黑灰产情报周报|用户积分代刷衍生的诈骗事件
本周热点情报
1、黑产行为系列:用户积分代刷衍生的诈骗事件。
2、近一周,游戏、汽车、视频行业注册攻击次数较上周有较大的增幅。
3、本周黑产作恶IP存活周期多为1~2天,秒拨/代理网站在持续的更新其IP代理池。
一、黑产作恶工具风险情报
1、近一周新增黑产恶意攻击工具攻击的域名统计
排名如下:
? 拼多多本周新增的工具主要为刷单、拼单类软件,而京东、淘宝相关工具主要为抢购、数据采集类。
? 针对抖音的则为抖音引流、刷粉、视频下载这一类的工具或脚本。
? 针对星络充电通(恒大旗下的新能源汽车充电平台)、花小猪、电小兵(新能源汽车充电平台)、海尔商城的工具为营销活动作弊类,这类工具可自动完成平台拉新要求,骗取平台奖励。
? 针对58同城的工具主要为引流发帖类工具,这类工具可批量自动化发送特定内容的帖子达到引流目的。
2、用户积分代刷衍生的诈骗事件
中国联通用户积分是中国联通推出的用户消费奖励制度,用户积分可用于兑换话费、流量、Q币以及各类会员优惠券等。用户除了可通过使用联通业务消费获得积分外,每天还可通过完成特定任务,如游戏试玩、浏览特定页面等,赚取积分奖励。
图1-2 可兑换的积分商
由于积分奖励任务流程固定,黑产编写了对应的自动化刷积分工具,并贴吧、论坛、群散布代刷信息,以1.5元/天的价格提供积分代刷服务。
黑产进行积分代刷服务时会要求购买者提供手机号、服务密码、appId,在进行积分代刷的同时会使用购买者的服务密码进行登录,查看账户话费余额,对存有大量话费余额的账户实施话费转移、盗刷。
图1-3 联通营业厅任务代刷
二、黑产作恶手机号
1、近一周,海外传统卡数量上升,号码归属地多为加拿大、美国、蒙古
? 本周,海外的传统卡数量有较大的上升,较上周增幅达38.05%;号码归属地多为加拿大、美国、蒙古三个国家。
? 个人或小型号商多与发卡网站合作,直接在发卡网站上对其黑手机号资源进行零售。因为提供这批号码的网站大多没有域名,直接以IP访问即可;且与这批网站有关的记录数只在3月10号有过明显的增加,其余的时间,相关记录数较少。这表明这批网站的规模较小,无法提供稳定的黑手机卡来源,可推测这些网站背后多为个人或小型号商。
图2-1 发卡网站-接码卡密图
2、近一周,游戏、汽车、视频行业注册攻击次数较上周均有较大的增幅,比心陪练、平安好车主均成为攻击对象
? 与上周相比,本周游戏行业受攻击占比增幅达144.45%,汽车行业受攻击占比增幅达57.70%,视频行业受攻击占比增幅达46.85%。以下将列出上述行业中受攻击次数增幅最多的产品:
图2-2 比心陪练、平安好车主、抖音近两周占比
? 比心陪练近期举办“我是歌王s1”、“比心币兑梦泪盲盒”等活动,可能存在被攻击的风险。
? 平安好车主近期则是举办“周五洗车日”、“天天来攒油”等活动。前者为拉新活动,黑产可能会利用大量手机号进行恶意注册或利用真人众包平台来完成拉新任务,获取奖励;后者为每日签到收集活动,需要注意黑产市场上是否出现有关该活动的辅助工具。
三、黑产作恶IP
1、近一周,黑产作恶IP的C段聚集率:
图3-1 黑产作恶IP的C段聚集率
? 秒拨/代理网站在持续更新其代理池。本周除聚集率小于20%的C段外,其余C段聚集率的占比较上周均有所上升;除此之外,本周每天捕获的IP数也在持续增加。推测经过了一周的时间,上周代理/秒拨网站刚刚更新了IP池,目前已经收集了大量的连号IP。这些IP在接下来的一段时间将被黑产用于攻击各大厂商,直至秒拨/代理网站重新更新其IP池。
2、近一周,新增作恶IP主要来自浙江省及江苏省,且多为高质量IP
图3-2 黑产作恶IP被多少个代理/秒拨平台使用过的情况统计
? 本周浙江省新增作恶IP平均日增幅达23.87%,江苏省平均日增幅达11.13%。其中,江苏省的IP主要来自苏州市及南京市;浙江省的IP主要来自杭州、金华、湖州、台州四个城市。此外,来自这两个省份的IP中,有72.39%的IP只被一个到两个平台使用过。这表明在这些新增的IP里面,高质量IP占了很大的比例。
3、近一周,黑产作恶IP存活周期多为1~2天,黑产更新IP池的时间间隔极短
图3-3 黑产作恶IP存活天数统计
超过8成的作恶IP被使用不超过两天就会更换;根据上述数据,我们可以粗略的推断大部分黑产团伙更换作恶IP的周期为1-2天,甚至更短。按照以往经验,互联网厂商推出活动后,活动时间一般为7天甚至更长。那么,以活动时间为7天为例,在这7天内,黑产至少会对其在攻击中使用到的IP进行4次大规模更新替换。
四、黑产交易情报
1、拼多多黑产商品交易排名有较大上升,商品多为助力红包
图4-1 Top10产品的商品交易数据图
? 以电商行业为主的助力活动成为黑产的主要攻击目标。较上周,拼多多的商品交易数有较大幅度的增加,且大部分商品为助力砍价商品;此外,以拼多多、京东为主的助力任务在真人众包软件中,也普遍存在。就作弊成本而言,发卡网站砍价5次需要3元,平均单次砍价0.6元;而真人众包软件上,平均单次砍价0.24元。这其中存在0.36元的差价,不排除黑产工作者通过发卡网站、微信群、Q群等渠道接单,再到真人众包软件上发布砍价任务赚取差价的可能性存在。
图4-2 发卡助力商品及真人众包作弊助力任务
你对哪个模块更感兴趣呢?你觉得哪个模块最无趣呢?还有什么你比较关心的情报呢?请给我们留言吧ψ(`?′)ψ。
? 本周热点黑灰产情报
? 黑产作恶工具情报
? 黑产作恶手机号情报
? 黑产作恶IP情报
? 黑产交易情报
