揭秘刷单产业链:羊毛党如何进军电商平台?

6.拍下付款;

7.返款:一般为店家付款,有少量须要刷手垫付单。付款截图发送主持(商家和刷手见的中间人),主持返刷手佣金。

8.确认收货好评:必须货运信息签收后才会点击确认收货。好评规定评语并晒图的需加收佣金(2元左右);

然后借助空包网发“空包”完成货运,如下表格为某空包网业务价钱:

表1 某空包网业务价钱

图6 空包网价钱

从整个流程来看,工作室提供的刷单服务早已十分细致了,并且刷手所使用的电商帐号大多跟正常卖家无异,导致电商平台辨识刷单行为须要提取更多的维度特点加以剖析,给平台辨识刷单带来众多困局。

1.3 以变现为核心的黑灰产业链

模式:薅羊毛

商家是为了拉新、促销、宣传等商业目标,会有各类面向消费者的中奖、拉新送福利、送优惠券、折扣券等形形色色的让利活动。这促使浩浩荡荡的“羊毛党”进军电商行业,通过新用户注册、刷单、抢券、低价买进高价卖出等,以低成本甚至零成本换取了高额收益。

薅羊绒已产生组织化、规模化和自动化的产业链,如今羊绒党布满互联网,威胁猎人在QQ群检索“双十一羊绒”,一下子就出现特别多的薅羊绒QQ群,如下图所示:

图片[1]-揭秘刷单产业链:羊毛党如何进军电商平台?-老王博客

图7 薅羊绒QQ群

模式:诈骗

“诈骗”,恐怕是我们听得最多的,安全意识薄弱的用户则是黑灰产眼中待宰的羔羊。黑灰产制做的精湛的虚假电商钓鱼网站,用户常常无法辨识出;其次黑灰产会从地下渠道订购电商订单数据,然后伪装成客服对卖家实施盗窃。

图8 电商订单数据样本

根据360互联网安全中心发布的《2017年中国网购安全专题报告》 ,在2017年双十一近一个月内平均查获每晚新增钓鱼网站3.0万,平均每晚查获5901.7万次恐吓电话,平均每晚拦截3329.1万条垃圾邮件;报告还归纳总结了六大类钓鱼网站典型案例,包括虚假购物、投资理财、网游交易、虚假抽奖、虚假兼职、假冒运营商。

1.4 以信息为核心的黑灰产业链

威胁猎人对业务情报检测平台所监控到针对电商行业的功击流量进行梳理和剖析,发现爬虫流量占了十分大的比重。与此同时采集信息类工具在从9月末出现较大的增长幅度,我们发觉工作室将采集的店面信息、商品信息和优惠券信息等进行二次包装,最终对外提供店家数据剖析、关键字排行、竞争对手监控、抢购软件和店面管理等服务,如下图所示:

图9 以信息为核心产业链

对该产业链剖析如下:

1) 攻击者:工作室

工作室:连接上游和下游的枢纽,通过完成下游的提出的需求来获利,具备一定的工具研制能力,大多使用Python、Lua、易语言等,有较强的反侦查能力。

主要操作:采集和包装电商平台数据,最终对外提供营销决策、商品疯抢软件、数据售卖和店面管理等;通过个别渠道获取订单详情并转让用户个人信息。

交易渠道:QQ群、微信群、论坛,以及自建或第三方交易网站。

2) 基础设施:爬虫、协议破解、软件开发和传播渠道

3) 能力:误导消费者、破坏营商环境和窃取用户信息泄漏

4) 受害者:电商平台、商家和正常用户

黑灰产做了什么打算?

结合业务情报检测平台,威胁猎人统计了主流电商平台在9月11号到10月21号期间所遭遇到的功击流量,走势图呈显著的上升趋势,如下图所示。据统计,爬虫功击占总功击流量的42.62%,攻击登录插口流量占总功击流量的13.30%。另外我们统计top 10功击源城市的分布,发现攻击源IP主要落在上海市和金华市,如下图所示。

图片[2]-揭秘刷单产业链:羊毛党如何进军电商平台?-老王博客

图10 针对主流电商平台的黑灰产功击流量走势图

图11 Top 10功击源城市分布

从功击流量的走势图可以看出,黑灰产从10月8日开始早已蠢蠢欲动,正在为正式到来的双十二积极地打算“弹药”。

由于距离双十二还有段时间,平台和店家还有好多活动还没有开始,所以目前恐吓猎人注重对黑灰产打算核心资源——账号的过程进行梳理和剖析,包括上游卡商储备和提供大量手机号,中游工作室借助接码平台和自动化工具批量注册虚假帐号。

近日,威胁猎人从卡商处了解到从近来关于电商平台的项目需求激增,卡商都会完善双十二专用QQ群用于接码,如下图所示:

图12 淘宝专用接码群

图13 接码QQ群消息记录

上图中的QQ群只接天猫平台的邮件验证码,价格为2.6元/次,通常这些通过私下渠道接码的价钱会比接码平台的价钱贵一些,下表为某接码平台上电商项目的价钱:

表2 某接码平台电商项目价格表

结合业务情报检测平台的数据,威胁猎人统计了从9月24号到10月22号主流电商平台上每日虚假注册的帐号数目,如下图所示:

图14 主流电商平台每日虚假注册的帐号数目

从上图中可以见到,从9月24号到10月22号每日虚假注册的总数保持着下降的趋势,并最终达到70363次/日,其中易迅平台是黑灰产主要关注对象,其次为天猫。

经恐吓猎人调查统计,目前主流电商平台各类型帐号价钱如下:

表3 主流电商平台帐号价格表

与此同时,针对电商平台注册类工具数目也较往年有所增速,近两个月内恐吓猎人业务情报检测平台共捕获89种电商平台注册工具,而且版本迭代十分迅速,如火牛注册工具(可注册主流电商平台帐号),在短短的12天里就捕获到13个不同的版本。

表4 火牛注册工具

图片[3]-揭秘刷单产业链:羊毛党如何进军电商平台?-老王博客

除了注册类工具,针对电商行业的黑灰产工具还包括疯抢类、信息采集类和辅助类工具。我们统计了9月份和10月份的工具样本,其中9月份针对电商的黑灰产工具总数为638种,10月份(截至22号)总量已达到768种,各类型占例如下:

图15 工具类型占比图

3.总结

临近双11购物狂欢,黑灰产已打算好弹药蓄势待发。威胁猎人业务情报检测平台早已监控到显著的针对电商行业的黑灰产活跃度上升趋势,并且恐吓猎人相信,这种上升趋势会仍然延续到双十二前后,并且功击模式也将由前期的资源储备逐步向后期的借助变现转换。

双十一前后暴露了针对电商行业的黑灰产最阴郁的一面,黑产大军不遗余力地想从这场年度盛事短发得一杯羹。不论是破坏电商公平竞争环境的刷单操作,还是趁机劫掠折扣券、优惠券,秒杀特惠商品这种影响正常用户权益的恶意行为,作为核心资源的帐号资源饰演了非常重要的角色。对于各大电商而言,如何在最后的冲刺阶段有效地管控虚假帐号,将是能够跑赢黑灰产的关键。在此,威胁猎人给出几点建议:

第一,在临近双十二期间,提升帐号注册/登录的风控安全等级,尽可能在降低影响用户体验的情况下,提高黑灰产使用帐号的难度和成本;

第二,手机黑卡是整个帐号黑灰产业链的源头,结合第三方手机黑卡情报库,提高手机黑卡识别率,便能提升虚假帐号的识别率,降低后期反欺诈的成本;

第三,积极主动搜集和监控相关黑灰产情报,例如研究主流帐号注册机/扫号器的注册/登录逻辑、研究疯抢软件的工作原理,从方式和流程上严打黑灰产的自动化效率。

数据来源说明:

本报告数据来源于恐吓猎人TH-Karma业务情报检测平台,取样主要采取“关键词采样”、“相似度取样”和“分层取样”方式,基于上述数据采样方法所得的数据剖析结果与实际情况之间可能存在一定的误差,敬请谅解。

业务情报检测平台说明:

业务情报检测平台——TH-Karma,以攻击者视角,依托开源情报、工具情报、闭源情报三大业务情报体系,及深层次的情报处理能力,帮助企业在业务环节精准筛选出恶意流量,还原业务风险场景,并量化对业务的影响,且持续对黑产进行实时检测,驱动风控决策引擎迭代,从而提高企业整体攻守效率。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论