某家电电商平台遭薅羊毛分析:黑产利用拉新刷分+折扣代购作恶
1、事件描述
概述
近日,威胁猎人业务情报监测平台TH-Karma监测到有黑灰产团伙大量涌入某个家电电商平台,针对其“新用户专享好礼”活动发起薅羊毛攻击,通过刷拉新奖励并折扣价代购的形式进行变现。该平台日常活跃度并不高,但在15日和16日两天内,我们所监控到的其黑产流量达到全网第一,15日单日黑灰产攻击量达17万+。目前该平台已经修改活动规则。
薅羊毛逻辑
此电商平台发起的“新用户专享好礼”活动显示,只要成功邀请好友注册即可获得2000积分,价值20元,积分可以购物时抵扣,邀请人数没有上线。因此,黑灰产通过刷拉新奖励并折扣价代购的形式进行变现。
一方面黑灰产提供代刷积分的服务,通过提供虚假新用户帐号,帮助某些用户刷积分量,2000积分仅需要1元钱;
另一方面,这些拥有大量积分的用户提供低折扣代购家电服务。(备注:这里每个用户的价值积分远大于一般的电商平台,也是因为该电商平台主要经营内容为家用电器,最低商品价值都在300元以上。)
负责代刷积分的黑灰产,每刷一个新用户名额,获利1元。
负责折扣价代购的黑灰产,每次的获利为代购价-利用积分抵扣过的商品价-刷积分成本。
某些黑灰产晒出来的刷分“战果”。
使用的工具
此次黑灰产利用的攻击工具跟绝大部分用于恶意注册的工具基本一致。这类工具通过从接码平台获取手机号码,然后调用厂商的接口带上邀请码进行注册。只要使用打码平台绕过验证码的验证,就能完成注册邀请。
2、黑灰产的成本与获利
由于此次的攻击量巨大,且优惠力度巨大。据威胁猎人不完全统计,黑灰仅5月16日当日的获利可达50万。
具体成本与获利数据如下:
· 获利:单个帐号获利:1元
- 折扣代购获利:10~500元/次
· 成本:注册帐号:0.1元/个
- 购买工具:100~200元不等
3、攻击规模
保守估计,针对该家电电商平台拉新活动的攻击,日攻击量达17W次。
4、威胁指标(IOC)
1)恶意注册手机号(部分):
19991893184
17045540645
13614464924
15943586943
17082059511
18783195246
17048468599
17059178448
17115961595
17090627269
13214599084
17131674312
18625003517
18744299545
17192344809
13943665947
15545722043
13451462634
13244596554
13807467340
2)攻击源IP地址(部分):
222.214.234.60
183.69.202.251
61.149.234.36
122.192.231.217
27.213.156.40
183.197.148.29
171.38.207.167
49.89.130.227
112.0.149.113
113.247.73.236
183.197.148.111
3)攻击工具(部分):
5、涉及的黑产资源
1)接码平台:
· http://api.duomi01.com/api
· http://api.ipadh.cn/do.php
· http://api.jmyzm.com/http.do
· http://huoyun888.cn/api/do.php
· http://www.517orange.com:9000/devApi
· http://www.cherryun.com:8000/doApi
2)打码平台:
· http://jiyan.c2567.com
· http://v1-http-api.jsdama.com
· http://jian.cf
6、威胁猎人建议
1.企业安全团队在制定活动营销方案前,需提前对自身的活动进行风险测试和评估,设置好风险阀值。借助第三方情报能力,及时掌握黑灰产的最新动向,作出相应的风控调整。
2.由此事件和之前我们分析过的几次黑灰产攻击可以看出,绝大部分黑灰产作恶的工具和核心资源都是针对虚假帐号,整个恶意注册是业务风控核心攻防场景。黑灰产的手机号资源会在不同平台上完成数百次注册,因此企业可以考虑接入外部手机号风险数据的补充增强对虚假注册的识别以及对恶意注册的拦截。
