近年来,海外新兴电商平台不断涌现并迅速成长。Shopee、Lazada、Tokopedia 等东南亚平台在东南亚市场发展势头强劲,已占据主导地位;Mercado Libre 在拉丁美洲市场表现出色;Etsy 在手工艺品、复古商品等细分领域具有较强竞争力;中资跨境电商平台SHEIN、Temu、AliExpress、TikTok Shop 被业界称为跨境电商平台“四小龙”,为全球电商市场的发展注入新的活力。
与此同时,海外电商平台面临的安全挑战亦日趋严峻。恶意刷单、优惠滥用、恶意退款等黑灰产活动频发。这些攻击行为不仅扰乱了市场秩序,还给海外电商平台和企业带来了直接的经济损失,影响了正常运营和长期发展。
威胁猎人基于黑灰产在海外电商场景的威胁情报分析,正式发布《2024上半年度海外电商平台风险研究报告》。本报告统计数据周期为2024年1月至7月,针对海外电商行业面临的8大类风险场景,威胁猎人情报研究团队通过深入的数据分析,提供全面的风险洞察,助力海外电商平台及企业有效识别并防范潜在威胁,实现业务稳定、持续发展。
1. 偷区:指在运输过程中,商家将货物的实际发货地址更改为费用较低的地址,以减少运费;
3. 暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;
5. 社交媒体:指小红书、微博、Facebook、twitter等社交软件;
6. 发卡网站:指一种专门用于自动化销售虚拟商品或服务的在线平台。发卡平台现已成为互联网黑灰产的主要交易通道和协作平台,发卡网站不能被网页检索,需要具体的发卡商品链接才能链接到商品页;
7. 成品账号、成品号:指已经绑定了个人或企业资料信息的账号,这些账号购买后无需额外注册或填写信息,可直接使用;
8. 黄牛代下:指黑灰产雇佣真人远程下单,来批量薅取活动限购优惠商品的作恶行为;
9. 接码号:指黑灰产或羊毛用户通过接码平台,利用接码平台黑卡手机号批量注册平台账号或授权登录平台,薅取平台或小程序活动奖品;
10. CK号:CK号是一种上号方式,该数据号包含平台账号登录信息,通过独立的COOKIE账号信息KU游体育,可实现免密登录,每种CK号,都会对应一种上号器。CK号可以无视IP频繁登录,登录设备无记录,可有效减少部分影响账号权重的因素,通常被黑灰产用于批量注册、授权微信小程序,薅取平台活动奖品;
12. EIN证书:EIN 是 Employer Identification Number(雇主识别号)的缩写,是美国国税局(IRS)为企业或其他组织分配的唯一识别号码。EIN证书是一个正式文件,证明某个组织或企业已经获得了EIN,并且该号码已经注册并生效。该证书通常包括企业名称、EIN 和注册日期等信息;
13. VAT照片:VAT是Value Added Tax(增值税)的缩写,是一种广泛使用的消费税,许多国家和地区对销售商品和服务收取此税。VAT照片通常指企业或个人获得的增值税登记证明的照片或扫描件;
14. 真人众包:指一群兼职人群(宝妈、学生)通过众包平台、众包群领取悬赏任务,协助黑灰产(众包任务发布者)完成任务,领取做单费用,而黑灰产则顺利完成任务薅取平台奖励,任务类型包含:拉新、注册、助力、下载、点赞等刷量风险,还可发布实名、申请等高危风险众包;
15. 自养号刷单:指商家使用指纹浏览器购买海外服务器、IP搭建刷单环境,实现批量注册目标平台账号、养号、浏览模拟以及下单的行为;
16. 真人刷单:指黑灰产通过雇佣真实用户伪装成普通消费者的方式在电商平台上进行虚假交易的行为;
17. 指纹浏览器:指一种特殊的浏览器,访问网站时可以通过设置语言、操作系统、显示分辨率和硬件配置等信息,来模拟和伪造用户的浏览器指纹;
18. 物流作弊:指电商卖家使用虚假发货单或科技快递单发货的行为,以实现偷区、偷重或逃税,降低销售成本;
22. 科技面单:指黑灰产破解面单生成规则后自己生产的快递面单,这类面单可以被部分单号扫描仪正常识别并可以在官网上查询对应的物流单号与物流轨迹;
23. 认证绕过:指黑灰产在电商平台身份认证过程中,利用某些技术手段或采用不合规的方法,逃避认证的行为;
24. 店铺账号保证金:卖家在平台注册时,需要缴纳的一定金额,以确保店铺能够正常运营,如果账号出现违规行为,保证金可能会被封禁;
25. 货盘:指企业将产品批量运输并存储在境外仓库,即海外仓,以便快速配送和销售到当地或周边市场。
以下为威胁猎人针对海外电商的情报分析,统计数据周期为2024年1月至7月:
威胁猎人捕获到的攻击海外电商平台的风险线万个黑灰产账号参与,这些黑灰产账号归属地包括:中国、越南、泰国、西班牙、印尼、美国等。
在全球各个地区的海外电商平台中,北美的电商平台受到的攻击最多,占比34.05%,其次是欧洲地区和东南亚地区,分别占比25.37%和25.29%。北美地区被攻击占比高的原因主要由于北美地区有许多全球性的海外电商公司,这些公司业务范围广泛,规模庞大,使用人群多,因此成为黑灰产主要攻击目标。
截至2024年7月底,威胁猎人针对平台监控渠道中攻击海外电商平台的情报统计分析发现,在黑灰产活动中,黑灰产使用中文、英文占比最高,分别占40.24%、32.59%。
1.4、海外电商平台主要面临8大风险场景,账号风险、刷单、物流作弊排前三
威胁猎人针对2024年截止7月底捕获到的攻击情报统计分析发现,海外电商平台主要面临8大风险,分别是:账号风险、刷单风险、物流作弊风险、商品信息爬取风险、恶意退款风险、认证绕过风险、内外勾结风险、货盘风险。
其中,最常见的3大风险分别是:账号风险占比65.08%、刷单风险占比16.1%、物流作弊风险占比9.9%。
(1)账号在海外注册比较方便,仅需要邮箱就可以成功注册买家账号,而且还存在匿名邮箱可以使用,黑灰产极易获得;
(2)海外电商卖家账号的产业链非常健全,从注册需要使用的虚假物料信息到成品账号都有大量黑灰产业在进行销售;
(3)账号是黑灰产后续作恶的基本物料,没有账号将不能领取优惠券,也不能进行刷单作恶,因此黑灰产会对账号注册进行大量研究。
全球各地的黑灰产作恶行为主要通过私域群聊渠道和社交媒体平台进行传播和牟利。海外电商平台的风险线索来源中,私域群聊占比48.80%,其次是社交媒体,占比44.62%。
不同国家和地区在使用的平台上有所差异。例如,国内沟通的私域群聊渠道有Telegram、微信、QQ等,越南则普遍使用Zalo,印尼更常用WhatsApp。东南亚地区的社交媒体以Facebook为主,美洲和欧洲则更倾向于使用Twitter,黑灰产也通过这些平台进行传播和非法活动。
针对发卡网站渠道分析发现,国外与国内出售的黑灰产商品大类基本相同,不同的是出售商品细节根据各国特点会有所不同,例如:国外个人资料的出售通常涉及护照和驾照,而国内则主要使用身份证。在国外,注册多用邮箱,出售的各种邮箱也比较常见。目前威胁猎人共监控到195个海外发卡网站,所提供的风险线%。
发卡网站:指一种专门用于自动化销售虚拟商品或服务的在线平台。发卡网站不能被网页检索,需要具体的发卡商品链接才能链接到商品页,目前已成为互联网黑灰产的主要交易通道和协作平台。
国内电商平台和海外电商平台面临的风险有许多重合之处,但在细分场景上却有差异。两者均面临商家刷单、黄牛代下、账号等风险,但在操作方式和具体细节上却有不同。例如:
(1)刷单场景:国内的商家刷单风险在海外电商平台上同样普遍。然而,国内平台对店铺刷单作弊行为进行了长期的风险控制,导致刷单方式变得多种多样,比如通过直播间进行低价秒杀,利用优惠平台如一分钱购,以及通过小程序进行免费试用刷单等。相比之下,海外电商平台的刷单方式仍主要依赖真人刷单和自养号刷单。
(2)黄牛代下:目前在国内新兴的黄牛代下在海外也存在,并且海外也存在直接利用各平台之间的差价,进行低买高卖行为。比如:黑灰产在A平台采集更低价的商品信息,在B平台注册电商账号,并以高价进行售卖。如有用户在B平台下单,黑灰产会返回A平台下单,以此赚取差价。而国内普遍作法是将低价商品先大量购买到仓库保存,再进行出售。
(3)账号风险:无论国内或是国外电商平台都存在账号风险。国内主要集中在买家端的账号风险,而海外则主要集中在卖家端的账号风险。国内很多营销活动都需要买家账号助力,黑灰产为了能够完成活动任务,会需要大量账号,因此国内会产生出很多接码号、ck号等。而海外注册账号难度比较低,大多数仅需邮箱就可以注册成功,注册难度比较低,黑灰产出售买家账号较少。
威胁猎人针对海外电商平台进行调查发现,海外电商平台主要经受的风险分别是:账号风险、刷单风险、物流作弊风险、商品信息爬取风险、恶意退款风险、认证绕过风险、内外勾结风险、货盘风险。
1. 账号风险:指涉及账户的安全威胁和潜在风险的各种情境。这些场景包括但不限于以下几种情况:账号注册风险、账号接管风险、代入驻风险、成品号售卖风险、账号共享和租借风险;
2. 刷单风险:指由平台卖家付费委托刷单黑灰产,通过刷单工具或真人刷手向指定的平台卖家购买商品、填写虚假好评来提升店铺销量、信用度和评分、获取平台流量的欺诈做法;
3. 物流作弊风险:指电商卖家使用虚假发货单或科技快递单发货的行为,这样可以实现偷区、偷重或逃税,从而降低销售成本。然而,物流作弊一旦被物流公司查到,货物可能会被扣押,卖家还需补交运费,这将严重延误商品的交付时间,降低用户对平台的信心;
4. 商品信息爬取风险:指电商平台或网站可能面临未经授权的爬虫程序(爬虫)非法获取平台上商品信息的风险;
5. 恶意退款风险:指用户通过不正当手段申请退款,从而获取不应得的利益;
6. 认证绕过风险:指黑灰产在电商平台身份认证过程中,利用某些技术手段或采用不合规的方法,逃避认证的行为;
7. 内外勾结风险:指黑灰产与平台的内部人员秘密勾结合作,达成非合规入驻平台,解封账号等目的;
8. 货盘风险:指黑灰产在海外仓的低质货盘,容易给平台带来质量风险和平台履约率问题。
账号风险场景指涉及账户的安全威胁和潜在风险的各种情境。这些场景包括但不限于以下几种情况:账号注册风险、账号接管风险、代入驻风险、成品号售卖风险、账号共享和租借风险。
在电商平台中主要有买家和卖家两种用户角色,因此,电商平台的账号风险也被分为两大类:买家账号风险和卖家账号风险。以下将对将卖家账号风险做重点分析,包括卖家账号注册、平台代入驻,以及售卖卖家成品号等方面。这些风险可能导致欺诈行为增加、侵权风险上升,严重降低用户信任,最终对平台的声誉和业务发展产生负面影响。
卖家账号注册需要提前准备注册材料,并按照一系列步骤进行注册入驻。注册成功的账号称为成品号。即共有三个阶段,分别是准备注册材料,注册阶段,成品号阶段。
黑灰产通常会通过私域渠道进行推广,在发卡网站发布和出售基础物料信息。根据注册材料的要求,黑产售卖的基础物料主要有两种类型:个人资料和企业资料信息售卖。
海外电商卖家账号注册可以使用驾照或者护照进行注册,根据不同平台要求还会增加手持照片或者银行流水等补充材料。
a. 单护照的出售价格,购买美洲国家和欧洲国家的护照价格最高,出售价为150元。东南亚国家中,购买印尼的护照同样为150元,购买越南的护照需要130元,购买马来西亚的护照125元,购买菲律宾的护照120元,东亚国家中,购买日本和韩国的护照仅需要100元。
b. 美国是出售个人资料组合类型最多的国家之一。价格随着资料种类增多也相对提高。
由于海外电商平台通常要求企业提供相关资料才能入驻,因此,出售企业资料信息情况频发。威胁猎人发现,黑灰产出售的企业资料在各国普遍存在五种类型的组合:
② 企业营业执照 + ein证书/vat照片 + 法人护照 + 6月内银行账单
③ 企业营业执照 + ein证书/vat照片 + 法人护照 + 法人手持护照
④ 企业营业执照 + ein证书/vat照片 + 法人护照 + 法人手持护照 + 6月内银行账单
⑤ 企业营业执照 + ein证书/vat照片 + 法人护照 + 法人手持护照 + 法人SSN照 + 6月内银行账单
商家代入驻服务指没有相应资质的卖家通过招商经理购买邀请码,或者利用黑灰产的不正当手段申请入驻,从而绕过电商平台的入驻要求。
商家代入驻目前主要有两种方式:1.使用招商经理的邀请码,进行入驻;2.黑灰产提供虚假的入驻资料进行入驻平台。
为了吸引优质商家入驻,电商平台往往会给招商经理一批邀请码,有邀请码的商家在入驻时,平台会给予一定的优惠或者特权。比如,商家入驻速度比较快,容易得到平台的流量倾斜等。
一些招商经理为了牟利,选择和黑产进行合作,黑产负责找想要入驻平台的商家,招商经理主要负责提供入驻平台的邀请码,商家入驻后,黑产和招商经理再进行分配利益。因此,通过招商经理邀请码入驻平台的方式存在内外勾结的风险。
黑灰产代入驻方式主要出现在电商的跨境店铺账号中,即中国国内发货,海外销售模式的店铺。黑灰产代入驻方式针对不了解电商平台的用户,以及一些想要快速入驻平台的用户,提供入驻服务。
以某电商平台为例,如果用户只提供个人身份信息,黑产将利用这些信息注册营业执照,并准备银行流水和海外仓储证明等文件。因此,相对于那些提供完整材料的用户来说,只提供部分材料的代入驻的价格将高出不少。
b. 代入驻的价格,根据类型和区域不同,差异较大,在50元-13000元之间。如:
美国普通跨境店代入驻的费用只需100-200元,入驻这种类型的店铺需要的注册材料只是纯文本的信息,比如身份证信息、营业执照信息、手持证件照即可。
代入驻收费较高的,比如美国跨境水晶类目店铺,代入驻费用高达13000元。这种类型的店铺入驻需要的注册材料比较复杂,除了身份证信息、营业执照信息、手持证件照外,还需要店铺报白、品牌资质、商品信息等材料。
此外,东南亚区域代入驻的价格普遍低于美国区域。东南亚区域代入驻价格为50元,美国区域代入驻价格90元。
卖家账号交易风险是指黑灰产通过批量注册和众包等手段获得了通过实名认证的账号,并将其直接出售给想要入驻平台的用户,从而达到绕过入驻门槛的目的。
如: 某商家成品号交易的账号类型主要有跨境店账号、本土店账号、品牌店账号,其中品牌店价格最高,需3000元。这主要是因为品牌店的资质不容易获取,入驻流程繁琐,审核严格,导致价格比较高。其他的本土店和跨境店的价格在300-450元之间。同时,不同的国家之间的本土店铺价格也不一致。
店铺刷单一般指平台卖家付费委托刷单黑灰产,通过刷单工具、真人刷手向指定的平台卖家购买商品、填写虚假好评来提升店铺销量、信用度和评分,获取平台流量的欺诈做法。
店铺刷单不仅误导消费者的购物决策,还容易引发店铺不公平竞争,严重影响平台的正常运营。海外电商平台对刷单作弊行为长期进行风控,刷单群体防风控意识随之增强,以往常见的机器刷单消失殆尽,目前主要提供的刷单服务类型有两种:自养号刷单和线) 自养号刷单:
自养号刷单在国内的使用相对较少,但在海外电商的操作中却十分常见。这类行为通常以线上线下教学的形式传授技术,黑灰产提供一系列教程和工具,帮助用户搭建自建服务器和刷单环境。通过这些资源,用户可以完成账号注册、养号、下单等一系列操作。因此,自养号刷单目前已经形成了一套完整的刷单流程。
威胁猎人发现,自养号的产业链比较完善,有测评技术孵化公司专门出售教程技术。从整个自养号产业链来看,刷单的利润由汇率差价+礼品卡差价+刷单佣金组成。具体流程如下:
黑灰产为了实现多账户统一管理,并且隔离环境,稳定的IP线路,普遍会选择“指纹浏览器”作为多开店铺的环境基础,指纹浏览器可以保障每个浏览器实例在一个隔离的环境中运行 ,也就是说每个账号都在一个独立的浏览器中运行,避免账号之间被关联和封号风险。
威胁猎人抽取9款指纹浏览器,对它们的平台登录方式、IP维度使用情况、浏览器设置、环境的使用方式进行分析发现:
目前共有四种评论内容:点星及评分评论、文章评论、图片评论、视频评论。以某一区域价格为例,视频评论的价格最高需要80元。点星及评分评论的价格最低只需要30元。价格对比如下表所示。
b. 使用条件:可通过发货时间、收货地址、发货地址,邮政编码,甚至收货时间进行匹配对应的单号。
c. 更新数量:以美国物流单号为例,在单个出售单号网站上,每天大约会更新超过4000个单号。
(2)科技面单,指黑灰产破解面单生成规则后自己生产的快递面单,这类面单可以被部分单号扫描仪正常识别并可在官网上查询对应的物流单号与物流轨迹。
a. 现状:尽管经过美国邮政多次升级和打击,市面上流通的这种面单数量已经减少,但仍有一些黑灰产声称还有可用的面单号码。
(3)跑水单号,指使用跑水账号打单的面单。面单本身是正规单号,但是由于关联的打单账号拖欠运费或是使用盗刷信用卡来支付运费,导致该账号关联的所有单据和仓库面临货运风险,从而造成损失,并且有一定概率受到处罚。
科技单号的售价最低,仅需0.6元就可以购买,这主要是因为科技单号是通过破解单号规则获取,单次成本比较低。其次是二次单号,平均2.56元/单,二次单号通过发货时间、收货地址、发货地址,邮政编码等信息匹配单号。最高为跑水单号,平均10元/单,跑水单号需要有真实收货地址进行发货,价格还会根据商品的规格大小、重量产生波动。
上游黑灰产主要通过社交平台和二手交易网站发布与赚钱相关的帖子,诱导用户使用挂机工具进行电商平台商品数浏览并采集数据。用户采集到一定数量的数据后,便会进行统一结算。例如在某电商平台上,采集1000条数据可以获得7元的佣金。
(2)谎称质量问题:用户收到商品后,谎称商品有质量问题或与描述不符,要求退款或部分退款,同时保留商品;
(3)故意损坏商品:用户收到商品后故意损坏,再以商品有瑕疵为由要求退款。
认证绕过指黑灰产在电商平台身份认证过程中,利用某些技术手段或采用不合规的方法,逃避认证的行为。
真人绕过和图片合成绕过手段主要应用在账号二审阶段,在这阶段需要认证的是卖家账号的人脸信息。
摄像头劫持指黑产通过获取手机的ROOT权限,安装特定的软件或插件,提前录制好视频后将其自动加载到这些软件或插件中。当平台进行认证时,手机上的软件或插件会使用录制的视频进行认证,从而绕过风控措施。摄像头绕过作恶的应用场景为电商直播和引流场景。
在电商场景下,内部勾结通常出现在以下三个场景:招商邀请码入驻平台、店铺账号保证金强提、店铺账号解封。
店铺账号保证金指卖家在平台注册时需要缴纳的一定金额,以确保店铺能够正常运营,如果账号出现违规行为,保证金可能会被封禁,电商平台一般禁止提取保证金。然而,一些黑产通过和内部人员勾结,能够强行提取这一保证金,通常收取的费用为保证金的30%左右。
店铺账号被封是指卖家因为操作不当或违规而触发平台风控规则,被封禁账号。然而,一些黑灰产通过和平台内部员工勾结,协助店铺解封账号。值得一说的是,这种店铺账号的解封并不绝对有效,当涉及虚假运输被封禁时,通常无法解除封锁。
(2)履约率下降:由于货盘由第三方管理,平台卖家无法直接控制货物的发货和售后,可能导致卖家履约率下降。
海外电商平台和企业需要时刻保持对黑灰产的警惕,不断提升技术能力和风险管理水平,在专业安全情报厂商的支持下,结合具体业务场景建立更加完善的安全防护和营销风控体系,从而能更全面地应对来自网络黑灰产的威胁,实现海外业务健康可持续发展。
美媒披露“北溪”事件细节:泽连斯基曾在中情局要求下下令取消行动,但扎卢日内未服从
阿司匹林再“立功”!哈佛医学院最新:10万人数据,长期低剂量服用能预防癌症,尤其是这类人
马修·派瑞死亡案最新进展:去世前的四天里,助手给他注射了至少27针
威胁猎人(Threat Hunter)成立于2017年,专注于威胁情报和API安全解决方案的输出。