某家電電商平臺遭薅羊毛分析：黑產利用拉新刷分+折扣代購做惡

TAG：新人專享活動、刷積分、折扣價代購

日期：2019年5月18日

1、事件描述

概述

近日，威脅獵人業務情報監測平臺TH-Karma監測到有黑灰產團伙大量涌入某個家電電商平臺，針對其「新用戶專享好禮」活動發起薅羊毛攻擊，經過刷拉新獎勵並折扣價代購的形式進行變現。該平臺平常活躍度並不高，但在15日和16日兩天內，咱們所監控到的其黑產流量達到全網第一，15日單日黑灰產攻擊量達17萬+。目前該平臺已經修改活動規則。

薅羊毛邏輯

此電商平臺發起的「新用戶專享好禮」活動顯示，只要成功邀請好友註冊便可得到2000積分，價值20元，積分能夠購物時抵扣，邀請人數沒有上線。所以，黑灰產經過刷拉新獎勵並折扣價代購的形式進行變現。

一方面黑灰產提供代刷積分的服務，經過提供虛假新用戶賬號，幫助某些用戶刷積份量，2000積分僅須要1元錢；

另外一方面，這些擁有大量積分的用戶提供低折扣代購家電服務。（備註：這裏每一個用戶的價值積分遠大於通常的電商平臺，也是由於該電商平臺主要經營內容爲家用電器，最低商品價值都在300元以上。）

負責代刷積分的黑灰產，每刷一個新用戶名額，獲利1元。

負責折扣價代購的黑灰產，每次的獲利爲代購價-利用積分抵扣過的商品價-刷積分紅本。

某些黑灰產曬出來的刷分「戰果」。

使用的工具

這次黑灰產利用的攻擊工具跟絕大部分用於惡意註冊的工具基本一致。這類工具經過從接碼平臺獲取手機號碼，而後調用廠商的接口帶上邀請碼進行註冊。只要使用打碼平臺繞過驗證碼的驗證，就能完成註冊邀請。

2、黑灰產的成本與獲利

因爲這次的攻擊量巨大，且優惠力度巨大。據威脅獵人不徹底統計，黑灰僅5月16日當日的獲利可達50萬。

具體成本與獲利數據以下：

• 獲利：單個賬號獲利：1元
  折扣代購獲利：10～500元／次
• 成本：註冊賬號：0.1元／個
  購買工具：100～200元不等

3、攻擊規模

保守估計，針對該家電電商平臺拉新活動的攻擊，日攻擊量達17W次。

4、威脅指標（IOC）

1）惡意註冊手機號（部分）：

19991893184

17045540645

13614464924

15943586943

17082059511

18783195246

17048468599

17059178448

17115961595

17090627269

13214599084

17131674312

18625003517

18744299545

17192344809

13943665947

15545722043

13451462634

13244596554

13807467340

2）攻擊源IP地址（部分）：

222.214.234.60

183.69.202.251

61.149.234.36

122.192.231.217

27.213.156.40

183.197.148.29

171.38.207.167

49.89.130.227

112.0.149.113

113.247.73.236

183.197.148.111

3）攻擊工具（部分）：

 

5、涉及的黑產資源

1）接碼平臺：

http://api.duomi01.com/api

http://api.ipadh.cn/do.php

http://api.jmyzm.com/http.do

http://huoyun888.cn/api/do.php

http://www.517orange.com:9000/devApi

http://www.cherryun.com:8000/doApi

2）打碼平臺：

http://jiyan.c2567.com

http://v1-http-api.jsdama.com

http://jian.cf

6、威脅獵人建議

1. 企業安全團隊在制定活動營銷方案前，需提早對自身的活動進行風險測試和評估，設置好風險閥值。藉助第三方情報能力，及時掌握黑灰產的最新動向，做出相應的風控調整。
2. 由此事件和以前咱們分析過的幾回黑灰產攻擊能夠看出，絕大部分黑灰產做惡的工具和核心資源都是針對虛假賬號，整個惡意註冊是業務風控核心攻防場景。黑灰產的手機號資源會在不一樣平臺上完成數百次註冊，所以企業能夠考慮接入外部手機號風險數據的補充加強對虛假註冊的識別以及對惡意註冊的攔截。