第十一期和我抢优惠券的强大对手竟然是垃圾注册

　　顶象防御云业务安全情报中心发现，某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号，为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。
　　顶象防御云业务安全情报中心BSL-2022-a3c22号显示，黑产通过非法手段窃取、购买公民个人信息及手机黑卡等，并采用作弊设备模拟设备指纹高频切换IP等方式，对电商平台发起大批量的注册攻击，从而获得大量平台账号，以用于后续在平台大促期间进行一系列的薅羊毛行为，不仅使普通顾客因此失去了获得优惠的机会，而且给平台带来了大额的资产损失和大量的无价值的虚假用户。 电商平台为何会被黑灰产盯上？
　　电商平台的每一次大促都是黑灰产＂捞金＂的最佳时机。
　　近几年，各大电商平台为了拉拢客户尤其是新客户，开展了一系列营销活动：新人折扣券，满减优惠券，拉新返现、砍价助力等等，花费的营销成本高达数亿元。
　　以双十一为例。
　　不久前，顶象在业务安全大讲堂系列直播课《双十一电商行业业务安全解析》中就具体提到双十一电商平台的业务安全风险。
　　就双十一促销活动，电商平台们营销周期从10月中下旬就会开始相应的营销投入。整个双11电商大促活动会持续将近一个月，这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究，为后续的营销欺诈活动做好充分准备。
　　此外，在营销玩法方面，都呈现出了优惠力度加码，玩法多元化的趋势。比如天猫聚焦高质量发展，构建＂低碳双11＂，首次设立绿色会场，发放1亿元绿色购物券；关注银发群体，上线淘宝长辈版，设置首个长辈会场；京东则设立了首个＂不熬夜＂的双11，提升消费者体验；升级多种价格保护政策及放心换服务，保障消费者权益；出台绿色低碳、扶贫助农计划等。
　　营销投入的加大意味着黑灰产有更大的动力去进行攻击，因为一旦成功，收益更大。而丰富的营销手段则意味着黑灰产有更多的途径、更多的场景实现攻击，因为一条攻击路径走不通，便可以选择另一条攻击路径。且新的营销手段往往会因为防控经验不成熟，更容易出现业务规则的漏洞，成为黑灰产攻击的突破口。
　　也正是各平台之间的相互竞争，导致这种营销活动愈演愈烈，继而催生了垃圾注册这个行业，并与黄牛、羊毛党、打码平台等团伙形成了完整的产业链。 上游：卡商与接码平台
　　所谓垃圾注册就是通过购买大量手机号和用户个人信息，在了解平台的规则后，借助作弊设备（如：代理IP、群控软件等）自动化的进行批量注册。
　　在整个互联网黑色产业链中，批量注册处在产业的中上游位置。其主要目的是为下游进行一些列黑产活动提供账号。因此，批量注册的账号被视为滋生助长网络犯罪的核心利益链条之一。同时，批量注册的账号多数利用不记名的网络黑卡进行注册，为相关的账号使用者提供了便捷的真实身份隐蔽及账号控制主体溯源规避的功能，亦成为了网络诈骗、赌博等相关犯罪所必须的工具。
　　上游为信息和技术的支持方 ，即为批量注册提供大量身份信息或资料及其所需的技术支持，卡商和接码平台便处于上游位置。
　　中游为账号获取方即号商， 即行为人通过从卡商和接码平台处获取的手机号与验证码，使用自动访问平台注册程序的软件或程序，获得大量注册平台账号。
　　下游为账号使用方 ，行为人通常向号商购买账号，以供网络刷单炒信、发布违禁信息、进行网络攻击等多种用途。
　　顶象防御云业务安全情报中心监测到，其上游端的卡商手握数以万计的电话卡，其黑卡的主要来源有：实名卡、物联网卡、海外卡以及虚拟卡。
　　1）实名卡：实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份信息，并通过黑卡运营商批量验证得到的。
　　2）境外手机卡：黑卡运营商直接从海外购得的手机卡，这些卡无需实名认证，花费低，切合黑产利益。
　　3）物联网卡：运营商基于物联网公共服务网络，面向物联网用户提供的移动通信接入业务。三大运营商采用各自物联网专用号段，通过专用网元设备支持包括短信、无线数据及语音等基础通信服务，提供用户自主的通信连接管理和终端管理等智能连接服务。
　　4）虚拟卡：由虚拟运营商提供的电话卡。虚拟运营商与传统三大运营商在某项或业务上达成合作关系。他们就像是代理商，从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权，然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。像我们常能看到的170开头的号码，多为虚拟号码。
　　卡商获取黑卡的主要渠道大致分为两个来源：
　　一是从运营商＂内鬼＂处拿卡。运营商的工作人员每个月都有开卡任务，通过平分利益，运营商＂内鬼＂月均给卡商供卡上千张，二者达成默契合作，形成＂双赢＂。
　　二是通过找中介进村＂拉人头＂。当卡商有需求时，一些所谓的地推团队就会集体＂下乡进村＂，打着三大运营商的名号，搞免费办手机卡送礼的活动，以50到60元的成本获得一张可以正常使用的实名手机卡。 中游：利用多种作弊手段养号
　　卡商在获取到黑卡后，下一步就是要利用作弊手段进行养号。
　　其作弊工具主要有三种：
　　1、猫池
　　猫池是一种可同时支持多张手机卡的设备，根据机型不同，插口从8到64不等。通过＂猫池＂，手机卡可以直接拨号和接收短信，而上游卡商就靠售卖卡号和接受验证码获利。（＂猫池＂售价从1800元/台到12000元/台不等。）
　　2、指纹浏览器
　　通常电商网站风控系统会对注册的设备信息进行监控，对于同一台设备高频发起的注册请求进行拦截，而黑产通常通过指纹浏览器对其进行避规。指纹浏览器能够实现通过模拟电脑或手机设备的软硬件指纹信息，使得每个浏览器文件的Cookies、本地存储等将被完全隔离，防止因浏览器指纹相同而网络账号出现关联情况，从而实现批量注册不被拦截。
　　3、自动化注册工具
　　1）设备群控
　　批量的移动端注册通常是通过设备群控的方式实现的，群控系统都使用真机来完成。群控系统首次出现有小规模的团伙在使用群控系统。安卓机，设备陈列架，群控系统和专用工业级服务器。早期的群控系统功能，围绕微信营销展开，主要为微商服务。提供模拟定位、摇一摇、批量导入通讯录等功能，来大量添加微信好友、群发等进行消息推送。
　　2）设备改机
　　改机工具是通过劫持系统函数，来对设备信息进行篡改的技术手段。Android 或 iOS 设备中，都提供了各种接口，用于获取设备的基本信息，比如设备标识符IMSI，IDFA/IDFV。而改机工具能够从系统层面劫持这些接口，当App调用这些接口来获取设备的各项参数时，获取到的都是改机工具伪造出来的数据。
　　3）注册机
　　在拥有大量手机号后，黑产除了通过群控设备进行批量注册外，还可以通过专业的注册软件进行批量注册。注册过程可以轻松实现自动切换IP，从而降低失败率。
　　下游：利用账号进行网络攻击
　　在掌握了平台规则后，下游便可利用事先准备好的账号通过模拟器、群控等作弊软件批量参与秒杀和抢券活动，再将秒杀到的商品和优惠券通过二手平台进行转卖套现。
　　其套现方式又细分为三种：
　　1、黑卡出售及接码服务
　　通过QQ群等社交软件可以很容易找到大量关于手机号出售相关的服务。黑灰产通过非法手段得到手机号后会在线上进行批量售卖，同时还会搭配接码服务进行销售。借助接码平台注册登录时，每收取一条短信验证码，都需要要支付0.1元到3元不等的价格。
　　2、成品账号出售
　　对于本身没有注册工具的用户，黑灰产还提供成品账号的售卖服务。对于不同平台的账号，经过事先养号后进行明码标价。而其中大量账号并非通过黑灰产批量注册，而是通过盗号得来，存在极大风险。
　　3、平台薅羊毛
　　部分黑产则是通过批量注册后，通过薅羊毛的方式参与各大电商平台的秒杀、领券等活动，再通过二手平台售卖的方式进行变现。
　　顶象防控建议
　　针对批量注册作弊手段，顶象防御云业务安全情报中心建议可从终端、客户端、通信传输安全以及业务侧进行防控。
　　终端风险环境监测：
　　针对批量注册类的作弊软件，客户端可集成安全SDK，使其定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、root、越狱等风险能够做到有效监控和拦截。
　　客户端安全防护：
　　电商平台的APP和网页，可以分别部署H5混淆防护及端安全加固，以保障客户端安全。
　　通信传输安全保障：
　　黑产在业务通信传输的环节，可能会尝试篡改报文数据。通过对通讯链路的加密，可防止终端安全检测模块的数据被篡改和冒用。
　　业务安全策略防控：
　　针对批量注册行为的风险特征，可将电商注册场景的请求接入业务安全风控系统。将终端采集的设备指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的安全防控策略，有效地对风险进行识别和拦截。
　　风控维度建议 ：
　　以下是常见的风控维度：
　　1）设备终端环境检测。识别客户端（或浏览器）的设备指纹是否合法，是否存在注入、hook、模拟器等风险。通常批量作弊软件大多都存在以上风险特征。
　　2）行为检测。基于设备行为进行策略布控。针对同设备高频注册，同设备反复切换多个手机号进行注册等行为进行监控。
　　3）名单库维护。统计基于风控历史数据，对于存在异常行为的账号进行标注，沉淀到相应的名单库。在后续的营销活动中进行重点排查。
　　4）外部数据服务。考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务，对于风险进行有效识别和拦截。
　　5）算法模型。线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对用户下单这一场景进行建模，模型的输出可以直接在风控策略中使用。
　　处置建议
　　1）静默数据监测
　　识别到风险后不即刻实时反馈结果给到用户，由后台统一收集沉淀，并进行用户的标签标注。在后续营销活动中对此类账户进行活动限制。
　　2）线上实时反馈
　　对识别为风险的请求进行实时拦截，直接反馈注册失败等。
　　防控产品组合建议：
　　设备指纹+决策引擎：设备指纹可以针对端上风险进行识别，例如注入、hook、模拟器等，配合决策引擎使用，可以实时发现风险并给予处置。
　　业务安全感知（移动版）：安全感知可以识别发现移动端风险，不仅可以覆盖设备指纹产品发现的风险，而且无需决策引擎，可以直接对移动端风险进行处置，但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段，只防控移动端层面风险。
　　——————
　　业务安全产品：免费试用（https://user.dingxiang-inc.com/user/register#/）
　　业务安全交流群：加入畅聊（https://www.dingxiang-inc.com/blog/post/599）