优惠券欺诈的黑色产业链

对于购物达人来说，能够得到一张优惠券是件无比幸福的事情，而对于发放优惠券的商家来说，进行优惠活动可以提高自己的销售额，让更多用户了解自己。这本来是件双赢的事情，可是偏偏就有人出于各种目的，比如贪图小利重复使用优惠券，对企业的优惠券服务进行攻击。目前优惠券的形式主要包括免费赠品、折扣和返现等，所以对优惠券的欺诈性也集中免费赠品、折扣和返现等方面，根据统计，每年美国厂家光因为优惠券欺诈就损失了3 – 6亿美元。所以这么大的一个利润市场，一定会成为网络犯罪分子的攻击目标。

于是根据这个设想，专家们对该攻击的领域进行了深入研究，结果令人大为吃惊。有关优惠券欺诈的行业已经在这几年经过了蓬勃发展，形成了一个完整的产业链和巨大的黑市产值。比如在2012年，美国一些厂家就开始受到假冒优惠券的攻击，其中一家光在2012年就损失了128万美元。而有一个专门从事优惠券诈骗的组织，在将近10年里，从各个公司哪里至少获取了2.5亿美元利润。

不过在现实生活中，进行优惠的公司不只是各个厂家，像星巴克咖啡店、酒店住宿以及各种小店也都会进行各种形式的优惠活动。目前大部分优惠活动从信息发布到最后的兑现，都是在线进行操作的。所以通过对业务流程的某个环节进行攻击或篡改，就有可能实施优惠券欺诈。

优惠券欺诈和业务流程攻击

虽然在调查中，研究人员发现的优惠券欺诈方法是多种多样的。然而，还是有一些关键方法和攻击流程是相同的，下图显示了优惠券欺诈的一个基本业务流程。

 

下图有左右两部分，左边的那部分表示的是正常情况下，厂家向符合条件的消费者进行优惠活动的流程，而右边那部分表示的是攻击者是如何进行业务流程攻击的。

从上图可以看出，优惠券从发布到最终兑现通常需要在消费者、零售商或优惠券发行商以及后台的清算机构或服务器之间进行数据交换，优惠券分类以及审核、清算。在这里，我要说明一下由于优惠券推广也是个技术活，所以很多厂家为了将自己的优惠活动做得更好，会将该业务外包给一些营销中介，比如，专门从事在线优惠券经销的机构或进行优惠代理服务的媒体。

实际上，在优惠数据进行交换的这些环节中，有许多薄弱的环节可以被攻击者利用，一旦攻破该环节，那整个数据链就会受到影响。目前，黑市有专门的产品和服务来实现这一点，比如通过窃取或破解清算机构或服务器的算法，利用代码验证中的漏洞，来强制厂家兑现所谓的优惠券和促销代码。举个例子来说吧，星巴克正在推广其移动应用程序，注册既能免费送一杯咖啡，那假如有个黑客能够改变星巴克移动应用程序中的注册顺序或时间，让程序符合优惠条件，那就可以喝到无限量的咖啡了。

另外，某个行业或市场的特定优惠券或代金券代码也有被实施优惠欺诈的可能。例如，研究人员在一个论坛上，就看到的一个用户（说不定是黑市成员）在销售一家电信公司的促销代码，只要利用这些代码，就可以获得该电信公司提供的移动语音、短信和互联网服务的折扣。还有就是有的攻击者会盗取酒店优惠代码，让购买者得到更多的优惠服务，但其实这些优惠代码都是攻击者自己设定的，虽然在前台验证过程中能够被验证通过，但其实并不能算在该旅馆的盈利额里。

以上说的只是冰山一角，研究人员在黑市看到的许多产品和服务所涉及到欺诈服务都已经达到了自动化程度，这些都足以驱动一个滥用优惠券或促销码的黑色产业链。同样值得注意的是，研究人员在黑市看到的优惠价格算下来通常比合法的厂商优惠要便宜3-10倍。以下是研究人员在黑市看到的一些值得注意的攻击方法。

强制代码并利用漏洞

使用该方法兑现优惠的前提是下载一个攻击者自己研发的软件，该软件目前已在黑市上销售，利用该软件用户可以检查和强制使用优惠券代码，甚至在社交媒体上还有专门的视频，比如，如何破解某一打车服务的促销码。优惠券是由厂商随机计算的密码，如果攻击者能够计算出这些密码或强制使用这些优惠代码，那么供应商就会失去对这些优惠券的控制。理论上，正确生成的随机代码很难预测，但在实践中预测并不是很困难。例如，web应用程序中生成或验证代码的漏洞就可以帮助黑客实现代码的预测，下图就是一款暴力检查优惠券代码有效性的工具，该工具被发现于:俄罗斯黑市。

优惠券生成器

如果把优惠券看作是一种服务，则攻击者就可以将其进一步货币化。还有一些优惠券生成器，也会滥用在线检查优惠代码的功能，来创建有效的优惠券代码。对于一个使用社交媒体宣传的厂商来说，更容易成为优惠券生成器的攻击对象。下图就是一个优惠券生成器，其中包括一个提供给社交媒体进行推广服务的厂商（最右边）。

滥用新注册的漏洞

很多厂商为了都会对新客户有特殊的优惠，所以为了享受到这一群体的优惠，很多黑市专门提供所谓的新用户注册服务，目前所发现的这类僵尸用户注册服务，往往是被黑市批量出售的。除此之外，研究者还在很多黑市论坛，看到有专门销售该业务的广告。如下图第2章的底部所示，是一个专门销售亚马逊礼品卡代码和为沃尔玛提供新注册账户的广告。

转售优惠券或利用优惠进行诱骗攻击

在攻击者看来，优惠券就是变相的货币，所以他们会选择将这些优惠券转售给他人或将优惠券先兑换为实物在进行出售。而另一些攻击者则会利用社会工程，伪装成正在做活动的公司，来诱骗用户点开，从而趁机进行攻击，比如趁机得到攻击者的个人信息或向用户发起其他攻击，下图就是一个论坛，正在销售的AliExpress优惠券

mVideo视频播放器是一款影音图像类软件，下图就是购买mVideo视频播放器能够享受的25%的优惠信息，并附有QIWI电子钱包的转账信息，QIWI是俄罗斯领先的支付服务提供商。

总结

优惠券虽然可以帮助公司带来更多的产品和服务，但公司也要多加谨慎，尤其是针对那些贪得无厌的人。

例如，今年3月，美国一家家居用品制造商和经销商就陷入了优惠券欺诈，原因是有些人重复使用了同一张优惠券。

那企业要怎么进行预防呢?限制优惠券代码的发布和兑现时间，对于个性化的优惠券，要使用更复杂的数据代码、微打印、水印、代码认证和验证等防伪技术以阻止骗子复制代码。例如，在优惠选兑现后，将代码尽快设置为过期。另外，厂家还要积极与优惠中介商、利益相关者和执法人员进行严格的管理监控政策。但更重要的是，后台服务商要确保网关、终端、网络、服务器和其他业务流程环节不被攻破。