[1]刷单-风控-内鬼


=Start=

缘由:

周末闲着无聊,翻微信收藏历史文章的时候看到了一个和风控、内鬼相关的文章,突然想收集整理一下刷单、风控和内鬼相关的文章,方便需要的时候参考。

正文:

参考解答:
0x01. 刷单是什么?

刷单是一个电商衍生词。店家付款请人假扮顾客,用以假乱真的购物方式提高网店的销量和排名以获取销量及好评来吸引真实顾客。刷单,一般是由买家提供购买费用,帮指定的网店卖家购买商品提高销量和信用度,并填写虚假好评的行为。

0x02. 为什么会出现刷单?

对于刷单的个人来说:

  • 贪小便宜心理(以为存在天上掉馅饼的事)。根据数据统计来看,大学生、年轻人及无业群体是网络刷单类案件的高危群体。因为此“工作”相对轻松,成本低,不受地域限制,足不出户便能获得高额回报,所以吸引了大批大学生从事此项“工作”来“勤工俭学”。
  • 不懂法律(以为这种事情没什么大不了)。但刷单其实是一种欺骗手段,国家《反不正当竞争法》已明确规定,刷单行为是违法行为。

对于刷单平台来说:

  • 对”正规的”刷单平台来说,它们靠刷单”赚”钱。。。
  • 还有些”不正规的”刷单平台,它们靠这个骗钱。。。

对于网店来说:

通过这种方式,网店可以获得较好的搜索排名,比如,在平台搜索时“按销量”搜索,该店铺因为销量大(即便是虚假的)会更容易被买家找到。一般可分为单品刷销量为做爆款等做准备和刷信誉以提高店铺整体信誉度两种。

对于电商平台来说:

对GMV(Gross Merchandise Volume, 交易总额)的渴望

0x03. 刷单有什么危害?

对于刷单的个人来说:

  1. 容易被骗(贪小便宜吃大亏);
  2. 刷单其实是违法行为;

对于网店来说:

刷单行为违反电商平台的规则,容易被平台发现并处罚。

对于电商平台来说:

由刷单产生的GMV其实是虚假繁荣,并不能提现企业/平台的真实情况。

  • 如果有刷单情况却发现不了,那是企业/平台的能力不行,如果不及时提升这方面的能力,发展肯定不长久。
  • 如果能发现但不处理,一种可能是有内外勾结,侵吞公司资产;还有一种就是公司文化风气不对,想骗投资者的钱。但不论是哪种情况,最后损害的都是公司的利益/名誉,最后都做不长久。
0x04. 对于正规企业来说如何应对?

营造和维护正直诚信的企业文化、制度(价值观一定要正,同时还需制度保障);

建立专门的风控、监察团队(必要情况下还可以借助一些外部团队的力量)用于发现和处理这类问题(能力保障。后续会再写一些文章来讲这部分的内容,这一部分对于企业来说是核心,感知是应对的前提);

建立通畅的反馈渠道,接收外部举报、反馈。

参考链接:

防水墙实地探访线下店,揭秘零售业刷单百态
https://mp.weixin.qq.com/s/si9hBzfrF7rBOrmCJTcLIQ

刷单诈骗全程揭露,骗到你怀疑人生!
https://mp.weixin.qq.com/s/xiLRxKKlgL86a70xIy0FZw

正规平台诚邀刷单,结果是……
https://mp.weixin.qq.com/s/kyyIKNleF3NnDgdhNMQJrQ

套娃式刷单,二维码织就的连环套
https://mp.weixin.qq.com/s/Si_1OVPmX2PzFcBSvvuhTQ

切记!别再刷单了!
https://mp.weixin.qq.com/s/ssYUE7GxV7OyBInK8E2aKw

调查 | 拼多多刷单
https://mp.weixin.qq.com/s/GdKpU2Qs2Isnic-RAK6lKg

=END=


《 “[1]刷单-风控-内鬼” 》 有 5 条评论

  1. […] 之前记录了一篇【[1]刷单-风控-内鬼】的文章,说的是和刷单相关的内容,没有相关细节,只有个大概。这里再记录一下和风控相关的内容,也只是个大概,不怎么涉及细节。 […]

  2. […] 上半年的时候大致记录了一下刷单、风控和内鬼的前2个部分([1]刷单-风控-内鬼、[2]刷单-风控-内鬼),第3部分内鬼这个因为内容比较敏感,且方便举例的样例不多所以一直也就没有写。不过前段时间网上和朋友圈里圆通因为内鬼泄露40万条信息而火了一把,也让我想起了这部分内容还没有写完,这里也就整理补充一下这部分的内容,一些较为敏感的内容就不写了,有机会的话可以当面交流,毕竟做企业安全防护的很多时候还是需要依赖信息不对称而获得一些比较优势的。 […]

  3. 房地产互联网领域黑产常见攻击手法初探
    https://mp.weixin.qq.com/s/RfBOC1Tiy76qQRlrjIMdTA
    `
    黑产已经形成了一个产业链的上下游关系。整个黑产的产业链上游是以公民个人信息交易为核心的。他们提供出来的产品称为“料子”。包括以下几项:
    1. 手机卡:作为互联网注册的入口,现在绝大多数互联网厂商均要求用户使用手机注册。这些手机号的来源包括大批量从运营商手中购买的非实名物联网卡(早期),还有通过运营商申请的虚拟号码。最近已经发展出了给老人机内置木马的手段,将无辜的老人实名申请的手机卡变成他们手中作恶的工具。
    2. 代理IP:为攻击者提供伪装的IP地址,用来绕过互联网厂商的IP限制策略。这些IP基本都来自于家庭宽带,很多家庭的路由器被入侵后,会成为这个资源。
    3. 设备信息:做黑产总会被很多互联网企业识别到,并被把他们使用的手机设备加入黑名单。但通过“改机软件”“刷机助手”等工具,黑产从业者将手机进行洗白,变成一部新的,没有任何问题的手机设备。
    4. 身份资料:在黑产论坛、“暗网”中,个人信息被疯狂地买卖。包括身份证、银行卡、人举着身份证认证的照片、家庭住址、快递地址等个人信息。以上被买卖的身份资料中,最好的是所谓的“全套”:包含同一个人的身份证、银行卡、照片。你可以依靠这些身份资料完全地在网上伪装成为这个人。
    5. 企业资料:全套的企业资料,法人往往是“三和大神”。你买到企业资料之后可以以这个企业的名义做任何事情,如果出了事,“三和大神”给你负法律责任。

    这些“料子”是黑产的基础,而更往上层,是将这些“料子”进行包装,形成产品和服务,从而让更下游,也就是真正实施犯罪的人更方便犯罪。

    这些服务会有:
    1. 接码平台:提供手机号用来接短信验证码,已经对外提供的是API跟页面。攻击者不再需要自己购买大量的手机号组“猫池”。他们直接购买相应的服务就好了,这样成本低而且稳定。
    2. 打码平台:用来对抗人机识别的平台。平台后端可以是AI,也可以是农村大妈。该平台可以用来识别图形验证码。
    3. 群控平台:此平台又称“云手机”。此黑产平台提供的能力与手机APP自动化测试相似,可以大批量地实施攻击,且配合刷机工具,批量产生“新手机”,以绕过风控。
    4. 交易平台:提供黑产各个链条进行交易的地方,包括暗网、各种发卡平台。

    而在最上层,是各位能够感受到的各种犯罪。包括但不限于各种电信诈骗、网络赌博、刷量作弊、勒索病毒、游戏盗号、游戏外挂等等。

    2.1 电信诈骗
    2.2 羊毛党

    3、贝壳面临的黑产
    3.1 虚假拉新
    3.2 羊毛党
    `

  4. 网页上一个按钮的点击,如何用 js 判断为真人点击?
    https://www.v2ex.com/t/832362#reply37
    `
    伪命题 防不住的

    受限于浏览器的权限限制,反机器人几乎不可能在客户端准确的侦测。
    所以包括 reCAPTCHA 都是通过特征识别+验证码拷问来验证的。

    JS 向 HTTP 后端提交的任何内容都是可以篡改的。设备环境风控靠黑名单( IP 和设备特征),人机风控靠验证码(机器识别不了的),目前别无他法
    `
    https://developer.mozilla.org/zh-CN/docs/Web/API/Event/isTrusted (Event.isTrusted 并不可靠,puppeteer 即可破防)

  5. 个人信息泄露造成的电信诈骗详细案例解析
    https://mp.weixin.qq.com/s/MG3ojRJPvdCtym2dCnj5ng
    `
    本案例解析和数据泄露有什么关系?为什么会遭受电信诈骗?电信诈骗过程受害者如何被骗的?最终监管介入及时止损。

    数据泄露
    最近快递地址泄露的例子,当诈骗者手里面掌握了你的相关数据;姓名、手机号码、家庭住址,同时他可以通过家庭住址反查家里其他人的姓名、手机号码,然后再去结合这些关联家人的数据泄露信息实施诈骗。

    单条的数据泄露不可怕,可怕的是把所有的数据泄露关联起来。

    数据泄露远远不止这些,诈骗者会针对性的去定位一些人群。如
    1. 母婴信息泄露,会定位一些孕妇
    2. 养老数据泄露,会去定位老人
    3. 校园相关的数据泄露,会定位到学生等等等等等等
    4. 企业信息泄露,会定位一些老板

    有人说我一共就三千块钱他能骗我多少?
    天真了,你可以看看你的美团、JD、支付宝,招行、建行、农商行。哪一个没有借贷的平台????

    诈骗案例
    电信诈骗有很多形式如刷单、假冒客服、疫情、色情、退款、理财投资等等,不管怎么变化都是围绕了人性的弱点来进行诈骗。通常使用威胁、影响、指导、咨询、请教、惩罚、操纵、愤怒、同情、欺骗、请求、恐吓等

    第一步
    🕵️诈骗者–通过国外电话号码拨打电话过来,以个人支付宝、JD金条、微粒贷、等其他借款平台违规为由申请注销,否则影响征信……
    🙎受害者:听到这里我怀疑是不是骗子,我向他确认了,我的电话,sfz号,和在那个学校,他都准确的说来了。然后影响我的征信,脑子里开始想象……没法坐飞机,高铁,没法贷款买房,甚至影响终身……再想下去就不得了了。心跳开始加速,脑子有点凌乱,听了客服电话的指挥打开了贷款平台,发现确实有违规额度……低于国家标准。

    第二步
    🕵️诈骗者–使用国内电话拨打过来,核实开通相关贷款,让受害者确信自己是违规的。然后引导加入qq群
    🙎受害者:进群后按照客服指引发送了,自己的违规额度截图到群里。这时候就挂断了电话。
    第三步
    🕵️客服3–群客服,拨通语音电话,不给受害者有太多思考的机会,指导受害者打开(xxx银保监会.com)被骗,和另外诈骗者配合,
    🙎受害者:听了客服的耐心讲解,我按照他的引导访问了他发给我的网站。xxx银保监会.com,我再次确信了,这个就是官方的网站。后来跳出客服和我沟通。

    第四步
    🕵️客服4–制作虚假的官方网站,冒充国家公务人员(银保监会,公安),对其进行威胁,以违规借贷,不符合国家标准等理由,对各大借款平台进行“清空”转账。
    🙎受害者:通过客服聊天确认我的姓名,出示了相关的工作证,要求我阅读相关的制度,提示我操作。。。
    诈骗细节

    引导投屏
    这时候我按照QQ群语音里面的电话指引,下载了乐播投屏(诈骗者)的监管(监控)下。进行一步一步操作。

    冻结微信
    首先按照上面他说的,属于监管单位,让我自己发送短信,让我误认为他们有这个权限冻结微信(真是监管单位???)。

    骗取手机验证码
    系统提示:您申请的关闭违规网贷的处理通道已开启,请在当前工作人员的指导下及时完成认证关闭,为保障本次处理操作的合法性,将为您提交个人处理信息至公安110,请注意查收本次备案信息验证码。
    收到公安110短信后请按照工作人员指导下进行备案!

    制造假象
    制造官方图片例如,logo、签章每次替换

    循环借贷
    当你借完一个平台后他提示你另外一个平台会有问题,然后进入循环

    被骗细节
    经过客服人员的一系列操作,我已然投降,我只想尽快把这些违规贷款清空掉。通过某某平台借贷,输入了我的相关信息,身份证号码,进行验证。

    申请了他们提示的各个平台的额度,申请结束后,客服使用官方的文件发我提示,汇入指定账户。

    循环操作借贷
    当我转过了以后客服提醒我其他平台存在违规网贷。
    一个平台清空后,再另一个平台持续操作。
    好分期,哈罗,支付宝,微粒贷,滴水贷款,中邮……
    各个平台加起来损失数十万

    反诈中心提醒
    在我循环几次以后,派出所反诈中心把我从诈骗的循环中拉了出来。

    加我的微信
    拨通我的电话,我还在纳闷怎么会有派出所的打电话给我????我也没犯罪啊????

    反诈中心的警察叔叔告诉我详细的情况,我被骗了,让我把身份信息,诈骗转账记录发给他……这时候我才意识到我被骗了……。
    欲哭无泪,大脑里面一片空白,隔了很久才反应过来……在内心挣扎。
    最后发现我还在被监控中,或许骗子正在庆祝……

    或许你看来,这很傻,但是这就是每天都在发生的真实的事情。
    END

    如果接到诈骗电话请注意以下几点。

    一、及时核实信息。

    京东400开头客服电话不会主动外呼,外呼客服号码为固定短号。
    常见的银行客服电话
    农业银行:95599
    建设银行:95533
    中国银行:95566
    工商银行:95588
    交通银行:95559
    招商银行:95555
    华夏银行:95577
    兴业银行:95561
    深圳发展银行:95501
    中信银行:95558
    民生银行:95568
    上海浦东发展银行:95528
    光大银行:95595
    徽商银行:96588
    邮政储蓄银行:95580

    二、不透露个人信息。

    提高信息安全意识,身份证号、银行卡号、验证码等个人信息不能泄露。
    对常见的快递地址、外卖地址、尽量不写真实姓名、地址不要太精确能拿到就好(如果自己觉得方便的话)

    三、不加好友不开视频。

    下载app或者去各类视频会议软件进行共享视频等协助操作,一定要拒绝。

    四、无论任何渠道都不给陌生人转账。

    如果不幸被骗,保存相关材料,立即报警。

    五、提到征信也不用害怕。

    任何人无权删除或修改,如对个人征信存疑可登录中国人民银行征信中心查询。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注