肖钱现实向同人文|2018年全年白姐透特

网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大?#28023;?#32676;号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠?#20445;琎Q:55984512
?

揭秘 | 没那么复杂,看能信安如何对付“羊毛党?#20445;?/h1>
2019-11-02 15:33 推荐: 浏览: 29 views 字号:

摘要: 经常听到有人在讲“薅(hāo)羊毛?#20445;?#34181;羊毛”难道也是一?#22336;?#32618;? 近日,北京市海淀区人民检察院办理了一起因“薅羊毛?#34987;?#32618;的案件。 海淀区人民检察院以被告人黄小天(化名)涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉,经过法庭审判,被告人黄小天当庭...

经常听到有人在讲“薅(hāo)羊毛?#20445;?strong>薅羊毛”难道也是一?#22336;?#32618;?

近日,北京市海淀区人民检察院办理了一起因“薅羊毛?#34987;?#32618;的案件。

海淀区人民检察院以被告人黄小天(化名)涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉,经过法庭审判,被告人黄小天当庭认罪,被判处有期徒刑三年六个月。

01

先给大?#31227;?#21450;一下“羊毛党”

羊毛党,网络流行词,出自1999年央视?#21644;?#23567;品《昨天?今天?明天》。

是指关注与热?#26434;凇?#34181;羊毛”的群体,专门选择互联网公司的营销活动,以?#32479;?#26412;甚至零成本换取高额奖励的人。

他们对搜集各大网贷平台、电子商城、银?#23567;?#23454;体店等各渠道的优惠促销活动、免费业务之类的信息?#20449;?#21402;的兴趣,并有选择地参与活动,从而以相对?#31995;统?#26412;甚至零成本换取物质上的实惠。这一行为被定义为“薅羊毛”

目前“薅羊毛”的定义越来越广?#28023;?#24050;跨出了金融行业的界定,渗透到各个领域,滴滴打车等打车和拼?#31561;?#20214;送代金券,美团外卖,饿了么点餐减免活动,百度钱包,免费送话费充流量等诸多活动,都可以称为薅羊毛

电子商务研究?#34892;?#20027;任曹磊此前在接受媒体采访?#21271;?#31034;,国内“羊毛党”已经形成了组织化程度极高的黑?#20063;?#32452;织。上到BAT,下到初创的互联网公司,只要举办市场活动,都可能面临“羊毛党”的巨大威胁。

02

再来回顾一下黄小天的犯罪过程

据悉,黄小天出生于1993年,初中肄业的他对计算机技术情有独钟,也十分了解市场上经常做优惠活动的一些商家信息。

2017年,黄小天发现一家专做母婴用品的App在针对购买奶粉?#27809;?#36827;行优惠活动,厂家为了鼓励注册半年以?#20384;嫌没?#39318;次消费,规定优惠活动为:?#23244;没?#39318;次消费购买奶粉,买一桶送一桶。

针对这一优惠活动,黄小天在之后一年的时间里,使用脚本程序批量虚假注册了该App的20万个账号。

但在上述账号注册半年以后,?#34987;?#23567;天试?#21152;?#35813;批账号参加商家买一桶送一桶的优惠活动时,黄小天发?#38047;?#20110;账号注册过?#35752;?#32570;少必要审核信息,这批账号无法登录正常的商家App客户端。

为了成功实现薅羊毛,黄小天转而研究商家的App安装包,并成功对该App客户端进行了攻破,将App的一些验证功能进行修改,终于让自己注册的虚假、非实名账号能够成功登录商家App客户端。

随后,黄小天通过互联网销售了两万余个这种虚假注册的账号,这些虚假账号配合他自己开发的冒牌App,最终?#27809;?#36291;在网络中的羊毛党们又一次成功薅到了商家的羊毛,而黄小天也从中获利六万余元。

在审判中,被告人黄小天供称,他一共注册了20万个账号,筛选出两万多个可以参加“奶粉买一赠一活动”的账号出售谋利,而通过这个途径买奶粉的“羊毛党?#20445;?#34181;走的奶粉总共两万多桶。

03

? ?? 相似事件层出不穷

有利益就有羊毛党,无法预料会在哪一刻,我们的一?#31508;?#28431;成就了“羊毛党”的狂欢。

近年来,相似的因薅羊毛出?#20540;?#31038;会热点事件不在少数,不少羊毛党把自己薅上了犯罪的道路!

2019-01-20
凌晨,拼多多被曝出?#31181;?#22823; bug,?#27809;?#21487;领 100 元无门槛券在拼多多里抵扣使用,结果一夜被薅千万!
2018-12-17
?#21069;?#20811;APP注册新人礼”营销活动,遭受黑?#20063;?#22823;规模攻击。黑产利?#20040;?#37327;手机号注册?#21069;?#20811;APP的虚假账号,并成功领取活动优惠券。保守估计,短短一天半时间,?#21069;?#20811;的损失可能达到1000万人民币。
2017-12
支付宝红包被人薅走137万元。

“薅羊毛”黑产已?#29616;?#25200;乱了正常的市场竞争秩序,损害网络消费者的利益,因为经营者推出优惠活动的总金额都是有限的,黑产大肆攫取了优惠券,真正的消费者获得优惠券的概率和总金额就会少很多。

而且随着移动互联网的爆发式发展,众多企业开始越来?#25581;览?#20110;以APP为核心的移动业务系统所带来的业绩增长,大量业务在移动端达成,产生大?#31354;?#23545;APP技术漏洞而专门的“薅羊毛”程序,这直接侵害了经营者的财产权,造成难以估量的重大损失。

(1)运营成本失控:本来预计1000人参加,运营成本一人20,也就20000块,结果前仆后继的薅羊毛党组团过来,10000个?#32479;?#20102;20万,?#22336;种?#36816;营成本翻倍。

(2)数据样本失真:给做调研的?#27809;?#36865;红包,薅羊毛党一拥而上信手乱填,调研获得的数据真实性难以取证。

(3)数据有效性失常:各个平台有自己的精?#21152;没?#31867;型,被薅羊毛党突袭后,平台?#27809;?#30636;间鱼龙混杂,有效?#27809;?#38590;以判断。

(4)运营公正性失信:给平台粉丝开展优惠活动时,排名靠前的全部是羊毛党,其他按规则参与的?#27809;?#21482;能暗自神伤。

(5)平台发展失衡:一哄而上,皆为利来;一哄而散,皆为利往。薅羊毛族?#26434;?#24179;台没有粘性,更不用提?#39029;?#24230;,别的平台有利益就逐利而去,结果平台时而高峰时而低谷,?#27809;?#30041;存率难以保障,平台发展整体失衡。

04

“三位一体”联动防控体系

赋予企?#21040;?#34701;级安全防护

能信安移动应用安全防火墙系?#24120;?#26500;建“三位一体”的联动防控体系,从移动应用客户端、网络通信、服务器端构建完整的安全防御,满足对商家客户端防护、通信加密、站点威胁防御?#32676;?#24515;需求。尤其是针对“薅羊毛”等业务逻辑层的攻击,能信安移动应用防火墙系统具有独特的防护机制

 

首先,会使用可信基SDK嵌入到前端的APP应用中,基于客户端安全数据的采集与分析,对APP端的异常攻击行为,打包行为、运行?#35272;?#21450;程序漏洞等进行实时监控,提供安全态势感知能力,第一时间反馈到系统平台进行预警;

其次,服务器端与客户端联动,保护站点免受众多的已知和未知的风险攻击,如:SQL注入防护、XSS防护、爬虫防护、扫描器防护、服务器漏洞防护、命令行注入防护、路径遍历防护等,进行了全面防护。

最后,其手机指纹功能采用随机数算法对客户端进行唯一?#21592;?#35782;,有效识别同一手机多次注册,多次请求的非正常行为,并对异常行为进行安全阻断,有效保障移动业务的安全开展,防止业务欺诈,薅羊毛等不法业务行为,为商家提供安全保障。

 

移动应用安全防火墙系统流程示意

联系站长租广告位!

?
中国首席信息安全官


关闭


关闭
肖钱现实向同人文 龙王捕鱼机 一尾中特王 官方大圣捕鱼游戏下载 新疆35选772期开奖 金多宝论四肖中特 晓风彩票软件5.3 快乐12开奖结果四川 pc蛋蛋28开奖查询官网 秒速飞艇开奖直播 青海快三开奖走势图表