业务风险并不是作为互联网、电商大国中国独有的问题,美国同行同样遭到众多专业黑产的侵袭。数量级虽不及中国之巨,却也足以对美国电商行业的发展造成重大危害。本文详细介绍了一些美国业界常见的黑产套利手法和细节,供国内从业人员参考。
数据显示,以购物券形式出现的赠品、折扣、减价券等欺诈性兑换每年给美国企业造成的损失高达3-5亿美元(≈19-32亿人民币)。哪里有钱赚,哪里就有网络犯罪绞尽脑汁利用漏洞薅钱。毫无疑问,同样的道理也适用于地下活动愈发活跃的购物券欺诈。
购物券欺诈对商业活动来说到底意味着什么?2012年,主要制造企业成为伪造购物券的受害者,其中一家消费品公司的损失达128万美元(≈832万人民币),而另一起策划了近十年之久的购物券诈骗案更是从商业公司中偷走了2.5亿美元(≈16.3亿人民币)。
真正的损失远不止咖啡无限续杯、免费乘车、住酒店或是其他一些小便宜。地下购物券黑产利益链能够撼动企业盈利,影响企业正常业务开展,进而严重威胁企业生命线。
购物券欺诈和商业活动的危害
地下购物券欺诈活动花样繁多,不过也有规律可寻——尤其是以商业活动为线索。
图1:典型购物券交易中地下网络黑产服务如何联结购物券欺诈一同威胁正常商业活动
图2:左侧:正常购物券交易流程;右侧:异常交易流程
购物券交易通常会涉及用户、零售商或购物券发行人、清算中心之间的数据交换,用以整理、审计各个票券。中继环节也常常被应用在整个流程中,如在线票券分销商或帮助零售商做推广的媒体服务供应商。
数据在各个链路和环节中被转手,攻破整个供应链只需要找到一个薄弱环节,而黑产手上正是掌握着专门做这样事情的工具:通过盗窃或破译票券算法的暴力破解方式,或利用验证过程中的漏洞。曾有这样一个案例:一名研究人员成功改写了星巴克网页应用中处理礼品卡的“竞态条件”,结果就是无限量的免费咖啡喝到饱。
地区性或市场明确的票券同样可能遭到攻击。某家论坛上曾经出现了电信运营商内部员工才可以享受的移动电话通话、短信、数据折扣码被公开出售。另一起事件中,酒店预订验证环节被攻破,酒店为客户公司雇员提供的折扣码被盗用。
这仅仅是冰山一角。许多地下黑产其实都是自动化攻击,伪造、滥用的票券可达产业级的规模。还需引起重视的是,黑产地下流通的票券折扣力度通常比真实供应商更大,价格可以低至官方折上折的3折甚至1折。
以下是一些我们总结的地下黑产模式:
1、暴力破解和漏洞利用
暴力破解票券的软件在黑市上公开售卖,甚至还有配套的使用教程被上传到社交网络上供人参考,指导人们如何破解一款搭车软件的促销码。购物券一般来说都是由商家采用了特殊加密算法生成的,而如果这种算法被暴力破解,商家对购物券的使用就会失去控制。理论上说,随机产生的代码很难被破解,但事实上网页应用中经常存在漏洞让黑产有了可乘之机。
图3:俄罗斯网站上出售的暴力破解软件
2、购物券服务
购物券,不管真假,还可以在多层黑产中转手倒卖赚钱,而且还是大宗倒卖。此外还有一些专门通过算法生成伪造购物票券的生成器,帮助黑产制造大量可用购物券。
图4:购物券生成器
3、钻“新用户”空子
我们还发现了大量“新用户”账号被批发贩卖。这些账号主要用于以新用户的身份领取网站或商家专门准备给新注册客户的各种福利。我们发现了一则帖子指导大家运用新注册的谷歌云平台账号来“挖矿”虚拟货币。
图5、6:暗网上贩卖亚马逊礼品卡号和带有余额的沃尔玛账号的广告
4、购物券交易联盟
黑产之间有时会出现通过购物券来支付的行为,这样可以逃过货币监控,也让许多交易变得更加匿名,甚至还有用伪造购物券兑换出的商品来以物易物的情形。还有一些黑产从业者会利用传销或联销渠道发展潜在的诈骗犯。
图7:一个美国航空快递消费券的交易论坛
图8:暗网上M.video网站(一家美国电商)上75折折扣券的出售广告,QIWI钱包以及储值消费卡的出售广告
教训
购物券的引入帮助商家吸引更多的客户,理论上也可以帮助商家追踪商品和服务的去向。新客户当然是好事,但是商家应该更审慎,尤其是那些专门薅羊毛、撸折扣的专业黑产。
今年三月,一家美国居家产品制造商发布了印有“不得翻倍”警告的条形码返点券,却没有设置兑换期限,招致了黑产的袭击,不断被人反复提现。
商家该如何防范呢?
采取有效的防护措施。限制购物券重复使用、传播以及有效期限。通过采用更复杂的编码、微型印刷、水印、授权认证等方式增加伪造成本,比如设置一次使用之后即失效的规则。主动采取行动,与分销商和司法部门积极合作,指定购物券使用的详细规则。作为非营机构的“购物券信息公司”就是为了帮助商家和制造商阻击黑产而建立的。但更重要的是:在网关、端、网络、服务器和其他公司运作、开展商业活动的架构上加强隐私和安全的防护。
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
