黑灰产情报周报｜某快递公司存在内鬼泄漏快递信息事件

黑灰产情报周报是永安在线开通的新栏目，基于永安在线的业务安全情报平台及长期的黑灰产研究，旨在为风控从业者提供最新的行业趋势分析及动态。

一、概述

本周猎人君发现：

• 在真人作恶风险情报新发现一款 专门分发电商刷单任务 的真人众包APP；

• 在数据泄漏风险情报发现 某快递公司存在内鬼泄漏快递信息 的情报；

• 在API风险情报发现 某家视频直播公司长期遭受账号场景的攻击 ，过去一周，包括注册、登录、忘记密码等接口，被攻击的总流量次数，在整个账号风险流量的占比平均高达85%。

本周业务安全情报分为如下8个部分，可到对应情报分析模块查看详细数据和分析：

• 真人作恶风险情报——针对电商刷单任务分发的真人众包APP

• 数据泄漏风险情报——某通快递公司发生内鬼泄漏快递信息

• API风险情报——某直播公司长期遭受账号场景攻击

• 黑产作恶工具风险情报——某电商助力活动工具分析

• 流量欺诈风险情报

• 黑产交易风险情报

• 黑产作恶手机卡风险情报

• 黑产作恶IP风险情报

二、本周业务安全情报详情

2.1 真人作恶风险情报

以下是近一周，每日新增真人作恶任务数量变化结果：

图1-1 每日新增真人作恶任务数

根据真人作恶针对的行业不同，进行如下统计划分：

图1-2 真人作恶在不同行业分布情况

针对电商刷单任务分发的真人众包APP

传统的真人众包平台一般包含APP下载、注册、认证、刷单、刷量等多种类型的任务，比如“赚*了” 、“*帮”等是传统的真人众包平台，平台的任务类型较为复杂多样，近期猎人君发现一款名为 “西*区”的细分化真人众包平台 ，这款众包平台主打 电商刷单 ，是发布电商刷单任务的聚合平台。

目前平台刷单任务对象主要是淘宝、天猫以及拼多多，根据APP的更新时间和平台现有任务量，猜测 此平台正处于发展萌芽阶段 ，电商行业平台应警惕此类平台的发展，避免组织化、规模化的刷单对平台评论生态造成的危害。

图1-3  刷单平台首页截图

2.2 数据泄漏风险情报

以下是对近两周，每日新增数据泄露产业人数规模和每日发生事件数量变化结果：

图2-1 近两周每日新增数据泄漏数据表

根据数据泄漏针对的行业不同，进行如下统计划分：

图2-2 数据泄漏行业分布情况

某通快递公司发生内鬼泄漏快递信息

近期猎人君发现有黑产在暗网公开贩卖某通快递公司的快递信息，黑产声称出售的是 一手源头网购未签收数据 ，经过数据验证后，我们发现此人所售快递单号验证为实时订单，并且均为 同一快递站点发出 ，因此猎人君猜测，某通快递公司存在内鬼泄漏快递信息风险事件。

图2-3  暗网论坛截图

2.3 API风险情报

永安在线从本周开始，新增“API风险情报”。“API风险情报”依托于永安在线情报系统，直接在流量发起侧，对黑产团伙的攻击流量进行监控，在对黑灰产攻击活动进行感知的同时，以达到：“捕获异常流量、预警风险接口” 的目的。

我们发现，某家视频直播公司长期遭受账号场景的攻击，过去一周，包括注册、登录、忘记密码等接口，被攻击的总流量次数，在整个账号风险流量的占比平均高达85%。

这家视频直播公司，最常被攻击的接口为：

图3-1  某直播公司最常被攻击接口

在占比最高的"文章、帖子刷量类型中"，国内社交平台 X博 的占比最高，达93%，在其中某个叫做 朱x诺 的明星话题贴，刷量最严重的，占总刷量的约达70%以上，主要刷贴为：

• https://weibo.com/p/10080851d7e6ce533a502c7xxxxxxxxxxxxxxxx/super_index

2.4 黑产作恶工具风险情报

以下是近一周，每日新增黑产作恶工具数量变化结果：

以下是以MD5作为工具唯一ID统计而来的数据。

图4-1 每日新增捕获工具数量

某电商助力活动工具分析

近期我们捕获一款针对某电商平台的拉新活动的作弊工具，此工具通过整合接码平台手机号资源可以实现自动邀请注册的功能，获得平台拉新奖励。

工具基本信息：

程序运行后界面：

工具攻击的部分接口：

某社区团购自动下单工具分析

通过静态分析，推测本工具被用来攻击**团。黑产人员使用了接码平台来获取批量的手机号，并且使用打码平台、代理平台等辅助资源绕过平台的防御机制，最终非法拼团获取活动的奖励。

工具基本信息：

程序运行后界面：

工具攻击的部分接口：

2.5 流量欺诈风险情报