但是绝大部分企业方通过自身的数据流量是很丢脸清黑灰家当链的全貌,导致企业在面对黑灰产攻击时非常被动。因此我们决定定期对黑灰产的攻击行为进行表露,提高全体行业的黑灰产攻防意识,增强企业攻防主动性。
TAG:话费充值活动、薅羊毛、自动化工具、攻击流量、黑产资源
日期:2019年3月28日
事宜描述
概要:
威胁猎人TH-Karma业务情报监测平台创造,2019年3月11日起有黑产团伙针对电商平台云集“话费充值9.7折”的营销活动进行持续的“薅羊毛攻击”。攻击量于2019年3月24日达到顶峰,远超日常黑灰产攻击流量的阈值。
薅羊毛逻辑:
云集发布“话费充值9.7折”营销活动,每个帐号每天可享受一次9.7折话费充值的优惠(50元以上)。
于是,有黑灰产团伙利用接码平台批量注册云集帐号。然后通过代充平台(蜜蜂等)向正常用户发布供应9.85折充值话费的做事。接到代充平台订单后,再通过囤积的帐号在云集平台上以9.7折的价格进行话费代充。
也便是说,每充值100元话费,黑灰产团伙就可赚取1.5元差价。
图为:代充平台充值业务
(据TH-Karma监测,某云集账号从3月18号起,每天为不同的手机号充值一次,金额从50元到500元不等)
自动化攻击手腕:
据威胁猎人TH-Karma业务情报监测平台监测,活动开始没多久,网络中就已经涌现针对该活动的自动化攻击工具,且工具名多为“云集注册”、“云集注册+蜜蜂抢单”、“云集抢单最新专用”等。该类软件集成了云集平台批量注册,代充平台自动抢单、代充等一整套流程,黑产利用此类工具即可快速、大批量进行薅羊毛变现。
此类工具的紧张功能如下:
通过接码平台自动注册或扫号,批量获取可用的云集帐号;
自动保存帐号的登录信息,用于自动批量登录;
检测帐号确当天剩余充值优惠次数及充值记录;
自动发起通过云集平台给指定手机号充值的要求;
部分工具配套在蜜蜂等平台抢代充话费订单的功能。
攻击规模
威胁猎人TH-Karma业务情报监测平台显示,针对云集话费充值优惠活动的攻击从2019年3月11日开始,并于2019年3月24日达到峰值,日攻击总量达到73W+。
黑灰产的本钱和获利
黑灰产是一个完备趋利的群体,据威胁猎人的不完全统计,黑灰产仅2019年3月24日的单日获利可达80~100万。
详细本钱与获利数据如下:
获利:
单个云集账号:1.5元/天;
本钱:
注册账号:0.1元/个;
购买工具:100~200元不等。
威胁指标(IOC)
1.部分恶意手机号(部分)
2.攻击源IP地址(部分,均为ADSL动态IP)
3.攻击工具(部分)
4.黑产资源——接码平台:
http://api.duomi01.com/api
http://api.ipadh.cn/do.php
http://api.jmyzm.com/http.do
http://huoyun888.cn/api/do.php
http://www.517orange.com:9000/devApi
http://www.cherryun.com:8000/doApi
注:本文转载自freebuf媒体平台;文内不雅观点仅供参考。
埃文科技——网络空间舆图测绘领域技能专家,供应最全面、最精准的网络空间舆图做事。
公司成立于2012年,专注于网络空间、地理空间和社会空间的相互映射,绘制三位一体的网络空间舆图,对网络空间资源的静态属性和动态变革情形进行探测。拥有19项软件著作权及10项发明专利。
