-
-
[原创]黑产大数据:恶意邮箱迎来新爆发
-
发表于: 2021-9-16 15:30 5430
-
随着移动互联网的发展,QQ、微信、手机号等社交账号逐渐成为互联网行业账号注册的主流方式,但这种认证方式并非唯一,在很多注册场景下,电子邮箱依旧占有一席之地。而在海外的业务中,电子邮箱注册依旧是较为主流的账号注册方式。
鉴于电子邮箱无需实名即可注册,在企业无法了解用户更多的相关信息的情况下,缺失对邮箱用户的标签画像。一群具有灵敏嗅觉的群体,便快速嗅到了其中的利益,他们就是行业口中的黑产。黑产可以通过手段获取大量的邮箱账号,通过邮箱账号进行虚假注册、刷单、薅羊毛、垃圾广告等方式获取利益,让企业蒙受巨大的经济和口碑损失。
本文基于永安在线对邮箱长期的监控和研究,为大家剖析基于邮箱生态的黑产活动,并给出防护思路,希望以专业、全面的视角帮助企业认知在邮箱场景下的黑灰产产业,加强防御,避免损失。
## 一、互联网企业争相出海,恶意邮箱呈爆发式增长
互联网大潮风起云涌,国内互联网在蓬勃发展的同时竞争也日益激烈,大批的互联网公司选择出海,为了适应海外用户以邮箱做为账号体系,在业务中开放了邮箱注册入口,与此同时也给黑产带来可乘之机。
另外,邮箱注册的成本极其低廉,公共邮箱的成本每个大概在0.1元到0.2元不等,临时邮箱的获取甚至可以是0成本。邮箱账号相对于手机号来说,在资源获取的方式上更为简单,且价格低廉。近期也因国内断卡行动导致黑产获取手机号的难度大大增加,手机号资源稀缺且价格昂贵,成本大约是邮箱的10~100倍不等。
二、恶意邮箱来源:临时邮箱&公共邮箱
黑产使用的邮箱账号分为两类,临时邮箱账号及公共邮箱账号,网上有着大量提供临时邮箱的网站,但有些甲方企业会设置邮箱的白名单,只允许使用某些常用的公共邮箱注册,这时候黑产就无法使用临时邮箱,不得已使用接码平台批量注册公共邮箱进行作恶。
目前我们监控到黑产使用公共邮箱、临时邮箱的占比如下图,可看出黑产更偏向于使用临时邮箱进行作恶。
三、风险邮箱现状
01、临时邮箱的数量快速增长
早在2000年时市场已经存在临时邮箱,随着网络越来越发达,人们也变得更加注重个人隐私,提供临时邮箱的网站也随之增加,对想保护隐私的个人来说,起到了便捷的作用;但对觊觎通过临时邮箱进行作恶的黑产来说,他们可以通过大量临时邮箱批量注册账号进行作恶。世界上最大的代码托管平台github上也有开源的临时邮箱系统,黑产只需要花百来块钱,买个域名,买台服务器,安装上docker,再输入两条命令即可完成临时邮箱系统的搭建。
02、临时邮箱成本低廉,降低黑产攻击成本
大多数提供临时邮箱服务的网站,以免费提供服务来吸引用户获得流量,通过在页面上嵌入广告来盈利;少部分临时邮箱网站也会通过收费的方式来盈利,付费后提供更多的临时邮箱后缀。
临时邮箱网站上的邮箱后缀是公共的,被很多人使用过,有些邮箱后缀可能已经被甲方拉入黑名单,无法再用于注册。临时邮箱网站自身也因为成本的原因不太可能频繁换新的域名,所以某些网站除了提供免费的服务外,还可自行添加新的邮箱域名,网站提供了以下两种方法:
第一种方法先购买域名,自己去给域名添加好MX记录(MX记录简单讲就是告诉服务器你该把邮件往哪发),指向特定的地址,然后等待1分钟到1天的时间,在其网站上就可以使用新的域名来收发邮件了;
第二种方法适合小白用户,只要你把域名买好,再把在哪个网站买的域名、账号密码、需要设置哪个域名,通过邮件的形式告诉对方,对方将会帮你设置好所有的东西,静静等待即可使用。
虽然这样可以很方便快捷的新增一个域名用于临时邮箱,但是将自己购买的域名解析到别人的MX记录上,意味着别人也可以用你的域名来收发邮件,可能会被他人用于发送垃圾、钓鱼邮件,给自身带来风险。
03、临时邮箱呈头部聚集
根据永安在线的观察,提供临时邮箱的网站中最少的仅提供1个临时邮箱后缀,最多的网站提供的后缀数量与之相差数千倍,提供的后缀数量越多可吸引越多的用户,“长尾效应”极其明显。
04、单通过域名难以识别临时邮箱
临时邮箱其实是个域名,少部分临时邮箱有着很明显的特征,在域名中会直接含括“临时”含义的英文或拼音,如tmp、linshi,如下所示:
但其余大部分域名看起来跟正常的域名一样,无法通过表面来判别是否为临时邮箱,这些域名中用的最多的顶级域名是.com,也是国际最广泛流行的通用域名格式,从顶级域名上难以区分是否为临时邮箱:
以及这些域名的注册商不乏来自些知名的域名注册商,黑产在购买域名时也跟大多数人一样会选择知名度较高的网站,即也无法通过注册商来判断是否为临时邮箱:
还有一类较为特别的临时邮箱,以edu.ge后缀伪装成的校园邮箱,黑产可以用来白嫖教育优惠。
综上所述,无论是从顶级域名、域名注册商的角度等来看,都无法很好地识别是否为临时邮箱,但可给罕见的顶级域名、域名注册商打一个较高的风险分数,结合IP、设备等其他维度的信息做综合评估,降低风险。
05、公共邮箱中,新浪邮箱最受黑产欢迎
相对于临时邮箱,公共邮箱下也存在着不少的正常用户,黑产在使用这些公共邮箱时,跟正常用户混在一起,企业就无法像临时邮箱一样通过后缀来精准识别。永安在线监控到的黑产持有的公共邮箱后缀占比如下:
经调研发现新浪邮箱占比最高,其主要原因是因为:
- 新浪邮箱可以直接登陆新浪微博,黑产可以在新浪微博上进行账号刷赞、刷粉等恶意行为;
- 新浪微博可以登陆抖音,黑产也可以在抖音上进行账号刷赞、刷粉等恶意行为(即使是新浪微博被封禁的恶意账号也可以在抖音进行登陆,且都是正常抖音账号);
- 新浪微博作为三大社交平台(QQ、微信、微博)在其他应用场景支持授权登陆,作恶场景丰富。
四、黑产攻击手法多样,各行业都难逃黑产之手
根据永安在线的观察,近段时间黑产之间交易邮箱的数量一直呈现较为平稳的趋势,通过邮箱进行作恶的供需一直存在,在2017年-2020年间呈现爆发式增长。
01、利用一邮多名的特性无限注册
gmail有个一邮多名的特性,黑产利用这个特性理论上能用一个邮箱账号生成出无限个邮箱账号:
(1)在邮箱的用户名任意位置中插入".",gmail会忽略用户名中的".";
(2)在邮箱的用户名末尾位置插入"+",并在"+"后面可插入符合邮箱用户名规范的字符,gmail会忽略"+"及后面的内容。
比如我的邮箱是dcaywsn11@gmail.com,通过一邮多名发送邮件:
在用户名中加一个"."发送成功:
dcaywsn1.1@gmail.com===dcaywsn11@gmail.com
在用户名每个字符间加"."发送成功:
d.c.a.y.w.s.n.1.1@gmail.com===dcaywsn11@gmail.com
在用户名末尾加"+"发送成功:
dcaywsn11+test@gmail.com===dcaywsn11@gmail.com
"."和"+"一起使用发送成功:
d.c.a.y.w.s.n.1.1+test@gmail.com===dcaywsn11@gmail.com
综上所述,"."和"+"一起搭配使用,即可以构造出无限种形态的邮箱账号,我们也发现已经有黑产在利用这个特性进行作恶,下图所示是某个利用一邮多名特性的临时邮箱网站:
02、利用临时邮箱绕过平台活动限制
某A平台举办签到领现金活动,黑产使用接码平台批量注册A平台账号,进行签到领现金操作,在提现环节,因为A平台限制每个支付宝账号只能绑定一个A平台账号,不同账号无法使用同一支付宝账号进行提现,黑产使用临时邮箱对支付宝账号邮箱进行换绑,绕过平台的限制,达到A平台不同账号可使用一个支付宝账号反复进行提现。
03、线上业务成为攻击重灾区,攻击遍布各行各业
基于邮箱使用的场景大多为线上业务开放邮箱注册的入口,这使得邮箱攻击的对象大多为互联网行业企业。基于永安在线业务安全情报平台的数据,我们对被邮箱攻击的企业中进行行业划分,并统计了攻击占比,如下所示:
五、永安在线解决方案
永安在线邮箱风险画像产品是国内唯一一家基于情报能力,通过对黑灰产团伙监控系统构建的风险邮箱画像产品,可识别覆盖国内外临时邮箱和黑产持有的各类正常邮箱账号,有效帮助企业解决账号风险问题。
对于邮箱风险画像画像返回的风险值,企业可结合不同业务场景的容忍度做综合限制策略,有效防御黑灰产为薅羊毛发起的自动化批量攻击,帮助客户减少了营销经费损失。
邮箱风险画像产品解决的场景问题
1、阻断营销作弊,避免活动经费损失
黑灰产通过恶意注册大量账号,薅取新人注册奖励(如现金红包奖励)、营销活动优惠券、邀新助力奖励(如现金或积分兑换奖品)等,可通过该产品及时阻断风险邮箱,避免活动经费被套取或变现。
2、防止恶意引流,降低用户被欺诈的风险
黑灰产通过恶意账号大量发布广告信息,进行用户引流,可能导致客户上当受骗,严重影响平台口碑。企业可在注册登录流程中接入风险邮箱画像产品,通过风险邮箱历史作恶行为发现恶意引流账号进行识别。
3、识别恶意刷量,保障业务健康运行
黑灰产通过恶意注册大量账号,进行刷帖、刷评论、刷点赞,制造不良舆论等影响论坛/社区氛围的行为,企业可通过风险邮箱画像产品对恶意刷量的虚假账号进行识别。
永安在线与其他邮箱风险画像产品的差异
六、应用案例
某视频平台,发现大量黑产使用临时邮箱进行注册,在业务中针对营销活动薅羊毛和投票活动刷量,给平台造成了巨大的资产损失,严重影响平台生态。为防止黑产批量注册垃圾账号进行作恶,该平台对多家供应商进行了临时邮箱识别能力的测试。测试环节中,该客户提供平台全量邮箱注册数据,永安在线邮箱风险画像识别出其中存在22.7%的风险邮箱,经过客户核验,识别到出的风险邮箱准确率达98%。对比其他厂商,永安在线的邮箱风险画像产品达到该企业对精准度与覆盖度的要求,最终达成合作。
该平台在邮箱注册和邮箱绑定环节接入永安在线“邮箱风险画像”产品,对识别出的风险邮箱进行直接拦截,每日拦截风险邮箱比例高达20%~30%。在拦截掉风险邮箱后,该平台将查询到的邮箱类型补充用户的画像标识,通过对用户进行精细化分层运营,帮助业务部门拦截大量虚假注册,让业务部门能够掌握更准确的用户数据,解决因虚假账号带来的资金损失及负面影响。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)