城市消费券之地理位置攻防

简介: 其就作弊手段而言,黑灰产哄抢城市消费券的方式有两种,一种是通过招募刷手哄抢,一种是通过作弊软件批量抢夺。获取到消费券后,再通过虚假交易或二手转售等方式进行套现。

近期,顶象发布了《城市消费券安全调研报告》(以下简称《调研报告》)。《调研报告》从城市消费券的发放规模、核销情况、风险出发,进一步分析除了黑灰产的作弊手段以及作弊工具。

其就作弊手段而言,黑灰产哄抢城市消费券的方式有两种,一种是通过招募刷手哄抢,一种是通过作弊软件批量抢夺。获取到消费券后,再通过虚假交易或二手转售等方式进行套现。

《调研报告》监测发现 500多个黑灰产社群,单个社群人数最高达到2500多人,在线人数高达 600 多人,每个社群中,近四分之一的人在参与消费券的抢购和套现活动。近几十万人在参与或关注消费券的交易信息,已经形完整的抢购、套现产业链条。

此前,我们曾在《如何防范城市消费券被恶意爬取》一文中详细介绍过机器爬虫的作弊手段。

那么,黑灰产是如何通过作弊软件进行批量抢券的?

利用作弊软件绕过消费券领券规则

各地发放的消费券规则中明确规定,消费者只能够领取到所在城市的消费券。针对这个规则,黑灰产通过更改IP地址、伪造GPS定位实现“城市跨越”。

IP 地址就是用户上网时的网络信息地址,GPS 定位就是用户使用网络服务时所处的地理位置 信息。很多电商平台上有 IP 代理的“商品”,几块钱就能够更换任意想换的 IP 地址。而且 黑灰产有一种秒拨 IP 的工具,能够快速无缝切换不同 IP 地址。此外,黑灰产通过一些软件 能够实现对 GPS 定位的伪造,能够实现地理位置的瞬间“跨越”。
56c610da3a7041d298397d49cf667e77.png

通过伪造账号和设备的地址、定位后,黑灰产利用软件可以操控几十个乃至几百个账号,批量领取各个城市的“城市消费券”。

并且这种作弊工具在任何一部手机上都可以实现,即顶象之前讲过的《地理位置模拟攻防》。

地理位置模拟顾名思义就是基于手机地理位置的模拟工具,可以通过对位置的模拟改变当前位置。

最初,地理位置模拟是用来开发App 时测试用的,其主要目的是帮助开发者模拟某些App 的当前地址来实现测试的定位功能,且设备无需root权限,只需通过模拟软件、第三方工具等就可以改变所在位置的经纬度,可以穿越到任何地方。

这对于黑灰产而言,简直是天然的“作案工具”。

此外,顶象在第六期业务安全情报《黑灰产盯上政府消费券,最高套现额超千万》一文中也详细介绍过黑灰产的攻击手段和攻击套路——黑产中介为了方便更多的刷手能够顺利参与其中,会提供更改定位的教程,并提供相应的软件。通过作弊软件更改IP、GPS等,刷手们能够立刻模拟成当地的用户,成功参与领券。

那么,如何检测你的手机是否打开了地理位置模拟功能呢?

两招检测你的手机是否被打开了地理位置模拟

在非Root 权限的手机上,我们打开开发者选项,其系统会提供相应的API,通过调用相应的API,我们就可以检测到当前手机是否打开了地理位置模拟功能。如果这个选项是被打开的,那么当前我们获得的地理位置信息,可能并不是真实的,此时就需要业务方或者App 的开发者做相应的处理。

4e3125e2b8924757bfa6c8f735c27f64.png

但在有Root 权限的手机上,我们不一定需要打开开发者选项。在有Root 权限的手机上,有可能通过代码注入的方式篡改地理位置,这也就意味着篡改这部分的代码或者信息已经注入到了整个进程中,此时就需要通过其他手段来检测当前的代码是否被注入。

通常我们的检测方法有两种。

一种是通过检测文件系统中是否存在位置模拟的代码库。以下图为例,可以看到,模拟位置的代码库通过共享代码注入到代码里。一般情况下,我们可以通过检测整体的进程空间,在进程空间里,如果发现了这部分so 文件存在,那么也就说明这部分文件被注入到了内存里,由此也可以判断出当前App 所获得的代码信息及位置信息。
59df8c5894cb430db967ec4f30f13c29.png

第二种方法是通过逆向分析App代码找那个是否存在加载了位置模拟的代码库。通常情况下,App的代码被注入是通过静态的方法植入到App 里面去的,App在运行过程中把这部分so 文件load 起来。通过逆向分析,我们就可以看到App在代码里面是否存在加载这个位置模拟的相应代码。

以下图为例,可以看到该App在代码执行的过程中,调用了代码加载的一个函数,那么由此可以判断这个App是被感染过的——在安装过程发生之前就已经被攻击者植入了相应的代码,来进行相应的so 文件加载。
f7ced5b8c2bf49608fd429dd89ef0032.png

当然,要防住黑灰产绝非易事,需要平台和消费者的共同努力。不仅需要有完善规则体系和易用的平台,让用户领取和使用便捷,更需要规范和强化平台的安全能力,防止发生消费券被截留、冒领、去向不明等问题,进而引发新的纠纷和矛盾,更需要消费者对薅羊毛、刷单、隔空刷码等违反市场秩序的行为保持高度警惕和自制,共同维护良好、公平的市场环境。

——————

城市消费券调研报告:免费下载

业务安全产品:免费试用

业务安全交流群:加入畅聊

相关文章
|
4月前
|
监控 BI
Quick BI使用案例15:交叉表中使用多字段组合实现累计利润率计算
本文详解交叉表中使用多字段组合计算月累计利润率计算方案。通过交叉表配置日期累计、多字段组合(利润/订单金额)及动态日期控件,实现月中实时监控经营健康度,助力及时决策纠偏。
|
25天前
|
存储 人工智能 机器人
从工具到伙伴:深度解析智能体(AI Agent)的架构演进与未来范式
本文深度解析AI智能体(Agent)从工具到伙伴的范式跃迁,系统阐述其“感知-规划-行动-反思”四大核心架构、主流框架(LangGraph/AutoGen/CrewAI等)、关键技术挑战及多模态、具身智能等未来方向,为技术决策者提供全景式实践指南。
|
7月前
|
Ubuntu Linux Shell
Docker镜像
镜像是包含软件运行所需代码、依赖、配置的轻量级可执行包。Docker通过联合文件系统(如AUFS、OverlayFS)实现分层架构,底层为bootfs和rootfs,镜像层只读,容器启动时添加可写容器层,实现资源隔离与高效复用,便于应用打包、分发和迁移。(238字)
|
缓存 监控 JavaScript
HarmonyOSNext应用无响应全解析:从机制到实战的卡死问题排查
本文深入解析HarmonyOS Next中应用无响应的卡死问题,涵盖THREAD_BLOCK_6S、APP_INPUT_BLOCK与LIFECYCLE_TIMEOUT三种常见类型,结合日志分析与实战案例,手把手教你快速定位并解决主线程阻塞、输入事件卡顿及生命周期超时问题,适用于Stage模型开发者学习使用。
|
机器学习/深度学习 算法 搜索推荐
UniApp+ThinkPHP6助阵陪玩系统/ 订单智能匹配引擎的技术方案/源码/二开
本文探讨基于UniApp和ThinkPHP6的陪玩系统技术方案,聚焦订单智能匹配引擎的核心逻辑与应用前景。UniApp实现多端适配,降低开发成本;ThinkPHP6提供高效后端支持,确保系统稳定。匹配引擎通过用户画像、陪玩师能力评估及实时算法,精准对接供需。市场分析显示陪玩服务需求持续增长,但面临信任、竞争与政策挑战。未来可通过AI、VR等技术升级,拓展生态合作与全球化布局,助力陪玩服务成为游戏产业重要板块。
494 3
|
JavaScript Java 程序员
SpringBoot自动配置及自定义Starter
Java程序员依赖Spring框架简化开发,但复杂的配置文件增加了负担。SpringBoot以“约定大于配置”理念简化了这一过程,通过引入各种Starter并加载默认配置,几乎做到开箱即用。
593 10
SpringBoot自动配置及自定义Starter
|
存储 安全 程序员
47.9K star!全平台开源笔记神器,隐私安全首选!
Joplin 是一款开源的笔记记录和待办事项应用,拥有 47.9K star,支持 Windows、macOS、Linux、iOS 和 Android 全平台同步。它采用端到端加密,确保数据隐私安全,支持 Markdown 编辑、数学公式、流程图等丰富功能,并可通过插件扩展实现更多定制化需求。Joplin 完美替代商业笔记软件,适用于程序员知识库、个人事务管理及团队协作等多种场景。
1942 1
|
监控 Go 开发者
Golang深入浅出之-Goroutine泄漏检测与避免:pprof与debug包
【5月更文挑战第2天】本文介绍了Go语言并发编程中可能遇到的Goroutine泄漏问题,以及如何使用`pprof`和`debug`包来检测和防止这种泄漏。常见的问题包括忘记关闭channel和无限制创建goroutine。检测方法包括启动pprof服务器以监控Goroutine数量,使用`debug.Stack()`检查堆栈,以及确保每个Goroutine有明确的结束条件。通过这些手段,开发者可以有效管理Goroutine,维持程序性能。
651 7
|
XML 安全 测试技术
LabVIEW大型项目开发提高质量的工具
LabVIEW大型项目开发提高质量的工具
430 2
|
存储 关系型数据库 MySQL
debian11安装mysql5.7
debian11安装mysql5.7
934 0