顶象防御云业务安全情报中心监测到,某知名新能源汽车App遭黑灰产疯狂薅羊毛,给车企带来经济与用户的双重损失。
据顶象防御云业务安全情报BSL-2022-150号情报显示,该知名新能源汽车App为用户准备丰厚的礼品,用户可以凭借积分兑免费兑换。但是,黑灰产通过技术手段注册大量虚假账号将原本属于用户的礼品抢走。不仅损失大笔活动资金白白消耗,引发用户对于车企对于会员活动的诚信质疑,更浪费了车企大量人工运营维护时间。
从卖车到共创,车企与用户的关系转变
随着汽车产品网联化、用户线上化,汽车品牌的私域流量意识觉醒。车企从拼规模、降成本、求稳定、增效率的阶段转向“用户共创”阶段。基于用户研究、市场营销、产品体验、售后能力,搭建以用户位置用心的服务体系,做好用户运营,让人跳脱出车只是车的单一印象,感受到完整、精彩的用车全周期带来的享受。
通过在让品牌与用户之间的服务、互动,车企与用户的变得密不可分。例如,车企纷纷推出专属App,开启私域流量运营。为了增加用户的活跃度、粘合度,车企会不定期推出“打卡赢积分”“积分换好礼”活动,通过积分可以免费兑换且都是价值不菲且易流通的商品。
近日,某知名新能源汽车App推出积分免费兑换互动,用户无需购车,只要下载汽车App,完成手机号认证,然后按规则做积分任务即可赚取积分,积分即可免费兑换空气炸锅、吸尘器、扫地机器人和汽车服务各类奖品。该知名新能源汽App提供的积分可以兑换实物商品,也可以作为现金抵扣使用。或10积分等额1元,或100积分等额1元。而且有效期普遍比较长,一般是1-5年时间。
由于参与门槛低、回报价值高,车企的活动启动后,吸引了大批用户。同时,黑灰产业闻风而动,嗅利而来。通过技术手段,注册大量虚假账号,并使用自动化作弊工具进行养号、积攒积分。
黑灰产的牟利路径:倒卖积分、哄抢礼品、代用户运营
在二手车平台和社区里,有大量的车企用户积分、商品兜售的消息,涉及车企平台众多,且部分卖家写明可长期供应,支持代下单等字样,挂售积分也远超个人用户通过打卡任务获取的积分数量。
顶象防御云业务安全情报中心分析发现,针对汽车App的积分,黑灰产主要通过如下三种方式进行牟利。
第一种:倒卖积分。
黑灰产通过积分转赠、代下单的方式倒卖非法获取的积分。“积分转赠”就是黑灰产通过社群、电商平台达成交易并付款后,黑灰产将相应的积分通过转赠的方式打入买家对应的账号内。“代下单”就是黑灰产通过社群、电商平台达成交易并付款后,黑灰产用积攒的积分兑换实物礼品,然后收货地址为买家地址。
第二种:兑换实物商品二次出售。
就是黑灰产将非法获取的积分,直接兑换为实物商品,然后通过电商、社群平台出售。由于批量兑换商品时,容易触发电商平台业务风控措施,且大量商品需要仓库存储,再有二手平台出售交易周期长等原因,因此黑灰产一般不直接用积分兑换实物。
第三种:为用户提供“账号代运营”服务。
所谓“账号代运营”,就是用户将自己的账号和密码交给黑灰产,黑灰产利用作弊工具,自动完成用户账号的登录、打卡、做任务,然后完成积分积攒。
不同车企平台的“账号代运营”收费不同,黑灰产一般是按照积分的五分之一乃至十分之一收取。以某国产汽车App为例,用户每月向黑灰产支付3元“代运营服务费用”,就可以收获约1800积分,1800积分在App上中可抵用18元。
黑灰产给车企带来的三重危害
顶象防御云业务安全情报中心认为,黑灰产的欺诈不仅侵害用户应得的利益,让汽车App遭受经济损失,更给车企带来巨大人力浪费。
1、让用户利益受损。原本用户需要手动自行按规则打卡需要耗费大量的时间攒积分,黑灰产通过自动化程序快速轻易的达到兑换条件,抢先在用户前将福利薅走。不仅让用户无法享受应有的福利,更怀疑车企承诺不兑现、活动造假、失去用户的信赖。
2、给车企带来经济损失。原本车企的积分活动是用于回馈老用户,拓展新用户,提升平台活跃度。黑灰产批量注册的虚假账号,不仅无法让车企无法达成以上目标,还被抢走大批有价值商品,直接造成推广资金的白白浪费。
3、给车企带来巨大人力浪费。由于黑灰产注册的是虚假账号使用的多为黑卡和盗用信息,车企运营人员对注册账号进行电话回访时,遇到电话无法接通或者拨通后嘟嘟嘟直接挂断现象的非常多,不仅无法分辨出真实用户和虚假账号,更无法及时对真正有需求的用户回访跟进,导致大量人力工作被白白浪费。
黑灰产的那些作弊工具
机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中,对黑灰产有明确的定义:
网络黑灰产是指利用计算机、网络等手段,基于各类漏洞,通过恶意程序、木马病毒、网络、电信等形式,以非法盈利为目的规模化、组织化、分工明确的群体组织。彼此分工明确、合作紧密、协同作案,每一环节都有不同的牟利和运作方式,形成一条完整的产业链。
首部业务安全著作出版 为企业数字化转型提供实战指导
顶象防御云业务安全情报中心分析发现,在针对汽车App薅羊毛欺诈中,黑灰产主要有获取资源、获取情报、注册养号、套现等四步,每一步都有不同技术作弊工具。
获取资源。黑灰产基础资源获取大批量的黑卡手机号、代理IP资源、自动化操作工具等。
获取情报。通过各种途径,获取各个平台有利可图的线上营销活动线索及其规则漏洞。
注册养号。利用黑卡、IP资源、自动化工具进行批量注册、自动化程序批量养号,并批量做任务薅取积分。
套现。通过二手平台、转赠、代下单、代运营等方式批量出售,或者,将积分兑换为商品,在电商平台销售。
整个欺诈环节中,黑灰产使用到了设备牧场、黑卡、猫池卡池、代理/秒拨软件、自动注册机等一系列作弊工具,这些作弊工具分别有什么作用呢?
设备牧场。电脑一键控制上百到上万台手机,可自动化实现签到、点赞、投票等积分任务操作。
黑卡。无需实名的物联网卡、虚拟卡和一些海外手机卡,黑产通过渠道大量办卡,手机卡是网络批量注册的重要资源。
猫池卡池。“猫池”设备,基于电话的一种扩充装备,可以插入近百张电话卡,实现批量注册、收发短信等功能。
代理/秒拨软件。黑产分子通过使用“秒拨”客户端软件,进行简单配置,就可以实现“自动切换”、“秒级切换”、“断线重拨”等服务。
自动注册机。账号批量注册软件是大量注册各种网站或者应用账号的软件,能够自动注册大量相关账号,对于批量养号、积分作弊的黑产来说,是不可或缺的工具。
顶象防控建议和防护方案
基于黑灰产欺诈手段和作弊工具,顶象防御云业务安全情报中心建议车企在客户端、注册登录、签到、分享等环节进行防范,有效防范黑灰产的批量注册、薅羊毛等欺诈行为。
1、增强客户端安全。从客户端安全考虑,App和网页都需要加终端加固及H5混淆防护。
2、提升注册防控机制。基于手机号风险库,能够有效发现并规避虚拟号段、连号以及没有任何号段特征的黑灰产号码注册;基于IP风险库,能够有效发现各类风险IP的注册。
3、增加互动环节人机识别。针对黑灰产使用自动化作弊方式,在注册、登录、签到、分享等积分任务业务场景部署智能验证码,进行人机校验,可有效拦截此类黑产攻击。
基于防控建议,顶象防御云业务安全情报中心建议车企配置App加固、H5混淆、设备指纹、智能无验证码以及实时决策引擎。
端加固/H5混淆。端加固基于虚机源码保护专利技术,为App、小程序、H5等提供全方位的安全保护,有效防御黑灰产的调试、注入、模拟器、逆向和二次打包等攻击威胁。
设备指纹。设备指纹可以针对端上风险进行识别,设备终端运行环境检测,校验运行环境是否存在风险特征,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置。
无感验证。基于用户行为及环境信息等数据信息,结合模型和风控分析,提供多维风险识别,有效识别并拦截黑灰产使用自动化工具进行注册、登录、分享、签到等操作。
实时决策引擎。注册、签到、兑换、积分转赠等业务节点全链路接入风控,各场景基础通用风控维度如识别设备聚集、IP聚集等风险;结合各个场景分别定制不同维度的风控策略,如登录场景同账号短时间多设备、多地址登录,兑换场景多账号使用同一收货地址等维度;建立本地名单动态运营维护机制,基于注册数据、登录数据、兑换数据等,沉淀并维护对应黑白名单数据,包括用户ID、手机号、设备等维度的黑名单。