网络促销活动屡见不鲜,但恶意刷取优惠资源的“羊毛党”同样层出不穷。
8月7日,聚美优品推出了一次“任性免费送”的零元购活动,该活动主要针对APP用户及微博粉丝,希望投入真金白银的福利回馈广大用户。然而,活动开始后,消费者反馈手机页面登录困难,很多礼品不到一个小时便被抢完。聚美优品CEO陈欧随后在微博上表示活动受到黑客攻击,随后更晒出截图,“真想把黑客的电话曝出来,还有起名灰太狼的!”
为杜绝刷单的继续猖狂,肃清行业歪风邪气。聚美优品联手腾讯云共同建立防刷机制。经过刷单数据离线分析、实时防刷系统搭建、持续策略优化后,腾讯云防刷系统正式接入聚美注册与活动系统,并在8月25、26日的聚美商品免费送活动中,成功发现大量恶意帐号,避免被刷造成的巨额损失。
活跃在电商网站刷单为生的“黑客”们到底是谁?
说他们是黑客,其实不太准确,他们工作并什么技术含量。其实就是一群唯利是图的小人,他们成群结队,在网络上到处搜集各大厂商的优惠活动,并使用大量小号+代理IP刷取优惠资源,最后转卖获利。黑产市场上这种人被称为“羊毛党”。
一般情况下,羊毛党在刷取优惠活动资源时,都会经历帐号注册、资源刷取、倒卖获利这三个环节,下面给大家分别介绍。
1、帐号注册
这个很容易理解,所有的优惠活动都是以帐号作为标识ID的,想要大量获取奖励,首先要拥有大量的帐号。因此,每一个羊毛党都有熟练批量注册小号的能力。当然如果你不会,那也没有关系,网上一搜一大把,花点钱就是了。
目前大部分网络业务针对注册环节都没有做很好的防护,基本上是通过下行手机验证码、IP频控、图片验证码来对抗批量注册行为。可以说,这些浅层次的对抗方案在羊毛党的眼里就如同纸老虎一般。为什么这么说呢,让我们一起来看看坏人的手段。
手段一:短信代收平台,1毛钱破掉你的防御
许多厂商的安全工程认为,获取大量的手机卡和手机设备是一件高成本的事情。所以,如果在帐号注册时,要求用户输入一个手机号码,并发送下行验证码是一种不错的对抗手法。起初这种方法是有效的,但仅仅在2年前有效。再后来,坏人就发明了一种“短信代收平台”的工具。一些手里掌握着资源的坏人,用低廉的价格购买大量小额手机卡,通过猫池(GSM MODEM池,用于短信集群收发的专业设备)+自动化管理软件成功实现了短信批量接收的功能。随后,他们将服务提供给羊毛党,在注册小号的时候输入猫池里的手机号,短信代收平台收到短信验证码后立即转发给羊毛党,每次收费仅0.1元。
手段二:代理IP,无限的资源
通过对单个IP的频率限制做打击,这是大家最喜欢用,也是最没有用的一种对抗方式。为什么这么说呢?首先,这一策略是为了识别自动机行为,避免一个自然人进行多次的注册、登录等行为。但是从理论上来说,坏人在使用了代理IP、VPN后,IP可以看作成一种无限的资源,那我们针对无限的资源做频率控制又有什么用呢,坏人完全可以打一枪换一个IP。而且这种服务的价格也是低到没朋友。
手段三:自动机破解,你的验证码抗得住么
验证码相信大家都见过,有数字的、英文的、中文的、拼图的、算术题等等等等。花样繁多,但是目的只有一个,就是识别自动机和正常的人。自从有了验证码开始,黑产市场就出现了一批专职于破解验证码的技术团队,例如之前12306的验证码被废,就是一个典型的案例。就最近的调查结果显示,目前黑市上破解一般的验证码仅需600元。
2、资源刷取
这一步就很简单了,有了帐号,只需要按照官方规定的要求完成任务即可。比如有的厂商是拉新用户给奖励,那坏人就是会一半的资源邀请另一半注册,并获取奖励。还有比较复杂的规则,比如线上打车软件,坏人首先需要伪造LBS位置叫车,待刷单的司机接单后,关闭定位并完成行程,随后支付车费。全部完成后,司机会返还实际支付的钱并平分优惠部分。
3、倒卖获利
这里分两种情况,一种是直接在流程中获利,就比如之前说到的线上打车,还有一些p2p平台的投资奖励。还有一种就是转卖,例如聚美优品,坏人在收到0元购的奖品后,会以低于市场价的价格转卖给需要的人,从中获取奖励。不仅仅是实物,一些诸如优惠券等的虚拟资源也会遭到转卖,总之一句话,有需要就有杀害。
羊毛党的发展现状
近年来,羊毛党迅速壮大,截至目前已有数万的黑产从业者规模。他们广泛涉及O2O、P2P、红包营销活动等领域。对各大厂商活动的研究及分享是羊毛党的日常,只要有一个苍蝇发现了甜头,很短的时间里就将找来一大群同类,往往让人措手不及。
腾讯云开放业务安全能力,助力中小企业平稳渡劫
毫不夸张的说,开展优惠活动的时候就如同一次渡劫。渡劫成功则飞升成仙,渡劫失败则灰飞烟灭。
从2004年开始,由于腾讯业务需要,腾讯安全团队就临危受命,投身于黑产对抗的战场。从起初的盗号、挂机,到后来的微博垃圾消息、社工诈骗、 DDoS攻击、红包,这里的战斗没有硝烟弥漫,但却始终紧张。经过十年的充分积累,腾讯安全团队已练就一眼看破黑产背后的本质,防患于未然,保障业务持续安全。
为了能全面提高互联网业界安全防护能力,保护用户财产、信息安全,帮助中小企业平稳发展。腾讯云总结了腾讯十年黑产对抗经验,集中优势力量,倾力打造“大禹系统”、“门神(WAF)” 、“防刷服务”等针对DDoS及CC攻击、网络漏洞入侵、业务安全等多个场景的安全产品。
其中,针对恶意刷单,腾讯云能够结合验证码的开放,从注册、登录、资源领取及去向追踪几个环节对羊毛党进行立体化打击,通过“数据服务+验证码产品”双管齐下的组合打法,来帮助中小型企业全面提高安全对抗能力。