黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。
本周热点情报
1、本周工具:一款高活跃度的肯德基代下单薅羊毛工具。
2、国美电器1月12日推出的APP“真快乐”在黑产掀起关注热潮,针对真快乐的恶意注册攻击量直线上升,在本周排名第六,预计产生超160w的恶意注册流量,将消耗价值3200w的新人优惠券额。
3、抖音“抢新年货节”的结束导致黑产市场微博账号短暂过饱和:微博账号跳转是制作抖音账号的一种方式,黑产对年货节的热切关注导致一票号商大量制作囤积用于跳转抖音的微博账号,活动结束后未被消耗完,当前被大量抛售。
一、黑产作恶工具风险情报
1、对近一周新增黑产恶意攻击工具攻击的域名进行统计,排名如下:
图1-1 Top 10 产品接口占比情况
• 电商行业依旧新增工具最多,拼多多+京东+淘宝系+微店合计占比新增工具的72%,除京东外新增工具与上周的“上货类”工具类似,京东新增主要为“炸年兽活动”的自动化作弊工具,通过协议攻击实现自动化领取活动奖励。
• 针对YY语音的攻击主要有两类,第一类是批量注册YY账号并提取cookie,此类账号将用于协议类工具进行刷量等操作;第二类是批量导入账号进行养号操作的工具。
• 针对肯德基的攻击主要是使用肯德基账号中的优惠券进行代下单,实现优惠券变现,详细分析见下文热点工具模块。
2、本周热点工具——肯德基下单
本周我们发现一款肯德基代下单工具,该款工具可以批量导入肯德基账号的token,通过将token拼接在肯德基对应的API接口实现利用对应账号中的优惠券自动化点餐下单、餐费支付、取餐码获取。通过对该工具作者进行溯源,我们发现此人长期参与肯德基的薅羊毛活动,从2020年8月份就开始出售肯德基相关工具,主要通过出售肯德基工具和在淘宝店“**优惠”出售代下单服务实现获利。
该款代下单工具有如下特征:
• 下单IP地址和取餐门店不在同一区域;
• 下单账号和取餐手机号不一致;
图1-2 肯德基下单工具界面截图
二、黑产作恶手机号
1、本周作恶手机号国内外新增占比:
图2-1 本周国内外传统作恶手机号-拦截卡新增占比
本周新增作恶手机号中,传统作恶手机号方面,国外新增手机号超过国内新增手机号,占比分别是65.16%和34.84%;与此不同的是,拦截卡方面,国内拦截卡占比超过国外拦截卡,占比分别是71%和29%。
之所以出现,传统作恶手机号国外新增大于国内新增的现象,主要是因为:
1. 国内的断卡行动,导致黑产作恶手机号资源转移到使用国外卡;
2. 一些国内互联网公司在东南亚等国家具有出海业务,被国内的黑灰产盯上;
3. 外国的一些大型互联网公司,如WhatsApp、Instagram、Google等也遭受很严重的恶意手机号注册攻击。
2、本周国内被作恶手机号攻击次数最多的TOP10产品:
图2-2 本周国内被恶意手机号攻击TOP10产品
本周,真快乐超过淘宝接近微信,遭受到的恶意手机号攻击排名第六。其增长速度很明显,本周遭受到的恶意手机号攻击流量,较上周增长了近9倍。
3、本周国外被作恶手机号攻击次数最多的是TOP3产品是:
本周监控到的国外被恶意手机号攻击排名前三的产品是:WhatsApp、Instagram、Tik Tok,其中whatAPP占比最高,达43.85%,Instagram和Tik Tok依次为33.50%和22.66%。
4、本周新增黑手机号来源城市TOP10:
图2-3 本周新增黑手机号来源城市
本周新增黑手机号来源前十市排名前三的是:承德、株洲、大连。
5、本周新增黑手机号来源国家TOP10/较上周变化情况:
图2-4 本周新增黑手机号来源国家变化情况
本周新增黑手机号来源国家TOP10排名略有变动,南非上升一位,排名第三。
6、本周新增黑手机号关联小移动服务商TOP10/较上周变化情况:
图2-5 本周新增黑手机号关联小移动服务商变化情况
本周新增黑手机号关联小移动服务商中,三五互联、朗玛信息依旧超过中国电信,在总移动服务商排名中分布是第二和第三;排除三大移动服务商后的排名如上。
三、黑产作恶IP
1、黑产IP的C段统计
图3-1 黑产IP的C端聚焦率统计
从近一周的统计数据上看,有20.08%的黑产IP具有明显聚集在某些C段的特征,这说明这些C段的IP资源可能完全掌握在黑产资源商手中。
以下举例五个C段聚集率为100%的C段IP:
112.66.246.*
223.242.13.*
119.120.77.*
113.110.45.*
223.243.78.*
2、本周黑IP市级地域分布排行TOP10及上下浮动情况
图3-2 本周黑IP市级地域分布排行TOP10及上下浮动情况
3、连续7天都捕获到的IP
统计本周数据发现,每日有将近5.5%的IP都在连续7天的时间被捕获到,这说明这部分IP被黑产长期持有并风险极高。
以下举例五个连续7天被捕获的IP:
36.56.148.42
60.173.161.85
124.118.106.217
122.224.139.26
221.225.100.19
4、在不同平台被捕获的IP
随着黑产IP资源商的规模化,越来越多的IP资源商选择了共享及互相代理、交易自己的IP资源,所以在对黑产IP的捕获过程中,会发现有同一个IP在多个不同的平台都出现过。经统计,本周共有1.33%的IP在7天内出现在了超过10个不同的平台,其中出现平台个数最多的达到了28个,IP为:140.250.89.119。
以下举例五个在多个平台被捕获的IP:
49.89.67.46
113.128.28.68
113.128.123.160
140.250.88.2
113.128.24.134
四、黑产交易情报
1、本周黑产交易Top4商品所属领域:
本周“社交领域”商品占比较上周有所上升,是出现大量销售微博号的行为导致。推测原因:可用于授权登录抖音的微博帐号在1月20日抖音“抢新年货节”结束后,还有大量的库存积压,进而导致黑产商家上架大量可用于授权登录抖音的微博帐号。
图4-1 过去一周商品所属领域前四占比
图4-2 过去一周微博帐号买卖店铺数量
2、过去一周,黑产交易Top10产品的店铺数量及下架商品数排名:
图4-3 Top10产品店铺数及下架商品数
你对哪个模块更感兴趣呢?你觉得哪个模块最无趣呢?请给我们留言吧ψ(`∇´)ψ。
·本周热点黑灰产情报
·黑产作恶手机号情报
·黑产作恶IP情报
·黑产交易情报
如若转载,请注明原文地址