freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

星巴克被薅羊毛背后的黑产逻辑
2020-03-17 11:38:11

为用户准备的优惠折扣券没有进入真正用户的口袋,却成了羊毛党的“蜜糖”......这种情况在越来越多的在线服务平台上出现。

1月份,“拼多多遭黑产薅羊毛“事件引发了全社会的关注,给提供在线服务的企业敲响了警钟:欺诈不仅给企业带来资产损失,更严重影响到企业发展。

其实,拼多多事件发生前的一个月里,星巴克发起的“星巴克App注册新人礼”营销活动同样也遭遇到了羊毛党疯狂的薅羊毛,不仅损失了价值千万元优惠券,还导致营销活动提前中止。

undefined

2018年12月17日,星巴克发起“星巴克App注册新人礼”活动。

根据活动介绍:自12月17日起至23日,凡通过星巴克App成功注册星享俱乐部的新会员,均可在其新注册星享俱乐部账号内获得一份“星巴克圣诞特饮邀请劵”。凭借此券,可以在国内大部分的制定星巴克门店免费兑换任意一杯中杯圣诞节特饮(太妃榛果风味糖脆拿铁、冰雪芝士风味拿铁和圣诞甜点风味拿铁)。该券有效期为7天。

星巴克被薅羊毛事件回顾

新用户注册即可领取优惠券,这是活动的主要规则,也是羊毛党利用的业务漏洞。

undefined

根据相关监测显示,短短一天内,羊毛党就注册了近40万个虚假账号。按照每张优惠券可以兑换一杯30-35元的饮料计算,估算下来价值千万的星巴克特惠券被羊毛党们领走。

计划的推广活动不但没有吸引到计划数量的目标用户,反而成为了羊毛党赚钱的手段。这不仅浪费了星巴克的推广资金,也给工作人员带来大量时间和人力的浪费,更因为真正用户无法获得优惠券、活动提前中止等给品牌带来一定的负面影响。

undefined

复盘羊毛党的盈利路径

羊毛党是如何在短时间内疯狂薅取了近40张“星巴克圣诞特饮邀请劵”呢?通过羊毛党的攻击步骤,可以进一步了解。

首先,羊毛党会有专人在各个电商、UGC等平台、社群、网赚社区搜集优惠、促销、折扣、积分信息的汇总和梳理。例如,“星巴克圣诞特饮邀请劵”活动一上线便出现在很多论坛社区上。

undefined

其次,羊毛党通过熟悉活动流程,分析活动或业务存在的漏洞,进而破解业务逻辑,测试出能够进行批量操作的薅羊毛方案。

然后,羊毛党准备各类工具和资料,如从卡商、黑市购买租赁手机号、身份信息等数据,编写修改自动化注册软件。

undefined

第四步,注册账号薅羊毛:通过自动化的注册软件、接码平台、群控工具等,进行虚假账户的批量注册,并迅速领取优惠券。

最后,将抢购来的优惠券通过社群、网店等转售给他人获利。

羊毛党行为特征分析与识别

根据羊毛党攻击步骤可以看到,羊毛党关键动作有三个:注册、登录、领取优惠券。这就为羊毛党防控提供了思路:实时识别批量注册的虚假账号,阻止拦截虚假账号登录领取优惠券。

顶象智能风控专家在长期与羊毛党攻防中,总结出了羊毛党注册虚假账号的几个特征。

1、注册IP地址高度统一:正常用户来自****,注册的IP地址各不相同;而羊毛党的注册设备和软件通常使用同一个宽带链接网络,注册和登录平台的IP地址基本固定,或来自于同一批代理IP。

undefined

2、注册时间多集中非业务时间段:正常用户一般是在正常作息时间内注册,一旦出现问题可以及时联系工作人员解决。而羊毛党则喜欢在休息时间段注册,此时系统监控会放松。当羊毛党大量注册时,密集的批量注册会占用平台带宽或接口。

3、账号注册的行为过于流畅:正常用户注册时,要人工输入用户名、密码、手机号,收到验证码后还要再次手动输入,整个过程不规律且有一定延迟,而且注册中可能会因为不熟悉规则或因为其他事情而耽搁中止;羊毛党使用自动化的程序进行注册账户,流程化作业如行云流水一气呵成,速度和节奏上是人工速度的数倍。

4、设备特征24小时无变化:正常用户注册登录时,可能坐在椅子上、躺在床上、坐在车上,手机在会根据动作进行不同角度的调整,手机的水平高度也会不停的调整;羊毛党使用的是软件操控批量设备,这些设备大多是放置在不同机架上,24小时保持角度和水平线无变化。

undefined

5、羊毛党操控的手机型号比较单一:羊毛党为了牟利,降低设备投入成本是实现利润最大化的措施之一,因此价格低廉的手机或者二手手机是他们使用的主要手机设备。

营销活动反欺诈的防控思路

基于以上对羊毛党攻击特征的分析,我们可以对营销活动制定一些列防控措施,包括平台、网络、技术、业务规则层面。

然而,单纯利用活动规则进行防控,很容易被羊毛党绕过,更可能因为误判,导致正常用户被误拦;同时,人工审核费时费力,无法承担大规模业务量。因此,这就需要一套从客户端到业务端的全链路防控体系,以有效防范羊毛党的攻击。

顶象智能风控专家认为,可以在三个层面进行防控:

1、在App端做实时保护,封堵潜在系统或接口漏洞,防止羊毛党的利用或绕过系统限制。

2、对注册IP地址和手机号进行实时核验,对发现的恶意IP和恶意手机号码进行注册的账号进行二次验证或拦截登录。

3、结合设备指纹和实时决策,对注册、登录、领取等操作进行风险实时识别判定。

顶象全链路反欺诈方案亮相RSA 2019

无论是“星巴克App注册新人礼”还是“拼多多遭黑产薅羊毛“,都是企业遭遇在线欺诈的一个缩影。数据显示,全球每年线上欺诈损失超过500亿美元。

随着移动互联网和电商的蓬勃发展,线上服务交易、消费、增值服务的普及,虚假注册、盗号、薅羊毛、交易欺诈等线上欺诈疯狂涌现,欺诈手段也愈加复杂,企业必须重新审视其防欺诈政策,部署从源头到业务的全链路解决方案,以确保能够解决不断增加并越来越有挑战性的欺诈问题。

在美国时间3月4日至8日在旧金山召开RSA 2019大会上,顶象技术带来领先的全链路反欺诈解决方案,向全球从业者展示顶象如何帮助中国国航、**树等企业有效防控薅羊毛、防爬虫等各类欺诈。

RSA是安全行业的风向标,包含顶象技术在内的全球数百家企业将展示各自领域的最新产品和解决方案。


# 薅羊毛 # 星巴克 # 账号安全 # 营销活动 # 电商安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者