电商行业黑灰产研究报告
统计了近一个月内黑灰产针对主流电商平台(京东、淘宝、拼多多和苏宁等)的攻击数据,发现:
揭秘电商黑灰产业链
在黑灰产业链中账号是基石,其数量和质量很大程度上决定了黑灰产的投入产出比,在电商行业更是如此。在双十一前夕黑灰产会储备大量的电商平台账号,这些账号往往被用于刷销量、刷好评、秒杀特价商品和抢优惠券等,流程如下图所示:
对该产业链分析如下:
(1) 攻击者:卡商、接码平台、号商
卡商:多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源向接码平台、号商等出售。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。
接码平台:负责连接卡商和有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。
号商(账号生产者):注册大量电商平台账号,并以人工或工具方式养号,借助账号代售平台出售账号。
交易渠道:QQ群、群组以及自建或第三方交易网站。
(2) 基础设施:手机卡、协议破解和软件开发
(3) 能力:破坏营商环境
(4) 受害者:电商平台、商家和正常用户
### 以流量为核心的黑灰产业链 双十一前夕,部分商家为了吸引用户的注意力而进行诸多工作如刷单、促销和广告导流等。在这个过程中,商家只需要向相应的工作室提需求,工作室可以短时间内实现精准引流、刷单和提高商品搜索权重等,如下图所示。
据威胁猎人情报数据分析,该产业链有四种业务模式:
模式1:电商平台砍价群组
根据消费者心理,组建大量砍价群,例如微信群、QQ群和论坛群组,此类群成员数量庞大且活跃,是高质量的流量群体。
衍生变现模式:
a) 在淘宝或其他渠道售卖加群资格,价格在0.1~1元/8个群不等,月销量有的高达3000以上,此类群成员是电商精准用户流量。
b) 当手中流量资源积累到一定量后,可引流至其他平台变现,如微商、网赚、新媒体、自媒体、淘宝客、金融、棋牌游戏、小说、营销运营等。
模式2:工作室刷量
金九银十,是商家为双十一做准备最紧要的关头,部分商家通过虚假刷单提高店铺销量、好评量、排名以及评分,领取双十一会场券,并且给顾客留下“好印象”。经威胁猎人调查统计,刷单细节如下:
商家向工作室提需求:
下图为某工作室制定的商家销量代刷佣金表:
刷手进行刷单整个流程如下:
然后利用空包网发“空包”完成物流,如下表格为某空包网业务价格:
从整个流程来看,工作室提供的刷单服务已经非常细致了,并且刷手所使用的电商账号大多跟正常买家无异,导致电商平台识别刷单行为需要提取更多的维度特征加以分析,给平台识别刷单带来诸多难题。
模式:薅羊毛 商家是为了拉新、促销、宣传等商业目标,会有各种面向消费者的抽奖、拉新送福利、送优惠券、折扣券等形形色色的优惠活动。这使得浩浩荡荡的“羊毛党”进军电商行业,通过新用户注册、刷单、抢券、低价买进高价卖出等,以低成本甚至零成本换取了高额利润。
薅羊毛已形成组织化、规模化和自动化的产业链,如今羊毛党遍布互联网,威胁猎人在QQ群检索“双十一羊毛”,一下子就出现非常多的薅羊毛QQ群,如下图所示:
模式:诈骗
“诈骗”,恐怕是我们听得最多的,安全意识薄弱的用户则是黑灰产眼里待宰的羔羊。黑灰产制作的精良的虚假电商钓鱼网站,用户往往难以识别出;其次黑灰产会从地下渠道购买电商订单数据,然后伪装成客服对买家施行诈骗。
根据360互联网安全中心发布的《2017年中国网购安全专题报告》 ,在2017年双十一近一个月内平均截获每天新增钓鱼网站3.0万,平均每天截获5901.7万次骚扰电话,平均每天拦截3329.1万条垃圾短信;报告还归纳总结了六大类钓鱼网站典型案例,包括虚假购物、投资理财、网游交易、虚假中奖、虚假兼职、假冒运营商。
对业务情报监测平台所监控到针对电商行业的攻击流量进行梳理和分析,发现爬虫流量占了非常大的比重。与此同时采集信息类工具在从9月末出现较大的增长幅度,我们发现工作室将采集的店铺信息、商品信息和优惠券信息等进行二次包装手机网赚平台,最终对外提供商家数据分析、关键字排名、竞争对手监控、抢购软件和店铺管理等服务,如下图所示:
对该产业链分析如下: 1) 攻击者:工作室
工作室:连接上游和下游的枢纽,通过完成下游的提出的需求来获利,具备一定的工具研发能力,大多使用、Lua、易语言等,有较强的反侦查能力。
主要操作:采集和包装电商平台数据,最终对外提供营销决策、商品抢购软件、数据售卖和店铺管理等;通过某些渠道获取订单详情并出售用户个人信息。
交易渠道:QQ群、微信群、论坛,以及自建或第三方交易网站。
黑灰产做了哪些准备?
结合业务情报监测平台,威胁猎人统计了主流电商平台在9月11号到10月21号期间所遭受到的攻击流量,走势图呈明显的上升趋势,如下图所示。据统计,爬虫攻击占总攻击流量的42.62%,攻击登陆接口流量占总攻击流量的13.30%。另外我们统计top 10攻击源城市的分布,发现攻击源IP主要落在上海市和金华市,如下图所示。
从攻击流量的走势图可以看出,黑灰产从10月8日开始已经蠢蠢欲动,正在为即将到来的双十一积极地准备“弹药”。
由于距离双十一还有段时间,平台和商家还有很多活动还没有开始,所以目前威胁猎人着重对黑灰产准备核心资源——账号的过程进行梳理和分析,包括上游卡商储备和提供大量手机号,中游工作室利用接码平台和自动化工具批量注册虚假账号。
近日,威胁猎人从卡商处了解到从最近关于电商平台的项目需求暴涨手机网赚平台,卡商还会建立双十一专用QQ群用于接码,如下图所示:
上图中的QQ群只接淘宝平台的短信验证码,价格为2.6元/次,通常这种通过私下渠道接码的价格会比接码平台的价格贵一些,下表为某接码平台上电商项目的价格:
结合业务情报监测平台的数据,威胁猎人统计了从9月24号到10月22号主流电商平台上每日虚假注册的账号数量,如下图所示:
从上图中可以看到,从9月24号到10月22号每日虚假注册的总量保持着增长的趋势,并最终达到次/日,其中京东平台是黑灰产主要关注对象,其次为淘宝。 经威胁猎人调查统计,目前主流电商平台各类型账号价格如下:
与此同时,针对电商平台注册类工具数量也较以往有所增幅,近两个月内威胁猎人业务情报监测平台共捕获89种电商平台注册工具,而且版本迭代非常迅速,如火牛注册工具(可注册主流电商平台账号),在短短的12天里就捕获到13个不同的版本。
除了注册类工具,针对电商行业的黑灰产工具还包括抢购类、信息采集类和辅助类工具。我们统计了9月份和10月份的工具样本,其中9月份针对电商的黑灰产工具总量为638种,10月份(截至22号)总量已达到768种,各类型占比如下: