭遇刷单的开发者虽然在账面上看到的是漂亮的流水数字,但是苹果不会对问题账单分成,造成坏账,据传严重时有些游戏的坏账率达到80%以上。常见的手段主要有以下五种:

  • 破解IAP绕过苹果扣款
  • 重复使用receipt-data
  • 利用信用卡黑卡
  • 利用外币卡折扣赚取差价
  • 利用苹果对小额消费不做验证规则的"36技术"

其中,前两种是开发者本身的程序问题,可通过完善代码中的验证流程解决,后三种则是利用了苹果充值的政策的一些漏洞。但是这些漏洞并不会对苹果造成损失,所以苹果对此也没有修改的想法,解决问题还是要靠开发者发挥聪明才智,依靠数据分析制定妥善的防御策略。

下面逐个介绍五种手段的原理和防范方法。


破解IAP绕过苹果扣款

常见于单机游戏,首先看看苹果充值的时序图:


客户端请求购买,AppStore处理扣款,如果成功返回给客户端名为receipt-data的数据,安全的处理流程是把这段数据发到服务端,由服务端发起请求,调用苹果验单接口验证receipt-data的有效性。

有些游戏,常见于单机游戏,直接在客户端发起对苹果验单接口的调用,甚至跳过3~7步骤直接处理发货。那么非法用户可以利用插件,如iAP Cracker,在客户端请求购买后,模拟返回扣款成功。客户端的数据都是不安全的,即使在客户端验证了receipt-data,得到的结果也可能是被篡改的。

防范这种刷单的方法是严格执行3~7步骤,通过服务器端验证receipt-data的有效性。


2 重复使用receipt-data

这种问题发生的原因是虽然已经用安全的方式检查了receipt-data的有效性,但是没有检查receipt-data的唯一性。苹果验单接口返回的数据格式如下:


数据为json格式,其中status值为0表示该receipt有效,但是苹果只负责真假,而不负责检查是否已被使用过。同一个有效的receipt,无论多少次、相隔多少时间去苹果接口验证,都会返回成功。如果只检查了"status":0即发货,则非法用户可以先真实充值一笔,截取到receipt-data后,再多次使用到购买中骗过服务器端验证。

防范的方法是在确定status值为0后,进一步解析出数据中的transaction_id并存入数据库。每次发货前先检查数据库中是否已经有本次的transaction_id存在,如果已存在则拒绝发货。

还有一种情况需要注意,有些游戏购买前先有一步创建订单的行为,在服务器端记录购买的商品、时间等,且发货时是按照订单记录中的商品,那么需要比较苹果返回信息中的product_id与订单表中的记录值是否一致。


3 利用信用卡黑卡

这是最常见的刷单手段,是指用户利用无效信用卡,在AppStore中进行消费,由于信用卡已在银行冻结,因此银行不会将款项结算给苹果,苹果自然也不会分成给开发者。

通常的形式是用户去交易网站找代充,代充的商家用绑定了黑卡的AppleID给用户的账号充值,并收取远低于正常价格的金额。也有的代充商户是召集大量的非游戏用户接单,给指定的账号充值后再申请退款,并给这些参与者一定返利来达到“共赢”。


对于这种情况,除了寄望于苹果更严格的审核信用卡信息外,开发者还可以通过监控和分析数据尽可能减小损失。对于最常见的代充形式,我们可以推测:

a. 用户充值时不在自己的常用设备上,而是由商户在自有设备上操作

b. 商户的充值设备可能为多个账号充值

分析用户的常用设备可以通过用户日常的游戏记录,如果只有在充值时会切换到不常用设备上,那么可以判定为可疑用户。如果某些设备只在充值记录中出现,却不属于任何用户的常用设备,那么使用这些设备充值的用户也可以判定为可疑用户。

对可疑用户可以进一步分析,确定后执行扣除非法所得、封停账号等。


4 利用外币卡折扣赚取差价

这是一种需要天时的刷单手段。在一些新兴市场,如墨西哥、土耳其等,苹果有专门的优惠折扣,使用这些货币充值,折扣后的差额即刷单的获利。还有一种情况是利用汇率的变化,如著名的南非币事件。

防范这种手段也很简单,客户端获取用户支付使用的货币类型发给服务器验证,在服务器端建立货币白名单,只允许使用人民币或稳定的国家和地区的货币支付。


5 利用苹果对小额消费不做验证规则的"36技术"

这是一种更有技术含量的手段,利用苹果对信用卡的小额消费不做验证的规则,并使用自动注册的虚拟信用卡完成绑卡。用户发起购买后,苹果不确认扣款即返回给客户端成功信息,而此后再进行信用卡扣款时,会出现扣不到钱的情况。
从开发者的角度来看,这笔订单是真实有效的,receipt-data也能通过苹果服务器的验证,但是最终苹果不会对这些账单分账。

相比传统的黑卡,这种方式实现了自动化处理,刷单效率很高,对开发者造成的损失更大。特别是具有交易功能的游戏,刷单者大量充值,然后在游戏内换成货币或道具低价售卖给普通玩家。

对于这种手段,目前开发者能做的就是监控用户的异常充值行为,对于频繁小额充值的用户予以限制。手游中,常见的小额商品就是6元和30元商品,也可以直接限制这些小额商品每用户每日的购买次数,来尽可能减少损失。


参考:

苹果充值常见的刷单手段和防范方法

skylin19840101
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
App Store上架被拒绝 90%都是因为这些原因
secretsssss的博客
08-20 762
App Store上架向来不轻松,很多开发者也表示,宁愿开发100款APP,也不愿上架1次App Store。上架申请被驳回、修改代,反复操作就是一个无底洞。但是好在App Store上架被拒以后,苹果都会在邮件中告知原因,我们还可以根据具体的被拒原因去采取相关的措施。 今天我们就来介绍一下最容易被App Store拒绝的10个原因。 App Store上架被拒的原因Top10 1.标题中出现了关键词或相似词语堆砌现象(约占29.4%) 2.因ipv6网络下无法加载问题而被拒(约占15.1..
iOS技术文档 ---- 苹果充值文档(包含防刷策略等整理)
10-18
这是有关于苹果内购文档的集合,里面主要讲述了内购流程的实现原理!以及苹果充值苹果保密规则衍生的一系列刷单手段的防刷策略
iOS游戏如何御外挂及IAP破解
手机程序开发技术文章集锦(iPhone&Window phone)
02-20 2254
2012-10-10 12:48:47来源:网易博客作者:Dani Lee 今年3月初写过一篇《iO平台游戏安全小议》,到现今已有7个月了。在这段时间内,iOS平台上的安全问题也产生了不小的变化。从作弊方式来说,从以前稍有门槛的手工操作(命令行操作)发展成了傻瓜式的只需要点击按钮的 今年3月初写过一篇《iO平台游戏安全小议》,到现今已有7个月了。在这段时间内,iOS平台上的安全
苹果cms 8x充值卡生成导出插件 可导出为excel文档
03-13
使用苹果cms 8x程序的朋友都知道,官方程序的充值卡生成后,不能导出,这就意味着要是生成很多卡号卡密后,不能批量复制, 此插件可导出苹果cms 8x生成的充值卡,可以导出未使用、已使用、全部充值卡 安装方法: 1、在本页下载插件压缩包, 2、下载后解压获得admin文件夹和inc文件夹,将这两个文件夹上传到你的程序中覆盖,注意,admin文件夹是默认的后台文件夹,如果你修改过这文件夹的名字,请将admin文件夹里的内容上传到你修改过的后台文件夹里面。 3、正确的上传覆盖后,即可在后台充值卡页面看到可以导出功能了
苹果cms采集提示错误后的解决方法
12-14
1,新安装的苹果CMS在采集时会遇到采集报错的情况,如下图所示!  一般报错基本是语言(vod_lang)和地域(vod_area)两个字段采集的数据超过了数据表字段的类型长度限制  2,解决方法:根据保存提示选择执行下面给出的2种对应SQL语句执行。SQL分别在下图所示地方单独执行                                        alter table {pre}vod modify column vod_lang varchar(255)                                        alter table {pre}vod
游戏黑卡代充36技术及库存系统案例分析
FairGuard手游加固(企业官方博客)
11-17 3852
游戏黑卡代充36技术及库存系统案例分析
iOS苹果IAP 充值
xixi
07-25 1625
这次遇到的问题主要有两点 1.税收那一块没有填好一些东西,这样会导致 在代里面调用SDK 没有办法返回 预先创建好的商品类。 2.进行付款时候 将记录进行本地存储。服务端也做这样的处理。 (毕竟这个是涉及到钱,谨慎一点好) 假设 我选择的product_id : com.mytest.xixi 这个id 是在 itunesconnect 设置好
IOS开发常用的三方库以及Xcode常用插件
litong19930321的专栏
07-15 1498
第三方库CocoaPodCocoaPod并不是iOS上的第三方库 而是大名鼎鼎的第三方库的管理工具在CocoaPod没有出现之前 第三方库的管理是非常痛苦的 尤其是一些大型的库(比如nimbus) 每次对库进行更新 都可能会非常的痛苦CocoaPod的出现解决了这些问题 以Framework的方式引入第三方库 极大的节约了集成的时间 而且通吃Objective-C和Swift(Swift上的Cath
苹果代充防范
果果爸的博客
06-10 2271
基本防范手段 (1)服务器验证receipt,止客户端串改 (2)验证receipt的订单支付时间是否在下单时间之后(止库存系统的代充) (3)校验订单唯一性,一个transaction_id只发一次货 (4)外币做一定的风控策略 (5)小额充值数量限制 高级防范手段 (1)苹果凭证信息中有一个字段是download_id,可以唯一表示一次app的下载,跟苹果账号绑定,基本可以唯...
iOS_苹果内购详细步骤
翱翔的魁魁
02-23 8373
苹果内购
苹果拆胶方法.doc-经验文摘
04-27
电子电器维修工程师要求对电子、仪器有深入的了解,能够根据合同要求与技术人员沟通或组织技术人员实施,有一定独立工作能力和创新精神,有维修电路板经验,会画原理图,精通各类元器件的专业人才。本人收集了一些关于电子维修的技术资料,欢迎下载。
苹果礼品卡批量充值秒充工具
05-03
实现itunes协议 脱机 itunes gift card 充值接口 及api
苹果酸、柠檬酸含量测定方法(HPLC)
04-04
苹果酸、柠檬酸含量测定方法(HPLC)
c语言涂格子游戏源.rar
04-22
c语言涂格子游戏源.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C++ 实现全连接神经网络及矩阵头文件 及技术指导
04-22
矩阵头文件
node-v14.7.0-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v16.6.0-linux-s390x.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
苹果版charles使用方法
07-27
苹果版Charles的使用方法如下: 1. 首先确保你的手机和电脑连接在同一个Wi-Fi网络下。 2. 在电脑上打开Charles软件,并查看本地IP地址。 3. 在手机上,进入Wi-Fi设置,点击当前连接的Wi-Fi网络的感叹号图标。 4....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值