TAG:满减优惠券,恶意注册,薅羊毛
时间:2019年6月13日
事件描述
近日,威胁猎人反欺诈情报监测平台TH-Karma监控发现,在“618”购物节即将来临之际,某零售电商平台上线了满减优惠券的领取活动。活动规定:在6月10日-6月14日活动期间,在商城APP首页滚动栏,选择“618”进入相关活动页面,每天上午10点可以抢“满199元减100元”优惠券。活动上线当日遭受黑灰产羊毛党大规模攻击,并且,攻击规模在活动持续期间出现了扩大趋势。
TH-Karma监控数据显示,该平台平日遭受的恶意注册攻击量日均1K+,6月10日“满199减100”优惠券开放领取当日攻击量陡增至8.5W+,6月11日,即活动第二天,攻击量持续上升,飙涨至前一日的2倍。
薅羊毛逻辑
羊毛党通过恶意注册进入平台大肆领取满减优惠券,然后再通过其他渠道进行优惠券倒卖或商品转售等形式进行变现。
此次“618优惠券领取”活动规定,同一用户仅限领取一张优惠券,并且同一账号,同一终端设备号,同一收货信息视为同一用户。
但羊毛党利用接码平台,秒拨等黑产资源,以及群控,改机等黑产工具,就能一定程度上绕过活动规则,完成批量注册虚假账号,大量领取活动优惠券。同时,根据我们捕获到的相关信息推测,羊毛党的主要变现路径体现在:
- 1. 用“满199减100”优惠券低价买入部分商品,然后将商品转卖赚取差价
- 2. 利用发卡平台转售优惠券,从中获利
攻击规模
TH-Karma监控数据:
6月10日:85861
6月11日:162610
目前领券活动仍在持续进行,根据6月11日攻击规模预估,活动期间日均攻击量可以达到16W上下,虚假账号日均注册量可以达到6W+。
攻击接口
黑灰产成本及获利
成本
- 单个账号注册成本:0.1~0.2元/个
获利
- 转售商品获利:20~100元/件
- 倒卖优惠券获利:10~30元/张
攻击涉及的工具
恶意注册攻击通常会使用到接码平台、打码平台来完成虚假账号的批量注册,这次也不例外。羊毛党利用接码平台获取手机号注册,再利用打码平台绕过验证码的验证。此外,还利用到了代理IP平台不断更换访问接口时的IP地址,绕过平台设定的IP访问限制。
完成恶意注册后,利用一些自动化工具,可以完成平台的自动抢券:
威胁指标(IOC)
恶意注册手机号(部分)
18443253672
14785459564
17044356278
16506841405
15545794389
17044357513
15561711406
18445808769
17012950546
17796293646
16510937183
15776061792
15681633404
18845848124
16520965017
16506757923
13059099482
15997376709
15101671071
18645401764
13281991064
18404587816
13221650642
攻击源IP地址(部分)
112.38.237.51
121.225.217.245
117.136.89.236
114.221.191.235
49.74.34.236
113.111.29.153
119.44.61.106
183.67.59.44
119.248.151.66
121.225.225.0
116.54.33.6
183.67.61.95
183.67.62.36
黑产资源
代理IP
http://www.xdaili.cn/
http://www.89ip.cn/
接码平台
http://huoyun888.cn/api/do.php
http://api.shjmpt.com:9002/pubApi/
http://api.ixinsms.com/api/do.php
http://39.98.47.121:9091/api/getSms/
http://api.dk827.com/index.php
http://www.ximahuang.com
http://api.fxhyd.cn/UserInterface.aspx
http://api.juxiutu.com/Api
http://www.66yzm.com/api/
http://www.cherryun.com:8000/doApi
http://web.166idc.com/ActionApi/
http://www.6tudou.com:9000/devapi/
http://api.jmyzm.com/
http://api.duomi01.com/api
http://www.mangopt.com:9000/doApi/
http://api.ndd001.com/do.php
http://39.98.47.121:9091/api/
打码平台
http://api.ruokuai.com/
http://jiyan.c2567.com
http://jian.cf
威胁猎人建议
企业在上线营销活动前要做好活动风险的评估工作。可通过接入风险预警平台,了解黑灰产攻击动向及规模,预判活动风险,并设置相应的风控策略。在监控到攻击规模扩大时,要及时升级风控策略,在有限的时间内将风险降至最低。
黑灰产作恶离不开底层资源的支持,如,虚假账号、黑IP。企业可以通过接入外部手机号风险数据库,增强对虚假注册的识别以及对恶意注册的拦截;接入黑IP识别工具,在拦截黑IP访问的基础上,直接阻止恶意账号的登录。
特别提醒:618购物节即将到来,各大企业务必做好风险防控措施,谨防黑灰产攻击造成大额损失。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
