黑产团伙对整个互联网行业有稳定的监控渠道并能够探测企业风控强度,他们能够找到风控薄弱的平台进行快速攻击和变现。
但是绝大部分企业方通过自身的数据流量是很难看清黑灰产业链的全貌,导致企业在面对黑灰产攻击时非常被动。
因此我们决定定期对黑灰产的攻击行为进行披露,提高整个行业的黑灰产攻防意识,增强企业攻防主动性。
TAG:
话费充值活动、薅羊毛、自动化工具、攻击流量、黑产资源
日期:
2019年3月28日
概述:
威胁猎人TH-Karma业务情报监测平台发现,2019年3月11日起有黑产团伙针对电商平台云集“话费充值9.7折”的营销活动进行持续的“薅羊毛攻击”。攻击量于2019年3月24日达到顶峰,远超日常黑灰产攻击流量的阈值。
薅羊毛逻辑:
云集发布“话费充值9.7折”营销活动,每个帐号每天可享受一次9.7折话费充值的优惠(50元以上)。
于是,有黑灰产团伙利用接码平台批量注册云集帐号。然后通过代充平台(蜜蜂等)向正常用户发布提供9.85折充值话费的服务。接到代充平台订单后,再通过囤积的帐号在云集平台上以9.7折的价格进行话费代充。
也就是说,每充值100元话费,黑灰产团伙就可赚取1.5元差价。
(图为:黑灰产变现逻辑)
图为:代充平台充值业务
(据TH-Karma监测,某云集账号从3月18号起,每天为不同的手机号充值一次,金额从50元到500元不等)
自动化攻击手法:
据威胁猎人TH-Karma业务情报监测平台监测,活动开始没多久,网络中就已经出现针对该活动的自动化攻击工具,且工具名多为“云集注册”、“云集注册+蜜蜂抢单”、“云集抢单最新专用”等。该类软件集成了云集平台批量注册,代充平台自动抢单、代充等一整套流程,黑产利用此类工具即可快速、大批量进行薅羊毛变现。
此类工具的主要功能如下:
o 通过接码平台自动注册或扫号,批量获取可用的云集帐号
o 自动保存帐号的登录信息,用于自动批量登录
o 检测帐号的当天剩余充值优惠次数及充值记录
o 自动发起通过云集平台给指定手机号充值的请求
o 部分工具配套在蜜蜂等平台抢代充话费订单的功能
威胁猎人TH-Karma业务情报监测平台显示,针对云集话费充值优惠活动的攻击从2019年3月11日开始,并于2019年3月24日达到峰值,日攻击总量达到73W+。
(图为2019年3月24日一天攻击趋势图)
黑灰产是一个完全趋利的群体,据威胁猎人的不完整统计,黑灰产仅2019年3月24日的单日获利可达80~100万。
具体成本与获利数据如下:
• 获利:单个云集账号:1.5元/天
• 成本:
注册账号:0.1元/个
购买工具:100~200元不等
1. 部分恶意手机号(部分)
|
17081471191
|
|
13807464940
|
|
18458343749
|
|
18458247757
|
|
18874696498
|
|
13456733041
|
|
17858410831
|
|
14709230712
|
|
13486394970
|
|
18334359597
|
|
15724966686
|
|
17139987161
|
|
15824448359
|
|
17191774886
|
|
13486380381
|
|
17847553440
|
|
13807463242
|
|
18334376250
|
|
17187663800
|
|
18314870955
|
|
17187663792
|
2.攻击源IP地址(部分,均为ADSL动态IP)
|
IP地址
|
归属地
|
|
125.44.92.188
|
河南省漯河市
|
|
115.234.109.148
|
浙江省温州市
|
|
221.234.159.51
|
湖北省武汉市
|
|
183.202.17.8
|
山西省临汾市
|
3.攻击工具(部分)
