顶象防御云业务安全情报中心监测发现,自政府消费券发放以来存在着大量套现、虚假交易的风险,从而起不到真正促销费、拉动消费的杠杆作用,相反,政府的资金很大部分落到了恶意用户的口袋中。
黑灰产盯上政府消费券“蛋糕”
疫情之下,政府消费券成功成为了促进消费的重要杠杆。
据顶象防御云业务安全情报中心统计,疫情发生以来,全国有28个省市、170多个地市统筹地方政府和社会资金,累计已发放消费券190多亿元。2022年,各地政府都在陆续进行分批发放各类消费券(文旅、餐饮、电商、购车、加油、家居、购房/车位等),通过搜集各地政府发放消费券报道,在2022年内(截止7月20号),全国消费券发放规模已大于166亿,预估今年政府总体发放消费券规模会超过200亿。
而巨额的消费券发放大潮下,也让黑灰产再次盯上了这块“蛋糕”。在百度键入关键词政府消费券套现,其相关新闻多达8800000个。而在具体的新闻报道中更是不乏惊人的数字出现。
诸如羊毛党细节消费券,套现获利一套房,190亿的消费券,消费者只抢到29%、太原某夫妇通过POS机扫码套现20多万、政府发放消费券累计使用215.07万,被套现消费补贴款约120多万元、消费券诈骗集团招揽青少年“套现”,涉款约31万港元等等。由此不难看出消费券背后的暴利。
黑灰产充当黑产中介,集中组织套现
那么,黑灰产是如何作弊的?
据顶象防御云业务安全情报中心分析,黑产通过引导用户作弊的方式获取消费券后,通过实体店刷单的方式快速将消费券消耗完成,在进行三方分成和返款。这一过程实际并未给当地经济带来任何刺激,对当地发放政府造成巨大经济损失。
顶象防御云业务安全情报中心显示,涉及政府消费券、抢券、薅羊毛套现交易的QQ群将近500个,QQ群聊人数最高达到2500多人,在线人数高达600多人,将近四分之一的人在参与消费券的抢购和套现活动;群里涉及总人数近几十万人都在参与或关注消费券的交易信息,真实规模只会更大。
自22年6月份起,根据顶象防御云业务安全情报中心跟踪发现,黑灰产针对政府消费券变现场景已经有成熟的变现渠道。根据目前从黑产渠道获取的作弊方式分析来看,主要是通过黑产发放任务,刷手们通过真人真机刷取,并集中组织套现。由于消费券发放的平台主要在支付宝、微信、云闪付及建行生活App等各个大平台发放且各大平台自身风控能力较强;
另一方面,根据各地的消费券发放规则,获取消费券的用户基本都需要完成实人认证,并且需要开启相应的线上支付功能。黑产若想通过模拟器等作弊软件,进行批量注册、养号等方式去实现批量刷券和套现,难度大、周期长,其投入的成本也非常高。而通过建立社交组群,以发放任务的方式能够通过刷手们在其真实账户真人操作,快速实现刷券和套现,响应度较高,成本也相对较低。从目前收集的情报来看,现阶段黑产在整个政府消费券套现的链路中扮演中介的角色,赚取相应的佣金。前期准备阶段,黑产会在各个社交平台建立消费券组群,并且在国内外社交平台,发布隐晦的广告信息,招揽刷手入群。同时,有套现需求的消费者也可以在QQ等社交平台,通过关键词搜索的方式快速找到相应的消费券套现群。
在招募一定数量级的刷手后,黑产中介会通过人肉线上搜索或机器爬虫的方式,抓取线上各地政府发放消费券的发布信息。经过整理后,黑产会在各个消费券群发布各地消费券具体内容(包括发券时间、地点、发布app、消费券金额及使用方法等),引导刷手们在指定的时间内集中刷取消费券。
根据消费券的发放规则,消费券的领取除了要求参与账户需要实名认证外,还需要参与人必须要在消费券发放的当地才能领取,并且只能在当地的线下实体商铺进行消费。而群内招募来的刷手们通常来自全国各地甚至部分为境外用户。此时群内的黑产中介为了方便更多的刷手能够顺利参与其中,会提供更改定位的教程,并提供相应的软件。通过作弊软件更改IP、GPS等,刷手们能够立刻模拟成当地的用户,成功参与领券。
商家合作+二手转让,最高套现金额可达千万
抢到券后如何使用?如何套现?根据顶象防御云业务安全情报中心目前监测到的套现手段来看,主要有两种,一种是与商家合作刷单套现,一种是通过二手转让套现。黑灰产与商家合作刷单套现的规则一般是黑灰产中介首先会在群中发布消费券回收的价格、抽佣比例、返款时间、返款方式等信息。并会协同当地的商家,提供线下实体店铺的收款二维码,用于批量虚假交易。有意向出售消费券的刷手可以私信给中介进行接下来的“扫码”下单支付。后期商家会按照约定的比例返款给中介,中介在抽取佣金后,再将钱款返款给实际支付的刷手。
以一张通过云闪付发放的黔东南满300-100的消费券为例,中介首先通过微信发来一张具有核销消费券资质的商家的收费二维码,并告知出券人应支付金额,如305元,出券人扫描二维码实际支出205元后,把订单详情截图发回给中介,中介转给出券人231元,其中26元即为出券人“卖券”所赚的钱。
套现中介分为两种,普通中介和“高价车”,二者的区别是普通中介是秒返,即交易结束后立马返现,但是利润相对较低;“高价车”利润较高,但不是秒返,一般会在交易结束的第二天返现。两者套现都是通过主扫(主动扫描商家二维码付款),然后通过支付宝返现给出券人。但这样的消费券套现方式也存在欺诈的风险。由于此笔订单实际是虚假交易,现金支付后实际并未得到任何实际的商品或服务,商家或者黑产中介存在携款潜逃的可能。
除了通过商家“合作”变现消费券,黑灰产还将消费券以票面价值5折到6折的价格转卖给他人获利。顶象防御云业务安全情报中心也在某二手交易平台发现有大量转手消费券的信息,涉及山东、广东、安徽、江西、江苏等多地。单张消费券面值少则20元,多则200多元。有的发布者打包多种面值消费券以半价转卖,有的是单张半价出售。其交易的对象可能是当地的商铺进行合作套现,也有真实有购物需求的消费者为其进行代购行为。
通过以上套现方式,部分参与者获利颇多。普通参与者,一人一天,通过套现其中的一种消费券,牟利就达4千多元。
多端防控,阻断黑灰产套现途径
针对以上消费券套现的作弊手段,顶象防御云业务安全情报中心给出以下几个防控建议:
1、终端风险环境监测客户端可集成安全SDK,使其定期对App的运行环境进行检测,对于存在代码注入、VPN、hook、模拟器等风险,能够做到实时监控并拦截。
2、客户端安全防护参与发券活动的APP或网页,可以分别部署H5混淆防护及端安全加固,以保障客户端安全。
3、业务安全策略防控针对消费券刷券及套现的风险特征,可将领券及下单场景的请求接入业务安全风控系统。将终端采集的设备指纹信息、用户行为数据等传输给风控系统,通过在风控系统配置相应的安全防控策略,有效地对风险进行识别和拦截。
4、风控维度建议
1)设备终端环境检测。识别客户端(或浏览器)的设备指纹是否合法,是否存在注入、hook、模拟器等风险。同时针对伪造GPS、IP地址等行为进行检测和拦截。
2)用户行为检测。基于用户下单付款行为进行策略布控。在消费券使用环节,根据下单行为重点对于商户短时间内获得大量扫码交易订单进行策略布控。同时结合消费券的面额和收款途径,对商户通过收款码获得大量等值面额的订单进行识别和监控。
3)名单库维护。基于风控历史数据,对于存在异常行为的店铺或者刷手账号进行标注,沉淀到相应的名单库。以便在后续开展的消费券活动中直接拦截。
4)算法模型。线上数据有一定积累以后,通过风控数据以及业务的沉淀数据进行建模,模型的输出可以直接在风控策略中使用。针对领券时识别为存在风险的请求进行实时拦截,如直接反馈“领券失败”,“网络拥堵”等。也可在消费券使用环节直接使其消费券使用失败。
5、防控产品组合建议
1) 设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、hook、模拟器等,配合决策引擎使用,可以实时发现风险并给予处置。
2)业务安全感知(移动版):安全感知可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层面风险。
最后,简单介绍下顶象防御云业务安全情报中心。业务安全情报中心是顶象防御云的集成服务。
顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品,以及业务安全情报、云策略等服务,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。