梆梆资讯
“全能车”事件复盘与客户风险提醒
2020-12-03
2017年1月,某科技公司实际控制人李某起意创设了“全能车”App。这款外挂软件主要通过修改计算机信息系统中处理、传输的数据,在未经营任何共享单车实体业务的情况下,能打开市场上所有品牌共享单车,累计获利9320余万元。近期,上海市闵行区检察院对“全能车”APP的公司实际控制人等6人提起公诉,李某、张某等6人破坏计算机信息系统案在法院开庭审理,检察官当庭建议对主犯李某判处禁止从事计算机相关行业工作。
共享中的共享,实则黑灰产在“薅羊毛”
“全能车”APP的业务模式,美其名曰为“共享中的共享”,实际上从事的就是典型的灰产“薅羊毛”活动。其套利模式非常简单(以下金额和数量均为模型模拟,方便大家理解),假定:
1、 共享单车平台的月租会员服务费为:10元/月;
2、 “全能车”公司出100元,自己通过购买手机卡,开会员账号,或者向自己的用户租赁账号,假定最终形成一个会员账号资源池10个共享账号;
3、 “全能车”公司再对自己的用户开通5元/月的会员服务,招揽最终用户,假定有50个人使用;
那么最终对于各方的利益分配如下:
n 对最终用户而言:以5元/月的会员租金服务,享受了原有的10元/月的服务,且一个账号可以随便骑不同厂商的单车,同时部分用户还能在租赁自己原始账号上牟利;
n 对全能车而言:100元的账号资源池成本,收回了250元/月,毛利润150元;
n 对共享单车厂商而言:仅收到了10个账号的月服务费,但最终服务了50个客户,账面亏损400元;
黑灰产“薅羊毛”商业逻辑落地的技术原理
“全能车”APP在技术上是如何最终形成这套完整的黑产商业逻辑落地的呢?如下图所示:
回顾整个攻击过程,我们发现一个非常核心的攻击点:“全能车”能够模拟各个共享单车的APP向单车的服务端发起开锁请求,且这些开锁申请完全自动化执行,但是在整个过程中,各个共享单车的厂商并未能及时发现,进行阻断,即上图中步骤6的校验环节存在问题。
如果,我们把步骤6单独剥离出来看的话,其实这个安全风险我们很多客户都可能存在,核心指向的一个移动安全风险为:前端不可信。前端不可信应该作为所有企业做移动安全或业务安全时一个非常重要的关注点,具体表现为:
1、 应用来源可信:不能先天相信服务端收到的请求都是来自自己的官方APP;
2、 业务逻辑可信:不能先天信任客户端APP的业务逻辑得到了正确执行,如活体检测、OCR识别等完全在APP端执行的业务逻辑;
3、 采集数据可信:不能先天相信从APP采集上来信息的真实性,如采集的设备信息、采集的地理位置信息等;
4、 操作行为可信:不能先天相信前端的APP一定是真人在操作;
5、 设备环境可信:不能先天相信前端APP所在的设备一定是真机;
移动安全监测平台帮你避免被“薅羊毛”
2020年是移动安全生态发生重大变化的一年,黑灰产的攻击更加精细化、专业化,人脸识别绕过、OCR识别造假、APP协议破解模拟等多类型的前端攻击给企业的业务安全带来了重大的挑战。
梆梆安全从2015年开始研究前端操作风险的监控,针对应用可信、逻辑可信、数据可信、行为可信、设备环境可信等多个维度进行风险监控,与企业的业务/风控系统进行联动,第一时间发现各种前端攻击造假行为、渗透测试行为、业务逻辑绕过等前端不可信操作,并提供深度的溯源及攻击路径分析。
梆梆安全移动安全监测平台,是为了适应新形式下移动安全生态的变化,而研发的一款移动风险发现、预警、溯源、阻断的平台,配合梆梆安全传统的移动应用加固、检测、安全开发套件SDK,能够为客户提供从开发、发布到上线运营的全生命周期安全保护。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1