泄露的千万用户数据,可能正在618电商节上被黑产用来刷单
除了已经开赛的世界杯,近日有两个事情备受关注。
第一个是A站密码被盗。6月13日凌晨,AcFun弹幕视频网发布声明称,网站受黑客攻击,近千万条包含用户ID、用户昵称、加密存储的密码的用户信息外泄。虽然几十个小时后,窃取用户信息的黑客发布声明称,已无条件删除窃取的数据库,但陆续爆出其他平台用户数据泄露消息,依旧引发了人们对于个人信息泄露的恐慌(就在小象完成这篇稿件时,又传出某知名招聘网站195万信息泄露的消息....)。
第二个是已经拉开帷幕的618年终大促。“天猫618理想生活狂欢季”、“京东618全球年中购物节”、“苏宁618年中庆” 持续酣战,各大电商平台纷纷进入大促季。漫天飞的促销红包、预售、定金、满减让消费者眼花缭乱。27天的线上促销活动,掀起年中一轮消费高潮。
这两个事件看起来风马牛不相及,但是在网络黑灰产的运作下却紧密连接在一起。
用户丢失的数据会被谁买走?
还记得A站公告数据库泄露后,黑客通过地下论坛发布的帖子吗?是的,出售用户数据是黑客最快的变现方式之一。
一般会四类人会去通过地下黑市购买这些丢失的个人信息:
1、薅羊毛、刷单、刷票、点赞、刷粉的黑灰产。
2、利用网络和电信行骗的诈骗分子。
3、进行各类网络营销推广的商家。
4、其他。
这其中,尤以黑灰产获利直接而且一直被人们忽略(点击查看“非法接码平台背后的百亿产业链”)。
网友失窃的信息,黑灰产牟利的蜜糖
拿到用户数据后,黑灰产会利用这些信息做“撞库”攻击,获取网友在其他网站上账号密码。
“撞库”是网络安全行业的术语,意思是黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的用户名和密码。
因为新注册的账号会受到严密的监控,在相同或区域接近的IP地址下生成的大量注册账号会被系统认定为是高风险行为,也很容易被网站平台的防控系统拦截。而通过“撞库”所获得的真实账号基本都是“老账号”,更容易避开目标服务商的防控措施。
以电商网站为例。黑灰产从业者在获得网友的账号密码等信息后,分别登录不同的电商平台, “领取”平台上的优惠券、积分、红包等会员增值福利,羊毛党会有组织的在第三方平台进行转售,实现“羊毛”的快速变现。
同时,黑灰产还会通过电脑、群控等设备,批量操控账号登录电商、社交、视频、直播等网站,进行信息发布、点赞、刷单、投票、点评。由于这些操作不会对网友的体验带来显著影响,因此网友的账户“替”这些黑产赚了钱还被蒙在鼓里。
虽然部分些网站平台有比较严格的防控措施,在访问者登录IP更换、上网设备更换等触发短信验证码等保护,封堵可疑的访问。但是这些网站平台的业务构成非常复杂,很多外部接口和第三方应用在管理上却没有那么严格,这也成为不法分子攻击的入口。例如,某知名UGC平台的某些第三方应用,只要输入正确用户名和密码就就能够登录,无论是否更换设备、地址等均无二次验证。
618是电商促销日,也是攻防大考时
随着618促销活动渐趋高潮,各电商平台所推出的优惠力度也不断增大,这对黑灰产的吸引力也相应的提升,电商平台迎来了新一轮攻防大考。
一方面,黑灰产必定会采用更先进的技术手段,更大规模的攻击力量,甚至扮演分销平台的角色、动员大量真实用户来“薅羊毛”,让电商平台风控的难度大幅增长,甚至很难评估羊毛党的真实比例。
另一方面,在618这样的大型促销活动中,为了避免影响客户体验以及业务系统稳定,很多电商平台会削弱风控的力度,或是部分开放风控规则,这很可能会导致黑灰产找到更多的可乘之机。
黑灰产攻击不但给电商平台带来直接的经济损失,更损害了普通消费者的利益。因为很多电商会对促销活动的效果进行监测,如果薅羊毛的人太多直接影响了业务运营,会采取强化验证级别甚至是减少优惠额度的措施。前者会让消费者承担不必要的麻烦,后者则直接提升了其购买商品的最终价格。从经济原理上来说,电商平台通过一定的营销费用支出来提升营销效果,被黑灰产“薅取”的越多,能够用于消费者的就越少。
因此,如何在用户体验与业务安全上达到平衡是很多电商平台非常关心的问题,繁琐、复杂的风控规则固然有助于防范更多的黑灰产攻击,但是也大幅降低用户体验,这就需要找一个良好的契合点。例如,顶象技术的无感验证将智能风险识别与验证结合,能够有效虚假、伪造、恶意的请求,减少对正常用户的干扰,大幅提升用户体验。
小结:失窃的用户数据与黑灰产的关系路径
1、 黑客通过脱库等各种途径,拿到网站平台的用户数据。
2、 在地下黑市中,黑客将这些用户数据出售给黑灰产。
3、黑灰产拿到用户数据后,登录电商平台“领取”优惠券、红包,并进行“撞库”攻击获取其他电商平台的账号密码。
4、持续收集网友数据,密切监控各个电商平台的优惠促销活动,不间断的进行小范围“狩猎”,并训练新的攻击方式和手段。
5、在618、双11以及其他网购高峰期间,黑灰产针对发动大规模攻击,并会启用新的攻击方式、手段和日常储备的大量账号。
6、 在成功套取优惠券、红包等优惠凭证之后,羊毛党会在第三方平台进行转售,实现“羊毛”的最终变现。
7、对于防控较弱的目标,黑灰产会直接通过大量注册的新账号来发动攻击;对于防控较强的目标平台,则会使用购买的真实的账号密码,也会利用软件伪造IP地址。
电商和黑灰产的对抗过程不是简单的矛与盾的对抗,而是一个非常复杂的过程。因此长期积累的攻防实战经验、丰富的业务场景、专业的反欺诈技术和不断演进的风控策略是一个专业的风控系统离不开的必要元素,这一切在顶象全景式业务安全系统得到了良好呈现,再与人工智能、大数据等技术良好融合,能够显著降低电商业务风险。