关键字:电商抢购 薅羊毛 恶意注册
发现时间:2020年9月
事件描述
某金融应用为拉动用户增长,推出了”集鞋卡换潮鞋”活动,用户通过参加活动,完成活动任务获得“鞋卡”。用户集齐鞋卡之后,可选择自己喜好的潮鞋进行兑换。但是由于活动方在不同时间放出的潮鞋种类及数量有限,并且部分价值相对较高的潮鞋需求量大,所以需要以“抢购”的方式去兑换潮鞋。在活动上线不久后,永安在线业务风险感知平台发现了针对该活动的工具,该工具可自动化完成兑换潮鞋的过程。
在某网赚平台对该活动的介绍
应用内截图
薅羊毛逻辑
利用大量账号领取鞋卡,并在匹配广场进行一定的卡片交易,从而集齐鞋卡。
在集齐鞋卡后通过抢购工具将价值相对较高的鞋抢购到手后再到其他平台销售。
工具信息
软件运行截图如下:
潮鞋兑换信息配置
帐号配置
黑灰产相关资源配置
攻击的目标接口:
https://api.***.com/v2/card/exchange/checkShare
https://api.***.com/v2/card/exchange/confirm
https://api.***.com/v2/card/exchange/skuInfo
https://api.***.com/v2/order/address/all.json
https://api.***.com/v2/shoes/card/sessionList
这是一款PC端的协议工具,需事先准备已集齐鞋卡的帐号token及交易密码,鞋卡可通过“悬赏红包”的方式获得。
也可以利用接码平台来完成邀请新用户获取鞋卡,但邀请新用户获取鞋卡的数量有上限,通过该方式集齐鞋卡的难度较大。
该工具内置了2个代理平台,用于绕过平台针对IP的风控策略。
hxxp://www.******daili.com/
还内置了1个打码平台,用于绕过验证码。
https://captcha.******studio.cn/
黑灰产成本与获利
黑灰产在抢到价值较高的潮鞋之后,再将潮鞋出售,从中获利。
成本:集齐鞋卡成本200~400元
获利:出售潮鞋500~5000元
永安在线的业务安全建议
针对这种采取多个账号,并利用代理IP、验证码打码等方式绕过平台风控的工具,我们从业务层面可以利用风险IP画像中对相关IP的代理标签进行重视。同时,我们还可以通过相关账号的登录IP区域跨越来判断该账号用户行为是否异常,以判断该账号是否为黑产持有。
除了业务风控上的处理方案,由于奖品为实体商品,可以在物流和发奖流程上对其进行更为严苛的处理,针对相近地区的集中大量兑奖活动采取人工派奖、延后派奖、真人信息核验等方式,避免造成损失。
来源:freebuf.com 2020-09-15 11:28:33 by: 永安在线
请登录后发表评论
注册