话费充值活动遭薅羊毛事件分析

黑产团伙对整个互联网行业有稳定的监控渠道并能够探测企业风控强度,他们能够找到风控薄弱的平台进行快速攻击和变现。但是绝大部分企业方通过自身的数据流量是很难看清黑灰产业链的全貌,导致企业在面对黑灰产攻击时非常被动。因此我们决定定期对黑灰产的攻击行为进行披露,提高整个行业的黑灰产攻防意识,增强企业攻防主动性。

TAG:话费充值活动、薅羊毛、自动化工具、攻击流量、黑产资源

日期:2019年3月28日

事件描述 

概要

威胁猎人TH-Karma业务情报监测平台发现,2019年3月11日起有黑产团伙针对电商平台云集“话费充值9.7折”的营销活动进行持续的“薅羊毛攻击”。攻击量于2019年3月24日达到顶峰,远超日常黑灰产攻击流量的阈值。

薅羊毛逻辑:
   

云集发布“话费充值9.7折”营销活动,每个帐号每天可享受一次9.7折话费充值的优惠(50元以上)。

于是,有黑灰产团伙利用接码平台批量注册云集帐号。然后通过代充平台(蜜蜂等)向正常用户发布提供9.85折充值话费的服务。接到代充平台订单后,再通过囤积的帐号在云集平台上以9.7折的价格进行话费代充。

也就是说,每充值100元话费,黑灰产团伙就可赚取1.5元差价。


图为:代充平台充值业务    
(据TH-Karma监测,某云集账号从3月18号起,每天为不同的手机号充值一次,金额从50元到500元不等)

自动化攻击手法:        
   

据威胁猎人TH-Karma业务情报监测平台监测,活动开始没多久,网络中就已经出现针对该活动的自动化攻击工具,且工具名多为“云集注册”、“云集注册+蜜蜂抢单”、“云集抢单最新专用”等。该类软件集成了云集平台批量注册,代充平台自动抢单、代充等一整套流程,黑产利用此类工具即可快速、大批量进行薅羊毛变现。

此类工具的主要功能如下:

通过接码平台自动注册或扫号,批量获取可用的云集帐号;

自动保存帐号的登录信息,用于自动批量登录;

检测帐号的当天剩余充值优惠次数及充值记录;

自动发起通过云集平台给指定手机号充值的请求;

部分工具配套在蜜蜂等平台抢代充话费订单的功能。

攻击规模

威胁猎人TH-Karma业务情报监测平台显示,针对云集话费充值优惠活动的攻击从2019年3月11日开始,并于2019年3月24日达到峰值,日攻击总量达到73W+。

黑灰产的成本和获利

黑灰产是一个完全趋利的群体,据威胁猎人的不完整统计,黑灰产仅2019年3月24日的单日获利可达80~100万。

具体成本与获利数据如下:

获利:

单个云集账号:1.5元/天;

成本:

注册账号:0.1元/个;

购买工具:100~200元不等。

威胁指标(IOC)

1.部分恶意手机号(部分)

17081471191
13807464940
18458343749
18458247757
18874696498
13456733041
17858410831
14709230712
13486394970
18334359597
15724966686
17139987161
15824448359
17191774886
13486380381
17847553440
13807463242
18334376250
17187663800
18314870955
17187663792

2.攻击源IP地址(部分,均为ADSL动态IP)

IP地址归属地
125.44.92.188河南省漯河市
115.234.109.148浙江省温州市
221.234.159.51湖北省武汉市
183.202.17.8山西省临汾市 

3.攻击工具(部分)

文件名MD5
云集8.92_(修正).exe460aa3894442525a0bde4e5fb45aefb2
云集注册登录 .exe878bd8f43a5e5fa4e0fce2ade55d36cb
云集1.5.exe97bae6f7bb4d0c97949fc4a8ed43eacf
智· 云集充值助手 v1.8.exe920de167dc7999cc27f10712f83b5d2b
超级抢单_新接口20.云集最新专用.zip4e6d04d6cbbea85f74f31298dfd5bdc5
云集APP半自动注册+蜜蜂抢单.exe6a3597258104f0b8c96cfa7afed7a1d4

4.黑产资源——接码平台:

http://api.duomi01.com/api

http://api.ipadh.cn/do.php

http://api.jmyzm.com/http.do

http://huoyun888.cn/api/do.php

http://www.517orange.com:9000/devApi

http://www.cherryun.com:8000/doApi 

威胁猎人建议

1.补充外部风险数据标签,对注册账号进行风险识别。

2.做好业务流量监控,借助外部的情报能力,确保能及时发现黑灰产攻击动态,调整更新失效的风控策略。

关于我们

威胁猎人是一家以业务安全情报能力见长的创新型安全企业,旨在为客户提供业务攻防情报,从防控到打击的全方位业务安全解决方案。自成立始,公司投入大量资源,打造了一整套国内领先的业务安全情报监控与预警体系,形成强大的黑灰产布控能力,为客户提供黑灰产情报及业务风控解决方案。目前已为腾讯、百度、阿里、华为等互联网企业提供业务安全服务。

*本文作者:威胁猎人Threathunter


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注