聚美活动被刷,陈欧微博怒斥黑客

新闻 作者:站内编辑 2015-08-10 12:09:34

这注定是一个不平凡的周末。总裁和奶茶领证、吹乱了发型的台风,还有我一无所获的地下夺宝(热血传奇的一个活动)。当然我最关心的要数欧帅发怒了,还有他赤裸裸的威胁。究竟是什么事情让带盐哥这么不淡定了呢?我们一起看看。

聚美营销资源被黑客一扫而光

8月7日上午,聚美推出了一次“零元购”活动,主要是针对App客户开展的,投入成吨资本来赚取用户好评。不过事与愿违,活动开始后,多名消费者吐槽称活动开始后反复刷新聚美优品手机页面无法进入,很多礼品不到一个小时便被抢完

消费者林女士说:“9点50分我就开始抱着手机进入聚美优品网页,结果9点59分网页瘫痪卡死,刷了半个小时才进去,却发现此前加入心愿单里的商品都被抢光了。浪费了不少时间和流量。”

同时,聚美优品CEO陈欧也于当天上午9点23分发布博文表示,有黑客批量注册小号刷礼品,一个地址一千单,技术人员很头疼。

聚美1

聚美2

黑客们是如何坑了聚美的

说他们是黑客,都贬低了黑客在我心中的形象。这其实就是一群唯利是图的小人,他们成群结队,在网络上到处搜集各大厂商的优惠活动,并使用大量小号+代理IP刷取优惠资源,最后转卖获利。黑产市场上这种人被称为羊毛党。

一般情况下,羊毛党在刷取优惠活动资源时,都会经历帐号注册、资源刷取、倒卖获利这三个环节,下面给大家分别介绍。

1、帐号注册

这个很容易理解,所有的优惠活动都是以帐号作为标识ID的,想要大量获取奖励,首先要拥有大量的帐号。因此,每一个羊毛党都有熟练批量注册小号的能力。当然如果如果你不会,那也没有关系,淘宝上一搜一大把,花点钱就是了。

聚美3

目前大部分针对注册环节都是没有做很深入的打击,仅仅通过下行手机验证码、IP频控、图片验证码来对抗批量注册行为。可以说,这些浅层次的对抗方案在羊毛的眼里就如同纸老虎一般。为什么这么说呢,让我一起来看看坏人的手段。

手段一:短信代收平台,1毛钱破掉你的防御

许多厂商的安全工程认为,获取大量的手机卡和手机设备是一件高成本的事情。所以,如果在帐号注册时,要求用户输入一个手机号码,并发送下行验证码是一种不错的对抗手法。起初这种方法是有效的,仅仅在2年前有效。再后来,坏人就发明了一种“短信代收平台”的工具。一些手里掌握着资源的坏人,用低廉的价格购买大量小额手机卡,通过猫池+自动化管理软件成功实现了短信批量接收的功能。随后,他们将服务提供给羊毛党,在注册小号的时候输入猫池里的手机号,短信代收平台收到短信验证码后立即转发给羊毛党,每次收费仅0.1元。

聚美4

手段二:代理IP,无限的资源

通过对单个IP的频率限制做打击,这是大家最喜欢用,也是最没有用的一种对抗方式。为什么这么说呢?首先,这一策略是为了识别自动机行为,避免一个自然人进行多次的注册、登录等行为。但是从理论上来说,坏人在使用了代理IP、VPN后,IP可以看作成一种无限的资源,那我们针对无限的资源做频率控制又有什么用呢,坏人完全可以打一枪换一个IP。而且这种服务的价格也是低到没朋友。

聚美5

聚美6

手段三:自动机破解,你的验证码抗的住么

验证码相信大家都见过,有数字的、英文的、中文的、拼图的、算术题等等等等。花样繁多,但是目的只有一个,就是识别自动机和正常的人。自从有了验证码开始,黑产市场就出现了一批专职于破解验证码的技术团队,例如之前12306的验证码被废,就是一个典型的案例。就最近的调查结果显示,目前黑市上破解一般的验证码仅需600元,破解例如淘宝这一级别的高防验证码则需要一万元。这里不得不提一句,目前黑市上还无人敢接破解我大腾讯的验证码,非常自豪。

聚美7

2、资源刷取

这一步就很简单了,有了帐号,只需要按照官方规定的要求完成任务即可。比如有的厂商是拉新用户给奖励,那坏人就是会一半的资源邀请另一半注册,并获取奖励。还有比较复杂的规则,比如uber打车,坏人首先需要伪造lbs位置叫车,刷单的司机接单后,关闭定位并完成行程,随后支付车费。全部完成后,司机会返还实际支付的钱并平分优惠部分。

3、倒卖获利

这里分两种情况,一种是直接在流程中获利,就比如之前说到的uber,还有一些p2p平台的投资奖励。还有一种就是转卖,例如聚美优品,坏人在收到0元购的奖品后,会以低于市场价的价格转卖给需要的人,从中获取奖励。不仅仅是实物,一些诸如优惠券等的虚拟资源也会遭到转卖,总之一句话,有需要就有杀害。

聚美8

羊毛党的发展现状

近年来,羊毛党迅速壮大,截至目前已拥有数万黑产从业者的规模。他们广泛涉及O2O、P2P、红包营销活动等领域。对各大厂商活动的研究及分享是羊毛党的日常,只要有一个苍蝇发现了甜头,很短的时间里就将找来一大群同类,往往让人措手不及。

聚美9

腾讯云建安全生态圈,助力中小企业平稳渡劫

毫不夸张的说,开展优惠活动的时候就如同一次渡劫。渡劫成功则飞升成仙,渡劫失败则灰飞烟灭。

从04年开始,腾讯安全团队就临危受命,毅然投身于黑产对抗的战场。从起初的盗号、挂机,到后来的微博垃圾消息、社工诈骗、ddos攻击、红包,这里的战斗没有硝烟弥漫,却时刻让人感觉到血肉横飞。就是这样十年的积累,才能让这样一支老牌劲旅在其他厂商CEO气急跳脚的时候,能一眼看破这黑产背后的本质,我为此感到无比的骄傲和自豪。

为了能全面提高互联网业界安全防护能力,保护用户财产、信息安全,帮助中小企业平稳发展。腾讯云总结我厂十年黑产对抗经验,集中优势力量,倾力打造“防刷墙”、“门神”等安全产品,从注册、登录、资源领取及去向追踪几个环节对羊毛党进行立体化打击。同时腾讯云还将开放验证码、一键验证等安全产品,通过策略+产品双管齐下的组合打法,来帮助中小型企业全面提高安全对抗能力。

最后,我还是要忍不住的要感慨一句:

腾讯云,我看行!

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接