黑產大數據:惡意郵箱迎來新爆發
隨著移動互聯網的發展,QQ、微信、手機號等社交賬號逐漸成為互聯網行業賬號注冊的主流方式,但這種認證方式并非唯一,在很多注冊場景下,電子郵箱依舊占有一席之地。而在海外的業務中,電子郵箱注冊依舊是較為主流的賬號注冊方式。
鑒于電子郵箱無需實名即可注冊,在企業無法了解用戶更多的相關信息的情況下,缺失對郵箱用戶的標簽畫像。一群具有靈敏嗅覺的群體,便快速嗅到了其中的利益,他們就是行業口中的黑產。黑產可以通過手段獲取大量的郵箱賬號,通過郵箱賬號進行虛假注冊、刷單、薅羊毛、垃圾廣告等方式獲取利益,讓企業蒙受巨大的經濟和口碑損失。
本文基于永安在線對郵箱長期的監控和研究,為大家剖析基于郵箱生態的黑產活動,并給出防護思路,希望以專業、全面的視角幫助企業認知在郵箱場景下的黑灰產產業,加強防御,避免損失。
一、互聯網企業爭相出海,惡意郵箱呈爆發式增長
互聯網大潮風起云涌,國內互聯網在蓬勃發展的同時競爭也日益激烈,大批的互聯網公司選擇出海,為了適應海外用戶以郵箱做為賬號體系,在業務中開放了郵箱注冊入口,與此同時也給黑產帶來可乘之機。
另外,郵箱注冊的成本極其低廉,公共郵箱的成本每個大概在0.1元到0.2元不等,臨時郵箱的獲取甚至可以是0成本。郵箱賬號相對于手機號來說,在資源獲取的方式上更為簡單,且價格低廉。近期也因國內斷卡行動導致黑產獲取手機號的難度大大增加,手機號資源稀缺且價格昂貴,成本大約是郵箱的10~100倍不等。
二、惡意郵箱來源:臨時郵箱&公共郵箱
黑產使用的郵箱賬號分為兩類,臨時郵箱賬號及公共郵箱賬號,網上有著大量提供臨時郵箱的網站,但有些甲方企業會設置郵箱的白名單,只允許使用某些常用的公共郵箱注冊,這時候黑產就無法使用臨時郵箱,不得已使用接碼平臺批量注冊公共郵箱進行作惡。
目前我們監控到黑產使用公共郵箱、臨時郵箱的占比如下圖,可看出黑產更偏向于使用臨時郵箱進行作惡。
三、風險郵箱現狀
01 臨時郵箱的數量快速增長
早在2000年時市場已經存在臨時郵箱,隨著網絡越來越發達,人們也變得更加注重個人隱私,提供臨時郵箱的網站也隨之增加,對想保護隱私的個人來說,起到了便捷的作用;但對覬覦通過臨時郵箱進行作惡的黑產來說,他們可以通過大量臨時郵箱批量注冊賬號進行作惡。世界上最大的代碼托管平臺github上也有開源的臨時郵箱系統,黑產只需要花百來塊錢,買個域名,買臺服務器,安裝上docker,再輸入兩條命令即可完成臨時郵箱系統的搭建。
02 臨時郵箱成本低廉,降低黑產攻擊成本
大多數提供臨時郵箱服務的網站,以免費提供服務來吸引用戶獲得流量,通過在頁面上嵌入廣告來盈利;少部分臨時郵箱網站也會通過收費的方式來盈利,付費后提供更多的臨時郵箱后綴。
臨時郵箱網站上的郵箱后綴是公共的,被很多人使用過,有些郵箱后綴可能已經被甲方拉入黑名單,無法再用于注冊。臨時郵箱網站自身也因為成本的原因不太可能頻繁換新的域名,所以某些網站除了提供免費的服務外,還可自行添加新的郵箱域名,網站提供了以下兩種方法:
第一種方法先購買域名,自己去給域名添加好MX記錄(MX記錄簡單講就是告訴服務器你該把郵件往哪發),指向特定的地址,然后等待1分鐘到1天的時間,在其網站上就可以使用新的域名來收發郵件了;
第二種方法適合小白用戶,只要你把域名買好,再把在哪個網站買的域名、賬號密碼、需要設置哪個域名,通過郵件的形式告訴對方,對方將會幫你設置好所有的東西,靜靜等待即可使用。
雖然這樣可以很方便快捷的新增一個域名用于臨時郵箱,但是將自己購買的域名解析到別人的MX記錄上,意味著別人也可以用你的域名來收發郵件,可能會被他人用于發送垃圾、釣魚郵件,給自身帶來風險。
03 臨時郵箱呈頭部聚集
根據永安在線的觀察,提供臨時郵箱的網站中最少的僅提供1個臨時郵箱后綴,最多的網站提供的后綴數量與之相差數千倍,提供的后綴數量越多可吸引越多的用戶,“長尾效應”極其明顯。
04 單通過域名難以識別臨時郵箱
臨時郵箱其實是個域名,少部分臨時郵箱有著很明顯的特征,在域名中會直接含括“臨時”含義的英文或拼音,如tmp、linshi,如下所示:
但其余大部分域名看起來跟正常的域名一樣,無法通過表面來判別是否為臨時郵箱,這些域名中用的最多的頂級域名是.com,也是國際最廣泛流行的通用域名格式,從頂級域名上難以區分是否為臨時郵箱:
以及這些域名的注冊商不乏來自些知名的域名注冊商,黑產在購買域名時也跟大多數人一樣會選擇知名度較高的網站,即也無法通過注冊商來判斷是否為臨時郵箱:
還有一類較為特別的臨時郵箱,以edu.ge后綴偽裝成的校園郵箱,黑產可以用來白嫖教育優惠。
綜上所述,無論是從頂級域名、域名注冊商的角度等來看,都無法很好地識別是否為臨時郵箱,但可給罕見的頂級域名、域名注冊商打一個較高的風險分數,結合IP、設備等其他維度的信息做綜合評估,降低風險。
05 公共郵箱中,新浪郵箱最受黑產歡迎
相對于臨時郵箱,公共郵箱下也存在著不少的正常用戶,黑產在使用這些公共郵箱時,跟正常用戶混在一起,企業就無法像臨時郵箱一樣通過后綴來精準識別。永安在線監控到的黑產持有的公共郵箱后綴占比如下:
經調研發現新浪郵箱占比最高,其主要原因是因為:
- 新浪郵箱可以直接登陸新浪微博,黑產可以在新浪微博上進行賬號刷贊、刷粉等惡意行為;
- 新浪微博可以登陸抖音,黑產也可以在抖音上進行賬號刷贊、刷粉等惡意行為(即使是新浪微博被封禁的惡意賬號也可以在抖音進行登陸,且都是正常抖音賬號);
- 新浪微博作為三大社交平臺(QQ、微信、微博)在其他應用場景支持授權登陸,作惡場景豐富。
四、黑產攻擊手法多樣,各行業都難逃黑產之手
根據永安在線的觀察,近段時間黑產之間交易郵箱的數量一直呈現較為平穩的趨勢,通過郵箱進行作惡的供需一直存在,在2017年-2020年間呈現爆發式增長。
01 利用一郵多名的特性無限注冊
gmail有個一郵多名的特性,黑產利用這個特性理論上能用一個郵箱賬號生成出無限個郵箱賬號:
(1)在郵箱的用戶名任意位置中插入".",gmail會忽略用戶名中的".";
(2)在郵箱的用戶名末尾位置插入"+",并在"+"后面可插入符合郵箱用戶名規范的字符,gmail會忽略"+"及后面的內容。
比如我的郵箱是dcaywsn11@gmail.com,通過一郵多名發送郵件:
在用戶名中加一個"."發送成功:
dcaywsn1.1@gmail.com===dcaywsn11@gmail.com
在用戶名每個字符間加"."發送成功:
d.c.a.y.w.s.n.1.1@gmail.com===dcaywsn11@gmail.com
在用戶名末尾加"+"發送成功:
dcaywsn11+test@gmail.com===dcaywsn11@gmail.com
"."和"+"一起使用發送成功:
d.c.a.y.w.s.n.1.1+test@gmail.com===dcaywsn11@gmail.com
綜上所述,"."和"+"一起搭配使用,即可以構造出無限種形態的郵箱賬號,我們也發現已經有黑產在利用這個特性進行作惡,下圖所示是某個利用一郵多名特性的臨時郵箱網站:
02 利用臨時郵箱繞過平臺活動限制
某A平臺舉辦簽到領現金活動,黑產使用接碼平臺批量注冊A平臺賬號,進行簽到領現金操作,在提現環節,因為A平臺限制每個支付寶賬號只能綁定一個A平臺賬號,不同賬號無法使用同一支付寶賬號進行提現,黑產使用臨時郵箱對支付寶賬號郵箱進行換綁,繞過平臺的限制,達到A平臺不同賬號可使用一個支付寶賬號反復進行提現。
03 線上業務成為攻擊重災區,攻擊遍布各行各業
基于郵箱使用的場景大多為線上業務開放郵箱注冊的入口,這使得郵箱攻擊的對象大多為互聯網行業企業。基于永安在線業務安全情報平臺的數據,我們對被郵箱攻擊的企業中進行行業劃分,并統計了攻擊占比,如下所示:
五、永安在線解決方案
永安在線郵箱風險畫像產品是國內唯一一家基于情報能力,通過對黑灰產團伙監控系統構建的風險郵箱畫像產品,可識別覆蓋國內外臨時郵箱和黑產持有的各類正常郵箱賬號,有效幫助企業解決賬號風險問題。
對于郵箱風險畫像畫像返回的風險值,企業可結合不同業務場景的容忍度做綜合限制策略,有效防御黑灰產為薅羊毛發起的自動化批量攻擊,幫助客戶減少了營銷經費損失。
郵箱風險畫像產品解決的場景問題
1、阻斷營銷作弊,避免活動經費損失
黑灰產通過惡意注冊大量賬號,薅取新人注冊獎勵(如現金紅包獎勵)、營銷活動優惠券、邀新助力獎勵(如現金或積分兌換獎品)等,可通過該產品及時阻斷風險郵箱,避免活動經費被套取或變現。
2、防止惡意引流,降低用戶被欺詐的風險
黑灰產通過惡意賬號大量發布廣告信息,進行用戶引流,可能導致客戶上當受騙,嚴重影響平臺口碑。企業可在注冊登錄流程中接入風險郵箱畫像產品,通過風險郵箱歷史作惡行為發現惡意引流賬號進行識別。
3、識別惡意刷量,保障業務健康運行
黑灰產通過惡意注冊大量賬號,進行刷帖、刷評論、刷點贊,制造不良輿論等影響論壇/社區氛圍的行為,企業可通過風險郵箱畫像產品對惡意刷量的虛假賬號進行識別。
永安在線與其他郵箱風險畫像產品的差異
六、應用案例
某視頻平臺,發現大量黑產使用臨時郵箱進行注冊,在業務中針對營銷活動薅羊毛和投票活動刷量,給平臺造成了巨大的資產損失,嚴重影響平臺生態。為防止黑產批量注冊垃圾賬號進行作惡,該平臺對多家供應商進行了臨時郵箱識別能力的測試。測試環節中,該客戶提供平臺全量郵箱注冊數據,永安在線郵箱風險畫像識別出其中存在22.7%的風險郵箱,經過客戶核驗,識別到出的風險郵箱準確率達98%。對比其他廠商,永安在線的郵箱風險畫像產品達到該企業對精準度與覆蓋度的要求,最終達成合作。
該平臺在郵箱注冊和郵箱綁定環節接入永安在線“郵箱風險畫像”產品,對識別出的風險郵箱進行直接攔截,每日攔截風險郵箱比例高達20%~30%。在攔截掉風險郵箱后,該平臺將查詢到的郵箱類型補充用戶的畫像標識,通過對用戶進行精細化分層運營,幫助業務部門攔截大量虛假注冊,讓業務部門能夠掌握更準確的用戶數據,解決因虛假賬號帶來的資金損失及負面影響。
