作者:威胁猎人鬼谷实验室
版权申明
本报告版权属于威胁猎人(深圳永安在线科技有限公司),并受法律保护。未经允许不得擅自转载、摘编或利用其它方式使用本报告文字或者观点,如需转载请联系威胁猎人。违反上述声明者,将追究其相关法律责任。
前言
双十一电商狂欢节的脚步越来越近,黑灰产也摩拳擦掌。根据威胁猎人业务情报监测平台数据显示,针对2018年双十一活动,黑灰产已经厉兵秣马,开始做准备工作。本文中,威胁猎人会对电商行业所涉及的黑灰产业链进行梳理,结合威胁猎人业务情报监测平台捕获的数据,威胁猎人也将对黑灰产业链上中下游逐层进行剖析,揭开双十一前夕黑灰产的准备工作。
威胁猎人统计了近一个月内的黑灰产针对主流电商平台(京东、淘宝、拼多多和苏宁等)的攻击数据,发现:
- 黑灰产虚假注册主流电商平台账号达到 1545980个,其中虚假京东账号约占40%;
- 黑灰产针对主流电商平台接口的攻击量达到134743987次,其中爬虫攻击占42.62%,攻击登陆接口(批量登录和撞库)占13.30%;
- 针对主流电商平台黑灰产工具样本新增768种,其中辅助类工具占54%,信息采集工具占22%,抢购工具占16.7%,账号注册类工具占7.3%。
一、揭秘电商黑灰产业链
PC和移动互联网的蓬勃发展,在给我们的生活带来便利的同时,也催生了黑灰产这个畸形产物。黑灰产从诞生、发展到现如今高度成熟的整个历程中,电商行业扮演了重要的角色,在海量的新用户红包、优惠券、代金券、打折商品、秒杀活动等等“真金白银”的驱使下,黑灰产大军变得越来越庞大。双十一不仅是剁手党的购物狂欢,也是黑灰产的年度盛宴。根据威胁猎人掌握的情报数据来看,电商行业所涉及的黑灰产业链可分为四大核心:以账号为核心、以流量为核心、以信息为核心和以变现为核心。
1.1以账号为核心的黑灰产业链
在黑灰产业链中账号是基石,其数量和质量很大程度上决定了黑灰产的投入产出比,在电商行业更是如此。在双十一前夕黑灰产会储备大量的电商平台账号,这些账号往往被用于刷销量、刷好评、秒杀特价商品和抢优惠券等,流程如下图所示:
图1 以账号为核心产业链
对该产业链分析如下:
- 攻击者:卡商、接码平台、号商
卡商:多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源向接码平台、号商等出售。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。
接码平台:负责连接卡商和有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。
号商(账号生产者):注册大量电商平台账号,并以人工或工具方式养号,借助账号代售平台出售账号。
交易渠道:QQ群、Telegram群组以及自建或第三方交易网站。
- 基础设施:手机卡、协议破解和软件开发
- 能力:破坏营商环境
- 受害者:电商平台、商家和正常用户
1.2以流量为核心的黑灰产业链
双十一前夕,部分商家为了吸引用户的注意力而进行诸多工作如刷单、促销和广告导流等。在这个过程中,商家只需要向相应的工作室提需求,工作室可以短时间内实现精准引流、刷单和提高商品搜索权重等,如下图所示。
图2 以流量为核心产业链
据威胁猎人情报数据分析,该产业链有四种业务模式:
- 电商平台砍价群组
- 工作室刷量
- 引流
- 反向刷单
模式1:电商平台砍价群组
根据消费者心理,组建大量砍价群,例如微信群、QQ群和论坛群组,此类群成员数量庞大且活跃,是高质量的流量群体。
图3 砍价群
衍生变现模式:
- 在淘宝或其他渠道售卖加群资格,价格在0.1~1元/8个群不等,月销量有的高达3000以上,此类群成员是电商精准用户流量。
- 当手中流量资源积累到一定量后,可引流至其他平台变现,如微商、网赚、新媒体、自媒体、淘宝客、金融、棋牌游戏、小说、营销运营等。
图4 推广
模式2:工作室刷量
金九银十,是商家为双十一做准备最紧要的关头,部分商家通过虚假刷单提高店铺销量、好评量、排名以及评分,领取双十一会场券,并且给顾客留下“好印象”。经威胁猎人调查统计,刷单细节如下:
商家向工作室提需求:
下图为某工作室制定的商家销量代刷佣金表:
图5 代刷佣金表
刷手进行刷单整个流程如下:
- 商家提供待刷宝贝资料(关键字、旺旺号、刷单数量、刷单价格、刷单要求);
- 刷手根据关键字搜索宝贝;
- 货比4家,窗口进店,浏览主拍宝贝3-5分钟,浏览店内其它宝贝,停留宝贝页面5分钟;
- 假聊,若商家有特定假聊内容需要加收佣金(2元左右);
- 双收藏,收藏宝贝,收藏店铺;
- 拍下付款;
- 返款:一般为商家付款,有少量需要刷手垫付单。付款截图发送主持(商家和刷手见的中间人),主持返刷手佣金。
- 确认收货好评:必须物流信息签收后才能点击确认收货。好评规定评语并晒图的需加收佣金(2元左右);
然后利用空包网发“空包”完成物流,如下表格为某空包网业务价格:
表1 某空包网业务价格
图6 空包网价格
从整个流程来看,工作室提供的刷单服务已经非常细致了,并且刷手所使用的电商账号大多跟正常买家无异,导致电商平台识别刷单行为需要提取更多的维度特征加以分析,给平台识别刷单带来诸多难题。
1.3以变现为核心的黑灰产业链
模式:薅羊毛
商家是为了拉新、促销、宣传等商业目标,会有各种面向消费者的抽奖、拉新送福利、送优惠券、折扣券等形形色色的优惠活动。这使得浩浩荡荡的“羊毛党”进军电商行业,通过新用户注册、刷单、抢券、低价买进高价卖出等,以低成本甚至零成本换取了高额利润。
薅羊毛已形成组织化、规模化和自动化的产业链,如今羊毛党遍布互联网,威胁猎人在QQ群检索“双十一羊毛”,一下子就出现非常多的薅羊毛QQ群,如下图所示:
图7 薅羊毛QQ群
模式:诈骗
“诈骗”,恐怕是我们听得最多的,安全意识薄弱的用户则是黑灰产眼里待宰的羔羊。黑灰产制作的精良的虚假电商钓鱼网站,用户往往难以识别出;其次黑灰产会从地下渠道购买电商订单数据,然后伪装成客服对买家施行诈骗。
图8 电商订单数据样本
根据360互联网安全中心发布的《2017年中国网购安全专题报告》 ,在2017年双十一近一个月内平均截获每天新增钓鱼网站3.0万,平均每天截获5901.7万次骚扰电话,平均每天拦截3329.1万条垃圾短信;报告还归纳总结了六大类钓鱼网站典型案例,包括虚假购物、投资理财、网游交易、虚假中奖、虚假兼职、假冒运营商。
1.4以信息为核心的黑灰产业链
威胁猎人对业务情报监测平台所监控到针对电商行业的攻击流量进行梳理和分析,发现爬虫流量占了非常大的比重。与此同时采集信息类工具在从9月末出现较大的增长幅度,我们发现工作室将采集的店铺信息、商品信息和优惠券信息等进行二次包装,最终对外提供商家数据分析、关键字排名、竞争对手监控、抢购软件和店铺管理等服务,如下图所示:
图9 以信息为核心产业链
对该产业链分析如下:
- 攻击者:工作室
工作室:连接上游和下游的枢纽,通过完成下游的提出的需求来获利,具备一定的工具研发能力,大多使用Python、Lua、易语言等,有较强的反侦查能力。
主要操作:采集和包装电商平台数据,最终对外提供营销决策、商品抢购软件、数据售卖和店铺管理等;通过某些渠道获取订单详情并出售用户个人信息。
交易渠道:QQ群、微信群、论坛,以及自建或第三方交易网站。
- 基础设施:爬虫、协议破解、软件开发和传播渠道
- 能力:误导消费者、破坏营商环境和泄露用户信息泄露
- 受害者:电商平台、商家和正常用户
二、黑灰产做了哪些准备?
结合业务情报监测平台,威胁猎人统计了主流电商平台在9月11号到10月21号期间所遭受到的攻击流量,走势图呈明显的上升趋势,如下图所示。据统计,爬虫攻击占总攻击流量的42.62%,攻击登陆接口流量占总攻击流量的13.30%。另外我们统计top 10攻击源城市的分布,发现攻击源IP主要落在上海市和金华市,如下图所示。
图10 针对主流电商平台的黑灰产攻击流量走势图
图11 Top 10攻击源城市分布
从攻击流量的走势图可以看出,黑灰产从10月8日开始已经蠢蠢欲动,正在为即将到来的双十一积极地准备“弹药”。
由于距离双十一还有段时间,平台和商家还有很多活动还没有开始,所以目前威胁猎人着重对黑灰产准备核心资源——账号的过程进行梳理和分析,包括上游卡商储备和提供大量手机号,中游工作室利用接码平台和自动化工具批量注册虚假账号。
近日,威胁猎人从卡商处了解到从最近关于电商平台的项目需求暴涨,卡商还会建立双十一专用QQ群用于接码,如下图所示:
图12 淘宝专用接码群
图13 接码QQ群消息记录
上图中的QQ群只接淘宝平台的短信验证码,价格为2.6元/次,通常这种通过私下渠道接码的价格会比接码平台的价格贵一些,下表为某接码平台上电商项目的价格:
厂商 |
语音实卡(元/次) |
短信实卡(元/次) |
短信虚卡(元/次) |
京东 |
1.5 |
0.5 |
0.5 |
淘宝 |
3.0 |
2.0 |
0.5 |
拼多多 |
– |
0.5 |
0.5 |
苏宁 |
– |
0.5 |
0.2 |
表2 某接码平台电商项目价格表
结合业务情报监测平台的数据,威胁猎人统计了从9月24号到10月22号主流电商平台上每日虚假注册的账号数量,如下图所示:
图14 主流电商平台每日虚假注册的账号数量
从上图中可以看到,从9月24号到10月22号每日虚假注册的总量保持着增长的趋势,并最终达到70363次/日,其中京东平台是黑灰产主要关注对象,其次为淘宝。
经威胁猎人调查统计,目前主流电商平台各类型账号价格如下:
表3 主流电商平台账号价格表
与此同时,针对电商平台注册类工具数量也较以往有所增幅,近两个月内威胁猎人业务情报监测平台共捕获89种电商平台注册工具,而且版本迭代非常迅速,如火牛注册工具(可注册主流电商平台账号),在短短的12天里就捕获到13个不同的版本。
Md5 |
工具名称 |
捕获时间 |
1b5a0f58fb262ac77dc1ff8819c53935 |
火牛注册扫号V1.1.3.exe |
2018-09-22 23:36:44 |
2b2284b79b27e04123d97b2cd633cc92 |
火牛注册扫号V1.1.2.exe |
2018-09-22 22:39:44 |
cec15ab15ebeca9e361ae82ebfb0e1a9 |
火牛注册扫号V1.1.1.exe |
2018-09-22 16:35:30 |
525e37b918c559074ae01684831100ba |
火牛注册扫号V1.0.9.exe |
2018-09-21 00:53:56 |
6de8e8d169dcf62b6b097f6898c533d5 |
火牛注册扫号V1.0.9.exe |
2018-09-20 22:13:56 |
8e78afdb3f17011e046cca54a9fb868d |
火牛注册扫号V1.0.8.exe |
2018-09-20 15:38:16 |
581502a21a7630ec5a6c18d468884885 |
火牛注册扫号V1.0.7.exe |
2018-09-18 14:58:26 |
23c84e6bbe9e794f459a6c82129fc28a |
火牛注册扫号V1.0.6.exe |
2018-09-13 18:02:46 |
a9ca74e2cc24cc845c1cbaa3fc53e102 |
火牛注册扫号V1.0.4.exe |
2018-09-13 14:02:33 |
74fe9300c091962129de32fc0b4a805d |
火牛注册扫号V1.0.4.exe |
2018-09-12 23:54:00 |
88b5eded8e02b72ca086630801da9bdc |
火牛注册扫号V1.0.3.exe |
2018-09-11 16:00:57 |
e536840a3c7351ee43c8c39c05e5e00d |
火牛注册扫号V1.0.2.exe |
2018-09-11 15:11:37 |
a6e637df2065a96d78af51e2fc0edddc |
火牛注册扫号V1.0.1.exe |
2018-09-10 22:43:05 |
表4 火牛注册工具
除了注册类工具,针对电商行业的黑灰产工具还包括抢购类、信息采集类和辅助类工具。我们统计了9月份和10月份的工具样本,其中9月份针对电商的黑灰产工具总量为638种,10月份(截至22号)总量已达到768种,各类型占比如下:
三、总结
临近双十一购物狂欢,黑灰产已准备好弹药蓄势待发。威胁猎人业务情报监测平台已经监控到明显的针对电商行业的黑灰产活跃度上升趋势,并且威胁猎人相信,这种上升趋势会一直延续到双十一前后,并且攻击模式也将由前期的资源储备逐渐向后期的利用变现转换。
双十一前后曝露了针对电商行业的黑灰产最阴暗的一面,黑产大军不遗余力地想从这场年度盛宴中分得一杯羹。不论是破坏电商公平竞争环境的刷单操作,还是大肆掠夺折扣券、优惠券,秒杀特价商品这些影响正常用户权益的恶意行为,作为核心资源的账号资源扮演了极其重要的角色。对于各大电商而言,如何在最后的冲刺阶段有效地管控虚假账号,将是能否跑赢黑灰产的关键。在此,威胁猎人给出几点建议:
- 在临近双十一期间,提升账号注册/登录的风控安全等级,尽可能在减少影响用户体验的情况下,提高黑灰产使用账号的难度和成本;
- 手机黑卡是整个账号黑灰产业链的源头,结合第三方手机黑卡情报库,提高手机黑卡识别率,便能提高虚假账号的识别率,降低后期反欺诈的成本;
- 积极主动收集和监控相关黑灰产情报,例如研究主流账号注册机/扫号器的注册/登录逻辑、研究抢购软件的工作原理,从方法和流程上打击黑灰产的自动化效率。
说明
1.数据来源说明:
本报告数据来源于威胁猎人TH-Karma业务情报监测平台,取样主要采取“关键词取样”、“相似度采样”和“分层采样”方式,基于上述数据取样方式所得的数据分析结果与实际情况之间可能存在一定的偏差,敬请谅解。
2. 业务情报监测平台说明:
业务情报监测平台——TH-Karma,以攻击者视角,依托开源情报、工具情报、闭源情报三大业务情报体系,及深层次的情报处理能力,帮助企业在业务环节精准筛选出恶意流量,还原业务风险场景,并量化对业务的影响,且持续对黑产进行实时监测,驱动风控决策引擎迭代,从而提升企业整体攻防效率。
发表评论
您还未登录,请先登录。
登录