首页
社区
课程
招聘
[原创]“618”购物活动在即,黑产狂薅某零售电商平台满减优惠券事件分析
发表于: 2019-6-14 10:26 10913

[原创]“618”购物活动在即,黑产狂薅某零售电商平台满减优惠券事件分析

2019-6-14 10:26
10913

TAG:满减优惠券,恶意注册,薅羊毛

时间:2019年6月13日

事件描述


近日,威胁猎人反欺诈情报监测平台TH-Karma监控发现,在“618”购物节即将来临之际,某零售电商平台上线了满减优惠券的领取活动。活动规定:在6月10日-6月14日活动期间,在商城APP首页滚动栏,选择“618”进入相关活动页面,每天上午10点可以抢“满199元减100元”优惠券。活动上线当日遭受黑灰产羊毛党大规模攻击,并且,攻击规模在活动持续期间出现了扩大趋势。



TH-Karma监控数据显示,该平台平日遭受的恶意注册攻击量日均1K+,6月10日“满199减100”优惠券开放领取当日攻击量陡增至8.5W+,6月11日,即活动第二天,攻击量持续上升,飙涨至前一日的2倍。



薅羊毛逻辑


羊毛党通过恶意注册进入平台大肆领取满减优惠券,然后再通过其他渠道进行优惠券倒卖或商品转售等形式进行变现。

此次“618优惠券领取”活动规定,同一用户仅限领取一张优惠券,并且同一账号,同一终端设备号,同一收货信息视为同一用户。



但羊毛党利用接码平台,秒拨等黑产资源,以及群控,改机等黑产工具,就能一定程度上绕过活动规则,完成批量注册虚假账号,大量领取活动优惠券。同时,根据我们捕获到的相关信息推测,羊毛党的主要变现路径体现在:

  • 用“满199减100”优惠券低价买入部分商品,然后将商品转卖赚取差价
  • 利用发卡平台转售优惠券,从中获利




攻击规模


TH-Karma监控数据:

6月10日:85861
6月11日:162610

目前领券活动仍在持续进行,根据6月11日攻击规模预估,活动期间日均攻击量可以达到16W上下,虚假账号日均注册量可以达到6W+。

攻击接口




黑灰产成本及获利


成本

  • 单个账号注册成本:0.1~0.2元/个


获利

  • 转售商品获利:20~100元/件
  • 倒卖优惠券获利:10~30元/张


攻击涉及的工具


恶意注册攻击通常会使用到接码平台、打码平台来完成虚假账号的批量注册,这次也不例外。羊毛党利用接码平台获取手机号注册,再利用打码平台绕过验证码的验证。此外,还利用到了代理IP平台不断更换访问接口时的IP地址,绕过平台设定的IP访问限制。





完成恶意注册后,利用一些自动化工具,可以完成平台的自动抢券:



威胁指标(IOC)


恶意注册手机号(部分)

18443253672
14785459564
17044356278
16506841405
15545794389
17044357513
15561711406
18445808769
17012950546
17796293646
16510937183
15776061792
15681633404
18845848124
16520965017
16506757923
13059099482
15997376709
15101671071
18645401764
13281991064
18404587816
13221650642

攻击源IP地址(部分)

112.38.237.51
121.225.217.245
117.136.89.236
114.221.191.235
49.74.34.236
113.111.29.153
119.44.61.106
183.67.59.44
119.248.151.66
121.225.225.0
116.54.33.6
183.67.61.95
183.67.62.36

黑产资源


代理IP

http://www.xdaili.cn/
http://www.89ip.cn/

接码平台

http://huoyun888.cn/api/do.php
http://api.shjmpt.com:9002/pubApi/
http://api.ixinsms.com/api/do.php
http://39.98.47.121:9091/api/getSms/
http://api.dk827.com/index.php
http://www.ximahuang.com
http://api.fxhyd.cn/UserInterface.aspx
http://api.juxiutu.com/Api
http://www.66yzm.com/api/
http://www.cherryun.com:8000/doApi
http://web.166idc.com/ActionApi/
http://www.6tudou.com:9000/devapi/
http://api.jmyzm.com/
http://api.duomi01.com/api
http://www.mangopt.com:9000/doApi/
http://api.ndd001.com/do.php
http://39.98.47.121:9091/api/

打码平台

http://api.ruokuai.com/
http://jiyan.c2567.com
http://jian.cf

威胁猎人建议


企业在上线营销活动前要做好活动风险的评估工作。可通过接入风险预警平台,了解黑灰产攻击动向及规模,预判活动风险,并设置相应的风控策略。在监控到攻击规模扩大时,要及时升级风控策略,在有限的时间内将风险降至最低。

黑灰产作恶离不开底层资源的支持,如,虚假账号、黑IP。企业可以通过接入外部手机号风险数据库,增强对虚假注册的识别以及对恶意注册的拦截;接入黑IP识别工具,在拦截黑IP访问的基础上,直接阻止恶意账号的登录。

特别提醒:618购物节即将到来,各大企业务必做好风险防控措施,谨防黑灰产攻击造成大额损失。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 181
活跃值: (621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
易语言
2019-6-14 14:01
0
雪    币: 1107
活跃值: (508)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
黑产的确很猖獗
2019-7-31 14:52
0
游客
登录 | 注册 方可回帖
返回
//