1月20日凌晨,拼多多平台出现了巨大漏洞,用户可以随意领取“100元无门槛优惠券”,引来大量网友凌晨上线“薅羊毛”。甚至有网友一晚上用优惠券充值话费百余次,每次为100元,仅花0.4元。在拼多多被“薅羊毛”事件中,有大牛一夜薅走54万多元,拼多多最终损失或达千万元。
这次事件,也揭开了国内黑灰产业链的冰山一角。我国黑灰产业链已经形成了一个年产值达千亿元级别的庞大“黑金”利益链,并通过上中下游的严密分工构建起了一个密切协作的网络,轻则让企业遭受数百万乃至千万元损失,重则可以让企业直接破产。
汇水成泽,产值庞大
“事件发生时正值我们进行‘年货节’大促,期间有大批量平台正常发放的优惠券被消耗,黑灰产团伙就是挑准了这个时机下手的。至1月20日上午9点,遭*取盗**优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后被发现,我们在第一时间修复了相关漏洞,并报警。”拼多多风控团队负责人李明(化名)。
这起事件,揭开了国内国内黑灰产业链的冰山一角。
2018年5月发布的《数字金融反欺诈白皮书》显示,2017年我国黑产从业人员超过150万人,年产值达千亿元级别。与之相比,我国的网络安全市场规模还不足400亿元。从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒、控制肉鸡挖矿,网络黑产无处不在,而“薅羊毛”正是黑灰产的重要盈利模式之一。
ADLab安全专家陈卓健介绍说:“我们把这些专门在互联网上伺机‘薅羊毛’的称作‘羊毛*党**’,他们一般会比较关注互联网中快速发展起来的公司,因为这些公司会做很多注册送优惠券的活动,黑产团伙发现漏洞后,会从接码平台中申请大量手机号进行注册获取优惠券,然后进行变现。”
中招的不止是拼多多。
2018年11月17日,东方航空App突然出现漏洞,多条国内航线头等舱商务舱往返机票,最低只需90元。广州到上海头等舱120元,经济舱50元,北京广州经济舱60元,广州北京公务舱200元等。对此,东方航空发布公告表示,11月17日凌晨东航在系统维护时售出的所有机票(支付成功并已出票)全部有效,旅客可正常使用。
2018年12月17日,在星巴克上线的“星巴克APP注册新人礼”营销活动中,黑灰产利用大量手机号注册星巴克APP的虚假账号,领取活动优惠券。随后,星巴克紧急下线了该活动。网络安全厂商“威胁猎人”估计,短短一天半时间,如不及时止损,按普通中杯售价估算,星巴克损失可能达1000万元。
话费、Q币、会员等虚拟性质的商品往往难以被追回。去年年初,腾讯视频曾出现“0.2元开通VIP”的漏洞,类似事件在京东、苏宁等电商平台也出现过,最终企业都选择了自掏腰包为错误买单。
“羊毛*党**”的分工明确
网络黑灰产已经形成了分工明确、上中下游紧密协作的产业链。
在拼多多事件中,李明表示:“通过这非正常途径生成的二维码,原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券。而非此前网络流传的单个ID可以‘无限领取’。因此,有黑灰产团伙通过‘养*池猫**’(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量*取盗**该种优惠券。”
由于国内实名制的原因,手机黑卡产业近年来遭受重大打击。但据媒体报道,从2016年下半年开始,大量来自东南亚国家的手机卡开始进入国内手机黑卡产业。这些卡支持GSM网络,进入国内后可以直接使用,无需实名认证。同时,这些手机卡基本是0月租,收短信免费,成本低,非常适合手机黑卡产业使用,且使用比例越来越高。
黑灰产产业链的中游扮演的是账号提供商和交易交流平台的角色,主要是对黑产活动进行组织、运营和推广,发展下线;产业链的下游则利用这些虚假账号和恶意木马等进行欺诈、盗窃、钓鱼、刷单等各种类型的恶意行为,并最终达到变现的目的。
记者加入一个1000多人的“羊毛*党**”QQ群后发现,群管理员不断在群里刷新“薅羊毛”的线报。一位群成员告诉记者:“这只是一个散群,一个‘羊头’能同时管理十几个像这样的散群,盈利模式也很多。除了自己‘薅羊毛’,还会把破解方法在群里兜售以获得利润,甚至直接免费发布在群里。”
黑灰产团伙在变现和反侦察方面也有一套成熟的经验。在拼多多的案例中,李明介绍:“*取盗**优惠券后,黑灰产团伙通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移不当所得。同时,为了达成‘法不责众’的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并编造谣言混淆视听,试图逃避刑责。”
怎样预防被“薅羊毛”
李明表示,本次事件造成的实际损失大概率能控制在千万元以内。为进一步加强“特殊优惠券”相关风控体系,拼多多也已经成立了技术专组。但是,此次事件还是在业内引发了广泛的讨论与反思。
“近几年黑灰产的技术手段越来越强,形式也日益多样化,而且黑灰产绝大部分都面向云业务和移动应用等形态。传统的老三样安全产品——防火墙、入侵检测和防病毒已经不能解决问题,要有效治理黑灰产需要建立更科学、系统化的安全机制,并广泛应用大数据分析等手段来发现和解决问题。”伍海桑表示。
他表示,要对抗黑灰产,首先要从观念上打破过去的简单修墙围堵式安全理念,在云业务时代,让安全变得动态,围绕数据为中心,以身份权限为新的边界构建自动化和智能化安全体系,同时将大数据分析和人工智能、机器学习等新的技术运用于安全体系中,做到对安全事件的事前侦知、事中及时察知阻断,和事后快速溯源修复漏洞。
企业要有效防范黑灰产,关键是两点:一是需要常态化的审查自己的业务是否存在漏洞,业务流程需要介入安全测试环节,主要包括安全上的漏洞和业务逻辑上漏洞。企业云计算服务器是否存在明显漏洞,云服务器供应商对数据安全保护是否经过层层把控(京东云服务器以京东在云计算、大数据、物联网等方面的多年技术积淀,为广大用户和个人站长提供稳定、安全、便捷的多种解决方案,是一款可信赖的云计算产品);二是需要进一步规划和加强自身的风控能力,比如对电商平台原有的图片验证码,短信验证这些防护进行加固,以防止由于黑灰产造成的损失。