图3 砍价群
图4 推广
模式2:工作室刷量
金九银十,是商家为双十一做准备最紧要的关头,部分商家通过虚假刷单提高店铺销量、好评量、排名以及评分,领取双十一会场券,并且给顾客留下“好印象”。经威胁猎人调查统计,刷单细节如下:
商家向工作室提需求:
下图为某工作室制定的商家销量代刷佣金表:
图5 代刷佣金表
刷手进行刷单整个流程如下:
1、商家提供待刷宝贝资料(关键字、旺旺号、刷单数量、刷单价格、刷单要求);
2、刷手根据关键字搜索宝贝;
3、货比4家,窗口进店,浏览主拍宝贝3-5分钟,浏览店内其它宝贝,停留宝贝页面5分钟;
4、假聊,若商家有特定假聊内容需要加收佣金(2元左右);
5、双收藏,收藏宝贝,收藏店铺;
6、拍下付款;
7、返款:一般为商家付款,有少量需要刷手垫付单。付款截图发送主持(商家和刷手见的中间人),主持返刷手佣金。
8、确认收货好评:必须物流信息签收后才能点击确认收货。好评规定评语并晒图的需加收佣金(2元左右);
然后利用空包网发“空包”完成物流,如下表格为某空包网业务价格:
表1 某空包网业务价格
图6 空包网价格
从整个流程来看,工作室提供的刷单服务已经非常细致了,并且刷手所使用的电商账号大多跟正常买家无异,导致电商平台识别刷单行为需要提取更多的维度特征加以分析,给平台识别刷单带来诸多难题。
1.3 以变现为核心的黑灰产业链
模式:薅羊毛
商家是为了拉新、促销、宣传等商业目标,会有各种面向消费者的抽奖、拉新送福利、送优惠券、折扣券等形形色色的优惠活动。这使得浩浩荡荡的“羊毛党”进军电商行业,通过新用户注册、刷单、抢券、低价买进高价卖出等,以低成本甚至零成本换取了高额利润。
薅羊毛已形成组织化、规模化和自动化的产业链,如今羊毛党遍布互联网,威胁猎人在QQ群检索“双十一羊毛”,一下子就出现非常多的薅羊毛QQ群,如下图所示:
图7 薅羊毛QQ群
模式:诈骗
“诈骗”,恐怕是我们听得最多的,安全意识薄弱的用户则是黑灰产眼里待宰的羔羊。黑灰产制作的精良的虚假电商钓鱼网站,用户往往难以识别出;其次黑灰产会从地下渠道购买电商订单数据,然后伪装成客服对买家施行诈骗。
图8 电商订单数据样本
根据360互联网安全中心发布的《2017年中国网购安全专题报告》 ,在2017年双十一近一个月内平均截获每天新增钓鱼网站3.0万,平均每天截获5901.7万次骚扰电话,平均每天拦截3329.1万条垃圾短信;报告还归纳总结了六大类钓鱼网站典型案例,包括虚假购物、投资理财、网游交易、虚假中奖、虚假兼职、假冒运营商。
1.4 以信息为核心的黑灰产业链
威胁猎人对业务情报监测平台所监控到针对电商行业的攻击流量进行梳理和分析,发现爬虫流量占了非常大的比重。与此同时采集信息类工具在从9月末出现较大的增长幅度,我们发现工作室将采集的店铺信息、商品信息和优惠券信息等进行二次包装,最终对外提供商家数据分析、关键字排名、竞争对手监控、抢购软件和店铺管理等服务,如下图所示:
图9 以信息为核心产业链
对该产业链分析如下:
1) 攻击者:工作室
工作室:连接上游和下游的枢纽,通过完成下游的提出的需求来获利,具备一定的工具研发能力,大多使用Python、Lua、易语言等,有较强的反侦查能力。
主要操作:采集和包装电商平台数据,最终对外提供营销决策、商品抢购软件、数据售卖和店铺管理等;通过某些渠道获取订单详情并出售用户个人信息。
交易渠道:QQ群、微信群、论坛,以及自建或第三方交易网站。
2) 基础设施:爬虫、协议破解、软件开发和传播渠道
3) 能力:误导消费者、破坏营商环境和泄露用户信息泄露
4) 受害者:电商平台、商家和正常用户
▍黑灰产做了哪些准备?
结合业务情报监测平台,威胁猎人统计了主流电商平台在9月11号到10月21号期间所遭受到的攻击流量,走势图呈明显的上升趋势,如下图所示。据统计,爬虫攻击占总攻击流量的42.62%,攻击登陆接口流量占总攻击流量的13.30%。
图10 针对主流电商平台的黑灰产攻击流量走势图
从攻击流量的走势图可以看出,黑灰产从10月8日开始已经蠢蠢欲动,正在为即将到来的双十一积极地准备“弹药”。
由于距离双十一还有段时间,平台和商家还有很多活动还没有开始,所以目前威胁猎人着重对黑灰产准备核心资源——账号的过程进行梳理和分析,包括上游卡商储备和提供大量手机号,中游工作室利用接码平台和自动化工具批量注册虚假账号。
近日,威胁猎人从卡商处了解到从最近关于电商平台的项目需求暴涨,卡商还会建立双十一专用QQ群用于接码,如下图所示:
图11 淘宝专用接码群
图12 接码QQ群消息记录
上图中的QQ群只接淘宝平台的短信验证码,价格为2.6元/次,通常这种通过私下渠道接码的价格会比接码平台的价格贵一些,下表为某接码平台上电商项目的价格:
表2 某接码平台电商项目价格表
结合业务情报监测平台的数据,威胁猎人统计了从9月24号到10月22号主流电商平台上每日虚假注册的账号数量,如下图所示:
图13 主流电商平台每日虚假注册的账号数量
从上图中可以看到,从9月24号到10月22号每日虚假注册的总量保持着增长的趋势,并最终达到70363次/日,其中京东平台是黑灰产主要关注对象,其次为淘宝。
经威胁猎人调查统计,目前主流电商平台各类型账号价格如下:
表3 主流电商平台账号价格表
与此同时,针对电商平台注册类工具数量也较以往有所增幅,近两个月内威胁猎人业务情报监测平台共捕获89种电商平台注册工具,而且版本迭代非常迅速,如火牛注册工具(可注册主流电商平台账号),在短短的12天里就捕获到13个不同的版本。
表4 火牛注册工具
Facebook刷粉
Telegram粉丝购买
Tiktok涨粉平台
