曾经的你,儿时的梦想,一定不是在城里有套房……
北京的号,上海的牌,深圳的房
关于宇宙最贵铁皮,2年前我们曾关注过:手速快、网速快就能抢到车牌?别逗了!而关于抢房外挂,我们也在2年前做过一批报道:揭秘:你为什么抢不到房?
来源:界面新闻
中关村的人摇不到号,陆家嘴的人抢不到牌,南山区的人买不到房。一旦供需不平衡,稀缺资源背后巨大的利益,往往真正获益,或者说轻松把钱赚的并不是企业,盆满钵盈是黑产,渺小无助的是消费者……
身家千万,渺小的深圳购房者
难不难,看看深圳那些盘
深圳置业有多难,在「深漂们」有这样一句话:
“来了就是深圳人,买不起房的那种。”
福利好如鹅厂,也要面对置业难
如果只是高房价,也轮不上「抢房外挂」,毕竟深圳身价千万的精英并不鲜见。就在7月15日,为进一步调控房价,深圳住建局颁布《通知》,限购进一步升级:
入深户满3年且社保满3年才有购房资格,非深户则需要5年社保!
自此,「落户即能买房」成为历史……
打新盘下,黑产生意火爆
受「715新政」影响,转让增值税从2年免征更改为5年,直接增加了购房成本。数据显示,深圳二手住宅成交量环比下滑15.6%。而另一边,深圳新房项目,最近一周,已有7个新盘拿到预售证,仅9月潜在入市新盘就有近24个,人们的目光随即投向新房市场。
但随着「打新盘」购房者的涌入,中签率一度将至个位数。为了增加中签几率,5G的手机,万元企业级路由,甚至有人提前跑到基站下抢房…… 但很快有人发现,明明都在选房系统上紧紧盯着,几千套房源,短短几秒内「秒光」。
多方打听,最后从中介处得知,“有购房者直接花了30万元,抢到了房源。”
淘宝跟闲鱼上,动辄几百上千交易量
知乎上,疑似购房者分享外挂抢房(不排除黑产所为)
这一幕多么的熟悉,还是抢房外挂的老套路,只是2年后的今天,外挂一路水涨船高,卖到了30万……
选房系统,传统图片验证码破解
还是以之前万科 e 选房为例,前期系统存在“重复投递”的漏洞,但是即使没有这种“重复投递” 的漏洞,加上下面的图片验证码,也并没有对安全有太大的改善。于是,极验进行了下面的安全测试:
1. 原始验证图片:
2. 畸形矫正:
3.字符分割和二值化:
4.使用深度学习进行训练,10 分钟就能出结果:
5.然后对 150 张新下载的图片做识别测试:
我们可以发现,图片验证码识别率可以达到 100%!传统图片验证码不具备任何的防御能力。直接结果就是,机器批量恶意注册,垃圾注册以及可能存在的通过数据字典库进行恶意撞库攻击、暴力破解引起的用户信息泄露!通过这些操作,0秒抢房不是梦!
模拟机器抢房,0秒抢房
1.通过以上操作,使用账号信息获取旧金山区域的房源–>分类楼层–>可拍卖的房号, 每个手机号会随机挑选一个房号去抢房接口。
2.重复选房操作!
详细过程不在细表,结果就是,通过程序即可实现批量登录选房操作。
成功部署极验「行为验证」后
1. 通过多次模拟滑动轨迹,均不能通过验证,无法取得 token,难以模拟登陆和进 行后续的抢房操作。详见下图展示:
2. 我们到某次人工验证成功的极验“行为验证”的凭证,再去批量登录检测:
3. 结果一次也用不了,依然无法通过验证登录:
4. 我们又手工复制了网页登陆成功状态下的 cookie 令牌用来登陆了单个账号,而在一键抢房环节,依旧会遇到验证码,进一步阻止了自动化抢房操作:
注:以上弹出的图文点选验证码是部署极验产品后人工智能感知引擎感知到攻击风险,自动弹出的第二层验证模式,以保障在受到黑产攻击的情况下用户能够公平抢房,阻止黑产进一步登录抢房。
通过测试,极验“行为验证”在关键环节都对系统形成了良好的保护,使得被保护环节都无法使用程序做自动化,恢复了相对公平的购房环境。
守护购房环境,任重且道远
时隔2年后,看到楼市再次遭遇黑产,多少有些受刺激。倒不是从中介口中传出,所谓「30万」天价抢房费,也不是肆无忌惮的「抢房外挂」,更多的是一种遗憾,或者说是惭愧。我们曾先后成功服务过包括万科、万达、碧桂园等国内一批优秀的地产企业。
但是,2年后的今天,「抢房外挂」炒到了30万…… 正如深圳市住建局局长张学凡所言:全市住房累计数量达到1068万套、6.12亿平方米,人均面积27.8平方米,还没有达到国家和广东省的最低标准线。深圳如此,全国也一样,我们要做的还有很多,守护购房环境,任重且道远!
转眼又到楼市旺季的金九银十,大家在买房之前,可以看下开发商线上的选房购房系统,是否还是用传统的图片验证码,甚至无任何防护直接裸奔。如果是,咱们还是换别家看看吧。
来源:freebuf.com 2020-09-17 16:30:15 by: GEETEST极验
请登录后发表评论
注册