顶象学院首页>文章详情

2022年度盘点之业务安全情报

2022-12-29|小象 1571

知己知彼,方能百战百胜。

在业务安全领域同样如此,如果不知道哪些人是黑灰产,黑灰产从哪里来,会做什么,那么业务安全防护也就无从谈起。因此,如何发现自身业务是否已经被黑产盯上,发现黑产实施攻击行为的攻击方法,是业务安全情报需要解决的两个首要问题。

今年6月起,顶象每个月都会输出一期业务安全情报,内容涵盖保险、出行、银行、电商等多个行业,仔细梳理了黑灰产的作弊工具、作弊手段以及变现链条,并针对性的提出了相应的防控意见,为各行各业提供了有力的参考。

2022 即将迎来尾声,我们特将过往的业务安全情报整理出来供大家参考。

第一期:保险代打卡

顶象防御云业务安全情报中心监测发现,黑灰产破解多家公司保险考勤系统,还制作出打卡作弊工具,并向保险公司员工兜售“代打卡服务”。通过该服务,保险公司员工能够不出门不到岗,也可以实现“上班打卡”,轻松领取全勤奖

根据保险行业在职人员数量以及保险行业虚假打卡服务的比例,预计有150-160万在职保险员工购买过“代打卡服务”,黑灰产借此获利超过获得数千万元,给保险公司带来数亿元的经济损失。

其作弊工具有三个:

1、“人脸伪造考勤作弊工具”,60元/人/月。

针对配置人脸识别的考勤系统。购买者启动黑灰产提供的“人脸伪造考勤作弊工具”,然后登录保险公司的官方App。通过作弊工具会上传个人照片、输入工号信息,作弊工具通过注入方式,向系统内提交虚假数据,从而骗过人脸识别,完成考勤打卡。

2、“蓝牙考勤作弊工具”,150元/人/月。

针对配置有蓝牙检测考勤系统。购买者将个人照片和工号提交给黑灰产,黑灰产再将相关提交给内部合作人员。在现场的内部合作人员,使用黑灰产的作弊工具,绕过蓝牙定位检测,完成考勤打卡。

3、“远程代打卡”,80元/人/月。

针对不能够熟练使用作弊工具的购买者,黑灰产提供“远程代打卡服务”。购买者只需要提供工号给黑灰产,即可完成每日考勤打卡。

第二期:藏在NFT背后的黑灰产

顶象防御云业务安全情报中心监测到,某NFT平台促销活动中同时遭遇“刷量”和“薅羊毛”双重业务欺诈。

黑灰产首先为不符合标准的NFT平台用户做刷榜刷量推广,帮助其快速获得平台奖励。然后利用刷量的账号,哄抢NFT平台发行的数字藏品,再通过社群论坛低价转售。由此给该NFT平台造成数千万元的经济损失。

顶象防御云业务安全情报中心分析发现,黑灰产在NFT平台不同场景下采用了不同技术工具。

在注册场景:黑灰产通过接码平台、打码平台、代理IP、脚本软件等作弊工具,实现批量自动化账号注册。

在投票场景:黑灰产使用“秒拨”客户端软件,进行简单配置后,就可以实现自动变换IP地址,以规避平台的IP频次限制安全策略,实现对某一选项的海量投票刷榜。

在交易场景:黑灰产通过群控软件,操控大量账号,短时间内完成指定商品的抢购。

第三期:跨境电商平台虚假刷单

顶象防御云业务安全情报中心监测到,某大型跨境电商平台出现大量虚假刷单欺诈。基于编号为BSI-2022-145业务安全情报显示:黑灰产通过作弊软件批量下单、真人众包分发的方式,帮助商家快速获得大量虚假订单,推动商家的商铺快获得更多流量。不仅误导消费者的购物决策,引发店铺不公平竞争,更严重影响平台的正常运营。

分析发现,跨境电商刷单主要有软件刷单和真人刷单两种方式,而执行刷单任务的黑灰产,不仅能够通过刷单赚取商家的佣金,还通过售卖刷单作弊软件牟利。

第四期:汽车App遭黑灰产薅羊毛

顶象防御云业务安全情报中心监测到,某知名新能源汽车App遭黑灰产疯狂薅羊毛,给车企带来经济与用户的双重损失。

情报显示,该知名新能源汽车App为用户准备丰厚的礼品,用户可以凭借积分兑免费兑换。但是,黑灰产通过技术手段注册大量虚假账号将原本属于用户的礼品抢走。不仅损失大笔活动资金白白消耗,引发用户对于车企对于会员活动的诚信质疑,更浪费了车企大量人工运营维护时间。

顶象防御云业务安全情报中心分析发现,针对汽车App的积分,黑灰产主要通过如下三种方式进行牟利。

第一种:倒卖积分。

黑灰产通过积分转赠、代下单的方式倒卖非法获取的积分。“积分转赠”就是黑灰产通过社群、电商平台达成交易并付款后,黑灰产将相应的积分通过转赠的方式打入买家对应的账号内。“代下单”就是黑灰产通过社群、电商平台达成交易并付款后,黑灰产用积攒的积分兑换实物礼品,然后收货地址为买家地址。

第二种:兑换实物商品二次出售。

就是黑灰产将非法获取的积分,直接兑换为实物商品,然后通过电商、社群平台出售。由于批量兑换商品时,容易触发电商平台业务风控措施,且大量商品需要仓库存储,再有二手平台出售交易周期长等原因,因此黑灰产一般不直接用积分兑换实物。

第三种:为用户提供“账号代运营”服务。

所谓“账号代运营”,就是用户将自己的账号和密码交给黑灰产,黑灰产利用作弊工具,自动完成用户账号的登录、打卡、做任务,然后完成积分积攒。

第五期:储户银行卡深夜“被刷脸”

针对接连爆出银行储户存款被“刷脸”盗走事件,顶象防御云业务安全情报中心复盘了整个流程:黑灰产首先窃取储户信息,然后制作一个山寨的银行App,诱导储户下载后,再利用劫持摄像头、替换人脸数据等方式登录储户账号,并使用利用劫持手段获取储户的短信验证,最后完成储户资金的的盗取。

顶象防御云业务安全情报中心认为,表面上看这是一次“刷脸”盗窃资金的行为,背后是黑灰产一系列作弊工具的集中应用,是一次典型的团伙作案行为。

第一步,获取目标储户信息。收集目标储户信息,是黑灰产业链的上游来完成,主要包括拖库、洗库、撞库、打造社工库。黑灰产将窃取的大量数据库资料进行分类梳理,然后,基于社工库对储户进行全方位的画像,以便于对对特定人群进行定向诈骗活动。

第二步,获取储户人脸视频、截取短信。获取储户的个人信息后,黑产人员会伪装成警方、客服等人员给储户进行电话诈骗,取得储户信任后,再引导储户完成一些下载操作,以获取储户人脸视频、手机设备的劫持,进而可以同步收到银行短信、电话等通知。

第三步,诱导储户下载山寨App。黑灰产制作银行的山寨App。这些App代码经过了篡改,并植入了相关病毒代码或后门,能够收集用户手机内的隐私信息、劫持短信电话、盗取照片资料等。由于不能够在正规应用市场上架,黑灰产以短信、邮箱形式发送至储户,储户点击相关信息中的链接地址就能够下载黑灰产制作的山寨App。

第四步,诱导储户录制人脸视频。App下载后,黑灰产引导储户完成一系列注册、登录、认证等操作,并诱导含储户完成实人认证、人脸视频认证。储户操作后,这些重要且关键信息会被同步传送并黑灰产。

第五步,截取储户的验证短信、电话。当银行账号发生夜间转账、大额转账或短时间多笔转账时,银行App会进行人脸识别、短信验证、外呼语音等多重验证,盗刷时能绕过多重验证方式,黑灰产提前引导储户完成等短信和电话劫持。

第六步,盗刷。完成以上各项准备后,黑灰产对储户账号进行盗刷。

第六期:政府消费券套现黑灰产

顶象防御云业务安全情报中心监测发现,自政府消费券发放以来存在着大量套现、虚假交易的风险,从而起不到真正促销费、拉动消费的杠杆作用,相反,政府的资金很大部分落到了恶意用户的口袋中。

据顶象防御云业务安全情报中心分析,黑产通过引导用户作弊的方式获取消费券后,通过实体店刷单的方式快速将消费券消耗完成,在进行三方分成和返款。这一过程实际并未给当地经济带来任何刺激,对当地发放政府造成巨大经济损失。

第七期:网约车利用作弊软件刷单

顶象防御云业务安全情报中心监测到,多个网约车出行平台存在作弊软件抢单、空跑刷单等欺诈行为,不仅损害乘客利益,更严重影响平台正常运营。

据顶象防御云业务安全情报BSL-2022-a3c7号显示,部分网约车平台上的司机与黑灰产勾结,通过作弊工具,截取长距离的订单,造成大量短路线的订单无人接。同时部分车主利用软件模拟行程“空跑刷单”,骗取平台的任务完成奖励,获取虚假订单的评分。

第一种,利用作弊工具抢单

通过黑灰产提供的抢单作弊工具,网约车司机能够根据喜好设置筛选订单,并可以实现自动化的快速抢单。例如,部分网约车司机会屏蔽短距离、小额度的订单,专抢长距离订单;部分网约车司机会设定路线范围,屏蔽高峰时段的拥堵路段订单;部分网约车司机会设置为只抢企业订单,因为企业用户对于路程、费用不敏感,司机可以通过绕路、延长服务时间赚取更多车费。

第二种,利用模拟工具刷单

通过黑灰产提供模拟器工具,网约车司机可以篡改手机GPS的地理位置,伪造乘客订单,并伪造行驶路线,包含直线、转弯轨迹、运行速度自由调节、动态速度行驶、行驶速度等。如果网约车司机有多个账号和手机,结合抢单作弊工具,就可以坐在家中能实现订单自发自抢、空驶刷单。

第八期:藏在短视频背后的黑灰产

顶象防御云业务安全情报BSL-2022-a3c11号显示,某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票,严重影响其他用户参与的积极性,给平台的带来大额的资产损失和大量虚假用户,不仅严重破坏了平台生态,而且使得刷票风气盛行,平台活动公平性被质疑,信誉受损。

黑灰产通过设备牧场、代理IP、虚拟号、自动化工具来实现垃圾注册、批量养号、自动化完成积分任务,并通过提供刷榜服务收取服务费。

其黑产作弊工具主要有两种:

一种是机器刷票。

机器刷票,可以给指定投票活动自动循环投票的票辅助刷票工具,主要是通过编程模拟手工网页投票然后进行自动投票的过程。搭配秒拨IP使用可实现突破IP限制,自动输入验证码,自动投票,快速增加票数的功能,轻松实现短时间上万票。

另一种就是人工刷票。

相较机器刷票,人工刷票成本更高,进而也发展出了两种刷票模式。

一是通过 “账号托管平台”获取大量真人账号,可以托管的账号包括微信、微博、抖音等,用户只要将小号托管到平台,平台使用用户小号“干活”获取收益,而用户将获得分成。二是发布众包悬赏、积分墙任务。

第九期:某社交平台遭恶意爬虫攻击

顶象最新一期业务安全情报显示,某社交媒体平台遭遇持续性的恶意爬虫攻击,用户信息和原创内容被批量盗走,经分类梳理和初步加工后,被黑灰产转售给竞争对手或直接用于恶意营销。由此不仅给用户造成隐私和信息泄露,更给社交媒体平台的数字资产带来直接损失,破坏了内容产业的健康发展。

第十期 :渠道方作弊黑灰产

顶象防御云业务情报中心发现,在互联网生态中存在很多灰色的渠道刷量工作室,渠道方通常以低廉的价格通过这些工作室提高广告URL点击量、应用下载激活量、注册量和真实的推广数据提起反馈给广告主结算,但其提供的数据质量和价格一样低廉,主要是批量刷的虚拟用户,这种行为给整个互联网生态圈带来了恶性循环。

经顶象防御云业务安全情报中心结合线上数据情况和情报信息检测,进一步挖掘出了渠道刷量黑产的四种作弊方式。

1、静默安装

静默安装是指手机机主在不知情的情况下,手机在后台自动完成某款App的下载、安装、激活、注册、删除等操作。

2、肉刷

肉刷是以真机作为载体,通过特殊的刷机软件,篡改手机的环境参数,如:IMEI号、手机号码、IMSI、MAC地址等关键参数,在人工的操作下,假冒多用户下载、激活、注册和使用的流量作弊行为。

3、机刷

部分渠道方会使用一大批手机反复改机,伪装成新手机对同一APP反复进行“安装-激活-删除-安装-激活-删除-安装-激活”,达到刷激活量的方式,俗称机刷。

4、积分墙刷

在移动应用市场推广的过程中,会根据用户对产品的使用深度给予积分奖励或不同数额的现金奖励,这个展示App并给予真实用户奖励的平台就是积分墙应用;积分墙应用内会展示各种积分任务(下载、安装、激活、注册等),用户按操作完成任务后,会获取相应的奖励。

第十一期:电商平台垃圾注册

顶象防御云业务安全情报中心发现,某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号,为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。

黑产通过非法手段窃取、购买公民个人信息及手机黑卡等,并采用作弊设备模拟设备指纹高频切换IP等方式,对电商平台发起大批量的注册攻击,从而获得大量平台账号,以用于后续在平台大促期间进行一系列的薅羊毛行为,不仅使普通顾客因此失去了获得优惠的机会,而且给平台带来了大额的资产损失和大量的无价值的虚假用户。

第十二期:线上教育机构在线课程被盗取

顶象防御云业务安全情报中心监测发现,某线上教育培训类平台课件遭遇大规模盗取。被盗取的课件,经加工处理后,进行低价转售,严重损害了平台的合法权益。

顶象防御云业务安全情报中心发现,黑灰产盗取课程主要有三个方式:盗载、翻录、共享账号。

批量下载课件。部分大型的教育平台的课程视频,附带了相关的课程课件等,黑灰产在注册并完成登录账号后,通过专门的下载工具快速批量下载页面中的视频课程,还能够根据需求选择视频的清晰度、字幕,选择下载配套的课程附件。

翻录直播课程。黑灰产以正常售价购买课程,进入线上授课教室后,通过录屏等方式进行线上直播课程翻录。直播课程或者部分工具无法下载的加密课程,黑产通过录屏软件或者外接设备,以翻录的形式进行课程盗取。市面上类似的录屏软件有几十款,其中部分软件首要宣传点正是录播。按照教程,即可快速完成录制操作。

账号共享。对于部分既无法下载也无法录屏的高价课程,黑灰产购买课程后,采用账号共享的方式,让更多人查看该课程。

加入社群

扫码进群领
【业务安全】资料礼包

在线咨询
400-878-6123