文档章节

某家电电商平台遭薅羊毛分析:黑产利用拉新刷分+折扣代购作恶

永安在线反欺诈
 永安在线反欺诈
发布于 05/29 11:54
字数 1116
阅读 24
收藏 0

TAG:新人专享活动、刷积分、折扣价代购

日期:2019年5月18日

一、事件描述

概述

近日,威胁猎人业务情报监测平台TH-Karma监测到有黑灰产团伙大量涌入某个家电电商平台,针对其“新用户专享好礼”活动发起薅羊毛攻击,通过刷拉新奖励并折扣价代购的形式进行变现。该平台日常活跃度并不高,但在15日和16日两天内,我们所监控到的其黑产流量达到全网第一,15日单日黑灰产攻击量达17万+。目前该平台已经修改活动规则。

薅羊毛逻辑

此电商平台发起的“新用户专享好礼”活动显示,只要成功邀请好友注册即可获得2000积分,价值20元,积分可以购物时抵扣,邀请人数没有上线。因此,黑灰产通过刷拉新奖励并折扣价代购的形式进行变现。

一方面黑灰产提供代刷积分的服务,通过提供虚假新用户帐号,帮助某些用户刷积分量,2000积分仅需要1元钱;

另一方面,这些拥有大量积分的用户提供低折扣代购家电服务。(备注:这里每个用户的价值积分远大于一般的电商平台,也是因为该电商平台主要经营内容为家用电器,最低商品价值都在300元以上。)

负责代刷积分的黑灰产,每刷一个新用户名额,获利1元。

负责折扣价代购的黑灰产,每次的获利为代购价-利用积分抵扣过的商品价-刷积分成本。

某些黑灰产晒出来的刷分“战果”。

使用的工具

此次黑灰产利用的攻击工具跟绝大部分用于恶意注册的工具基本一致。这类工具通过从接码平台获取手机号码,然后调用厂商的接口带上邀请码进行注册。只要使用打码平台绕过验证码的验证,就能完成注册邀请。

二、黑灰产的成本与获利

由于此次的攻击量巨大,且优惠力度巨大。据威胁猎人不完全统计,黑灰仅5月16日当日的获利可达50万。

具体成本与获利数据如下:

  • 获利:单个帐号获利:1元
    折扣代购获利:10~500元/次
  • 成本:注册帐号:0.1元/个
    购买工具:100~200元不等

三、攻击规模

保守估计,针对该家电电商平台拉新活动的攻击,日攻击量达17W次。

四、威胁指标(IOC)

1)恶意注册手机号(部分):

19991893184

17045540645

13614464924

15943586943

17082059511

18783195246

17048468599

17059178448

17115961595

17090627269

13214599084

17131674312

18625003517

18744299545

17192344809

13943665947

15545722043

13451462634

13244596554

13807467340

2)攻击源IP地址(部分):

222.214.234.60

183.69.202.251

61.149.234.36

122.192.231.217

27.213.156.40

183.197.148.29

171.38.207.167

49.89.130.227

112.0.149.113

113.247.73.236

183.197.148.111

3)攻击工具(部分):

 

五、涉及的黑产资源

1)接码平台:

http://api.duomi01.com/api

http://api.ipadh.cn/do.php

http://api.jmyzm.com/http.do

http://huoyun888.cn/api/do.php

http://www.517orange.com:9000/devApi

http://www.cherryun.com:8000/doApi

2)打码平台:

http://jiyan.c2567.com

http://v1-http-api.jsdama.com

http://jian.cf

六、威胁猎人建议

  1. 企业安全团队在制定活动营销方案前,需提前对自身的活动进行风险测试和评估,设置好风险阀值。借助第三方情报能力,及时掌握黑灰产的最新动向,作出相应的风控调整。
  2. 由此事件和之前我们分析过的几次黑灰产攻击可以看出,绝大部分黑灰产作恶的工具和核心资源都是针对虚假帐号,整个恶意注册是业务风控核心攻防场景。黑灰产的手机号资源会在不同平台上完成数百次注册,因此企业可以考虑接入外部手机号风险数据的补充增强对虚假注册的识别以及对恶意注册的拦截。

© 著作权归作者所有

永安在线反欺诈

永安在线反欺诈

粉丝 4
博文 5
码字总数 11600
作品 0
深圳
私信 提问
拼多多不哭,薅羊毛的江湖水太深

拼多多承认自己被薅羊毛了,还嚷嚷着要报警。 1 月 20 日,据新浪微博“互联网的那点事”爆料:“从20号凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是...

李勤
01/20
0
0
618购物节前夕,我发现了一个薅羊毛群

618又要来了,每逢购物节商家们都会提前抛出种种优惠诱惑,而各位买手尽管一万次高喊老子今年不剁手,但最终还是剁了一万零一次手…… 早在一个月前,雷锋网编辑就开启了准备工作: “这个需...

又田
2018/06/17
0
0
黑产作恶利器——手机黑卡为何物?

     前言   深圳X写字楼里,陈坚强眼睛充满血丝的紧盯屏幕,亮光反射在他带着油光的痘痘面庞,嘴角轻笑,“终于要来了,我要秒杀全场”,这双手待命太久。时钟刚刚走到6.18的零点,陈...

嘶吼RoarTalk
2018/08/01
0
0
网易双11“超级工程”:反欺诈系统应用实践

  【IT168 技术】每年双十一,不仅是剁手族的狂欢节,更是各大电商技术团队技术水平与技术创新实践检验的舞台,不断创新高的销售额、交易峰值、支付峰值,这些惊人数字的背后都离不开强力的...

it168网站
2017/11/12
0
0
【反欺诈场景剖析】虚假账号的产生和流转

【反欺诈场景剖析】是威胁猎人黑灰产报告的一个系列,我们希望通过对反欺诈实际场景的剖析出发,帮助企业发现业务风控过程重的核心关键点。此篇主要介绍反欺诈场景中虚假账号的产生和流转规模...

威胁猎人
05/30
80
0

没有更多内容

加载失败,请刷新页面

加载更多

CSS3 : transition 属性

本文转载于:专业的前端网站➧CSS3 : transition 属性 CSS3的 transition 属性用于状态过度效果! 1、语法: 1 transition: property duration timing-function delay;2 -moz-transition: ...

前端老手
32分钟前
6
0
一个简单的加密工具,性能貌似不行,待优化

一个简单的加密工具,性能貌似不行,待优化 package com.kxvz.common.crypt;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import java.i......

Kxvz
35分钟前
5
0
vue实现路由懒加载

一、为什么要实现懒加载 减少首屏加载时间,避免白屏 二、常用的懒加载方式有两种:即使用vue异步组件 和 ES中的import a、vue异步加载: import Vue from 'vue' import Router from 'vue-ro...

Bing309
37分钟前
7
0
axios拦截器

axios.interceptors.response.use(response => { if (response.data.code == 0) { return response.data } else if (response.data.code == 600) { Cookies.remove('Admin-Token') router.pu......

Cyoya
39分钟前
6
0
给大家分享下部署云桌面的几个小技巧

从去年4月份开始我们公司就开始使用云桌面来进行上网办公的,在这一年多的使用过程中并没有出现像网上和有些用户说的那样,说云桌面各种坑老是出现这样和那样的问题,而我们之所以用的还不错...

GZASD
40分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部