电商..云集话费充值运动遭薅羊毛事件剖析

2019-04-01 16:50:04

黑产团伙对整个互联网行业有不乱的监控渠道并可以探测企业风控强度，他们可以找到风控微弱的..进行快速冲击和变现。 [本文来自：www.ii77.com]
然则绝大部门企业方经由自身的数据流量是很难看清黑灰财富链的全貌，导致企业在面临黑灰产冲击时非常被动。是以我们决意按期对黑灰产的冲击行为进行流露，提高整个行业的黑灰产攻防意识，增加企业攻防自动性。
[本文来自：www.ii77.com]

TAG：话费充值运动、薅羊毛、主动化对象、冲击流量、黑产资源

日期：2019年3月28日

事件描述

提纲：
威胁猎人TH-Karma买卖谍报监测..发现，2019年3月11日起有黑产团伙针对电商..云集“话费充值9.7折”的..运动进行持续的“薅羊毛冲击”。冲击量于2019年3月24日达到巅峰，远超平常黑灰产冲击流量的阈值。

薅羊毛逻辑：
云集发布“话费充值9.7折”..运动，每个帐号天天可享受一次9.7折话费充值的优惠（50元以上）。
于是，有黑灰产团伙行使接码..批量..云集帐号。然后经由代充..（蜜蜂等）向正常用户发布供应9.85折充值话费的办事。接到代充..订单后，再经由囤积的帐号在云集..上以9.7折的价钱进行话费代充。
也就是说，每充值100元话费，黑灰产团伙就可赚取1.5元差价。
图为：代充..充值买卖
（据TH-Karma监测，某云集账号从3月18号起，天天为分歧的手机号充值一次，金额从50元到500元不等）

主动化冲击手法：
据威胁猎人TH-Karma买卖谍报监测..监测，运动起头没多久，收集中就已经显现针对该运动的主动化冲击对象，且对象名多为“云集..”、“云集..+蜜蜂抢单”、“云集抢单最新专用”等。该类软件集成了云集..批量..，代充..主动抢单、代充等一整套流程，黑产行使此类对象即可快速、多量量进行薅羊毛变现。

此类对象的首要功能如下：
经由接码..主动..或扫号，批量获取可用的云集帐号；
主动留存帐号的登录信息，用于主动批量登录；
检测帐号的当天剩余充值优惠次数及充值记录；
主动提议经由云集..给指定手机号充值的恳求；
部门对象配套在蜜蜂等..抢代充话费订单的功能。

冲击规模
威胁猎人TH-Karma买卖谍报监测..显露，针对云集话费充值优惠运动的冲击从2019年3月11日起头，并于2019年3月24日达到峰值，日冲击总量达到73W+。

黑灰产的成本和获利
黑灰产是一个完全趋利的群体，据威胁猎人的不完整统计，黑灰产仅2019年3月24日的单日获利可达80～100万。
具体成本与获利数据如下：
获利：
单个云集账号：1.5元／天；
成本：
..账号：0.1元／个；
购置对象：100～200元不等。

威胁指标（IOC）

1.部门恶意手机号（部门）
17081471191
13807464940
18458343749
18458247757
18874696498
13456733041
17858410831
14709230712
13486394970
18334359597
15724966686
17139987161
15824448359
17191774886
13486380381
17847553440
13807463242
18334376250
17187663800
18314870955
17187663792

17081471191
13807464940
18458343749
18458247757
18874696498
13456733041
17858410831
14709230712
13486394970
18334359597
15724966686
17139987161
15824448359
17191774886
13486380381
17847553440
13807463242
18334376250
17187663800
18314870955
17187663792

2.冲击源IP地址（部门，均为ADSL动态IP）
IP地址归属地
125.44.92.188 河南省漯河市
115.234.109.148 浙江省温州市
221.234.159.51 湖北省武汉市
183.202.17.8 山西省临汾市

IP地址	归属地
125.44.92.188	河南省漯河市
115.234.109.148	浙江省温州市
221.234.159.51	湖北省武汉市
183.202.17.8	山西省临汾市

3.冲击对象（部门）
文件名 MD5
云集8.92_(批改).exe 460aa3894442525a0bde4e5fb45aefb2
云集..登录 .exe 878bd8f43a5e5fa4e0fce2ade55d36cb
云集1.5.exe 97bae6f7bb4d0c97949fc4a8ed43eacf
智· 云集充值助手 v1.8.exe 920de167dc7999cc27f10712f83b5d2b
超等抢单_新接口20.云集最新专用.zip 4e6d04d6cbbea85f74f31298dfd5bdc5
云集APP半主动..+蜜蜂抢单.exe 6a3597258104f0b8c96cfa7afed7a1d4

文件名	MD5
云集8.92_(批改).exe	460aa3894442525a0bde4e5fb45aefb2
云集..登录 .exe	878bd8f43a5e5fa4e0fce2ade55d36cb
云集1.5.exe	97bae6f7bb4d0c97949fc4a8ed43eacf
智· 云集充值助手 v1.8.exe	920de167dc7999cc27f10712f83b5d2b
超等抢单_新接口20.云集最新专用.zip	4e6d04d6cbbea85f74f31298dfd5bdc5
云集APP半主动..+蜜蜂抢单.exe	6a3597258104f0b8c96cfa7afed7a1d4

4.黑产资源——接码..：
http://api.duomi01.com/api
http://api.ipadh.cn/do.php
http://api.jmyzm.com/http.do
http://huoyun888.cn/api/do.php
http://www.517orange.com:9000/devApi
http://www.cherryun.com:8000/doApi

威胁猎人建议
1.增补外部风险数据标签，对..账号进行风险识别。
2.做好买卖流量监控，借助外部的谍报能力，确保能实时发现黑灰产冲击动态，调整更新失效的风控策略。

关于我们
威胁猎人是一家以买卖平安谍报能力见长的立异型平安企业，旨在为客户供应买卖攻防谍报，从防控到袭击的全方位买卖平安解决方案。自成立始，公司投入大量资源，打造了一整套国内领先的买卖平安谍报监控与预警系统，形成壮大的黑灰产布控能力，为客户供应黑灰产谍报及买卖风控解决方案。今朝已为腾讯、百度、阿里、华为等互联网企业供应买卖平安办事。
*本文作者：威胁猎人Threathunter，转载请注明来自FreeBuf.COM

上一篇：7212亿！今天，华为倏忽公布！
下一篇：近十亿人的电子邮件地址遭泄露，公司疑似跑路

电商..云集话费充值运动遭薅羊毛事件剖析

事件描述

提纲：
威胁猎人TH-Karma买卖谍报监测..发现，2019年3月11日起有黑产团伙针对电商..云集“话费充值9.7折”的..运动进行持续的“薅羊毛冲击”。冲击量于2019年3月24日达到巅峰，远超平常黑灰产冲击流量的阈值。

冲击规模
威胁猎人TH-Karma买卖谍报监测..显露，针对云集话费充值优惠运动的冲击从2019年3月11日起头，并于2019年3月24日达到峰值，日冲击总量达到73W+。

威胁指标（IOC）

1.部门恶意手机号（部门）
17081471191
13807464940
18458343749
18458247757
18874696498
13456733041
17858410831
14709230712
13486394970
18334359597
15724966686
17139987161
15824448359
17191774886
13486380381
17847553440
13807463242
18334376250
17187663800
18314870955
17187663792

2.冲击源IP地址（部门，均为ADSL动态IP）
IP地址归属地
125.44.92.188 河南省漯河市
115.234.109.148 浙江省温州市
221.234.159.51 湖北省武汉市
183.202.17.8 山西省临汾市

4.黑产资源——接码..：
http://api.duomi01.com/api
http://api.ipadh.cn/do.php
http://api.jmyzm.com/http.do
http://huoyun888.cn/api/do.php
http://www.517orange.com:9000/devApi
http://www.cherryun.com:8000/doApi

威胁猎人建议
1.增补外部风险数据标签，对..账号进行风险识别。
2.做好买卖流量监控，借助外部的谍报能力，确保能实时发现黑灰产冲击动态，调整更新失效的风控策略。

热门文章

小编推荐

电商..云集话费充值运动遭薅羊毛事件剖析

事件描述

提纲：威胁猎人TH-Karma买卖谍报监测..发现，2019年3月11日起有黑产团伙针对电商..云集“话费充值9.7折”的..运动进行持续的“薅羊毛冲击”。冲击量于2019年3月24日达到巅峰，远超平常黑灰产冲击流量的阈值。

冲击规模威胁猎人TH-Karma买卖谍报监测..显露，针对云集话费充值优惠运动的冲击从2019年3月11日起头，并于2019年3月24日达到峰值，日冲击总量达到73W+。

威胁指标（IOC）

1.部门恶意手机号（部门）170814711911380746494018458343749184582477571887469649813456733041178584108311470923071213486394970183343595971572496668617139987161158244483591719177488613486380381178475534401380746324218334376250171876638001831487095517187663792

2.冲击源IP地址（部门，均为ADSL动态IP）IP地址归属地125.44.92.188河南省漯河市115.234.109.148浙江省温州市221.234.159.51湖北省武汉市183.202.17.8山西省临汾市

4.黑产资源——接码..：http://api.duomi01.com/apihttp://api.ipadh.cn/do.phphttp://api.jmyzm.com/http.dohttp://huoyun888.cn/api/do.phphttp://www.517orange.com:9000/devApihttp://www.cherryun.com:8000/doApi

威胁猎人建议1.增补外部风险数据标签，对..账号进行风险识别。2.做好买卖流量监控，借助外部的谍报能力，确保能实时发现黑灰产冲击动态，调整更新失效的风控策略。

热门文章

小编推荐

提纲：
威胁猎人TH-Karma买卖谍报监测..发现，2019年3月11日起有黑产团伙针对电商..云集“话费充值9.7折”的..运动进行持续的“薅羊毛冲击”。冲击量于2019年3月24日达到巅峰，远超平常黑灰产冲击流量的阈值。

冲击规模
威胁猎人TH-Karma买卖谍报监测..显露，针对云集话费充值优惠运动的冲击从2019年3月11日起头，并于2019年3月24日达到峰值，日冲击总量达到73W+。

1.部门恶意手机号（部门）
17081471191
13807464940
18458343749
18458247757
18874696498
13456733041
17858410831
14709230712
13486394970
18334359597
15724966686
17139987161
15824448359
17191774886
13486380381
17847553440
13807463242
18334376250
17187663800
18314870955
17187663792

2.冲击源IP地址（部门，均为ADSL动态IP）
IP地址归属地
125.44.92.188 河南省漯河市
115.234.109.148 浙江省温州市
221.234.159.51 湖北省武汉市
183.202.17.8 山西省临汾市

4.黑产资源——接码..：
http://api.duomi01.com/api
http://api.ipadh.cn/do.php
http://api.jmyzm.com/http.do
http://huoyun888.cn/api/do.php
http://www.517orange.com:9000/devApi
http://www.cherryun.com:8000/doApi

威胁猎人建议
1.增补外部风险数据标签，对..账号进行风险识别。
2.做好买卖流量监控，借助外部的谍报能力，确保能实时发现黑灰产冲击动态，调整更新失效的风控策略。