共计 1881 个字符,预计需要花费 5 分钟才能阅读完成。
近期,顶象公布了《城市生产券平安调研报告》(以下简称《调研报告》)。《调研报告》从城市生产券的发放规模、核销状况、危险登程,进一步剖析除了黑灰产的舞弊伎俩以及舞弊工具。
其就舞弊伎俩而言,黑灰产哄抢城市生产券的形式有两种,一种是通过招募刷手哄抢,一种是通过舞弊软件批量争夺。获取到生产券后,再通过虚伪交易或二手转售等形式进行套现。
《调研报告》监测发现 500 多个黑灰产社群,单个社群人数最高达到 2500 多人,在线人数高达 600 多人,每个社群中,近四分之一的人在参加生产券的抢购和套现流动。近几十万人在参加或关注生产券的交易信息,曾经形残缺的抢购、套现产业链条。
此前,咱们曾在《如何防备城市生产券被歹意爬取》一文中具体介绍过机器爬虫的舞弊伎俩。
那么,黑灰产是如何通过舞弊软件进行批量抢券的?
利用舞弊软件绕过生产券领券规定
各地发放的生产券规定中明确规定,消费者只可能支付到所在城市的生产券。针对这个规定,黑灰产通过更改 IP 地址、伪造 GPS 定位实现“城市逾越”。
IP 地址就是用户上网时的网络信息地址,GPS 定位就是用户应用网络服务时所处的地理位置 信息。很多电商平台上有 IP 代理的“商品”,几块钱就可能更换任意想换的 IP 地址。而且 黑灰产有一种秒拨 IP 的工具,可能疾速无缝切换不同 IP 地址。此外,黑灰产通过一些软件 可能实现对 GPS 定位的伪造,可能实现地理位置的霎时“逾越”。
通过伪造账号和设施的地址、定位后,黑灰产利用软件能够操控几十个乃至几百个账号,批量支付各个城市的“城市生产券”。
并且这种舞弊工具在任何一部手机上都能够实现,即顶象之前讲过的《地理位置模仿攻防》。
地理位置模仿顾名思义就是基于手机地理位置的模仿工具,能够通过对地位的模仿扭转以后地位。
最后,地理位置模仿是用来开发 App 时测试用的,其次要目标是帮忙开发者模仿某些 App 的以后地址来实现测试的定位性能,且设施无需 root 权限,只需通过模仿软件、第三方工具等就能够扭转所在位置的经纬度,能够穿梭到任何中央。
这对于黑灰产而言,几乎是人造的“作案工具”。
此外,顶象在第六期业务平安情报《黑灰产盯上政府生产券,最高套现额超千万》一文中也具体介绍过黑灰产的攻打伎俩和攻打套路——黑产中介为了不便更多的刷手可能顺利参加其中,会提供更改定位的教程,并提供相应的软件。通过舞弊软件更改 IP、GPS 等,刷手们可能立即模仿成当地的用户,胜利参加领券。
那么,如何检测你的手机是否关上了地理位置模仿性能呢?
两招检测你的手机是否被关上了地理位置模仿
在非 Root 权限的手机上,咱们关上开发者选项,其零碎会提供相应的 API,通过调用相应的 API,咱们就能够检测到以后手机是否关上了地理位置模仿性能。如果这个选项是被关上的,那么以后咱们取得的地理位置信息,可能并不是实在的,此时就须要业务方或者 App 的开发者做相应的解决。
但在有 Root 权限的手机上,咱们不肯定须要关上开发者选项。在有 Root 权限的手机上,有可能通过代码注入的形式篡改地理位置,这也就意味着篡改这部分的代码或者信息曾经注入到了整个过程中,此时就须要通过其余伎俩来检测以后的代码是否被注入。
通常咱们的检测办法有两种。
一种是通过检测文件系统中是否存在地位模仿的代码库。以下图为例,能够看到,模仿地位的代码库通过共享代码注入到代码里。个别状况下,咱们能够通过检测整体的过程空间,在过程空间里,如果发现了这部分 so 文件存在,那么也就阐明这部分文件被注入到了内存里,由此也能够判断出以后 App 所取得的代码信息及地位信息。
第二种办法是通过逆向剖析 App 代码找那个是否存在加载了地位模仿的代码库。通常状况下,App 的代码被注入是通过动态的办法植入到 App 外面去的,App 在运行过程中把这部分 so 文件 load 起来。通过逆向剖析,咱们就能够看到 App 在代码外面是否存在加载这个地位模仿的相应代码。
以下图为例,能够看到该 App 在代码执行的过程中,调用了代码加载的一个函数,那么由此能够判断这个 App 是被感化过的——在装置过程产生之前就曾经被攻击者植入了相应的代码,来进行相应的 so 文件加载。
当然,要防住黑灰产绝非易事,须要平台和消费者的共同努力。不仅须要有欠缺规定体系和易用的平台,让用户支付和应用便捷,更须要标准和强化平台的平安能力,避免产生生产券被截留、冒领、去向不明等问题,进而引发新的纠纷和矛盾,更须要消费者对薅羊毛、刷单、隔空刷码等违反市场秩序的行为放弃高度警觉和自制,独特保护良好、偏心的市场环境。
——————
城市生产券调研报告:收费下载
业务平安产品:收费试用
业务平安交换群:退出畅聊