我来战黑产!
互联网带来了方便和快捷的同时也产生了夹杂其中的灰色,羊毛党式往往集群作弊造成极大的损失,那么我们来了解一下黑产这个对手,再看下如何PK掉这个对手。
我们常说的互联网公司的风控部门主要为三方支付和银行支付环节的风控以及金融小贷的用户风控。金融小贷特别是涉及信贷,借贷业务,常常能听到一个词语叫做高危/高风险客户,这类用户往往会被拒之门外,其风控本质是通过大数据描绘用户画像进行风控。
而三方支付和银行支付环节的风控更多的是偏向技术风控,在技术层面进行风险控制,防止整个交易链路被黑客入侵转移资金等。而在电商风控领域中,针对不同对象我们又可以分为用户和商户,针对用户域和商户域再进行区别化的防控措施。
电商领域的用户风险域不仅指用户本身资质还涉及到用户操作行为,我们对这块用户风险域的工作概括为两个方向:营销反作弊和内容信息安全。
营销反作弊通常指平台在进行促销/拉新策略时做的反欺诈工作,即反作弊风控。在实际风控过程中,咱们可能会发现大量的关于业务上的漏洞、技术上的漏洞、人为流程因素以及风险发生后产生的次生风险。本篇将详细描述用户风险域之营销反作弊。
互联网带来了方便和快捷的同时也产生了夹杂其中的灰色,咱们都知道平台做推广往往会有预算经费和KPI指标,其目的是为了留存用户细水长流实现长期盈利。而羊毛党式往往集群作弊,一个BUG信息在瞬间可以进行病毒式传播在极短时间内薅走具有变现价值的红包、优惠券。
笔者参与了大大小小无数场灰产薅羊毛,在其中见证了各平台营销反作弊的进化和迭代。攻守的双方都在成长和进步,从最初的家庭小作坊到现在明确分工、程序半自动流程化以及各层级的分销传播。想做好反作弊没有一定的实战经验,仅仅依靠零散的公众号文章和碎片化信息,只会陷入不切实际的行动和理想化的策略。
引用《资本论》中邓宁格说过的一句话:只要有百分之五十的利润,就会引起积极的冒险;有百分之百利润,就会使人不顾一切法律;有百分之三百利润,就会使人不怕犯罪,甚至不怕绞首的危险的人。
知己知彼方能百战百胜。在进入战斗前,及时地查看相关对手的信息非常重要。
灰产的群体和模式
如果有这么一门生意,不需要大额的资本,不需要复杂的商业计划,游离于法律法规之外,而它的收益是几乎没有上限且是纯收益,笔者相信任何有机会参与其中的人都会趋之若鹜。这群人我们常称之为羊毛党,对于羊毛党来说,薅羊毛的行为就像是日常工作。
“家庭小作坊”:一人多账号(亲朋好友)或者家庭亲友团
20年前,某节假日杭城某泰搞大促。其规则大体就是商城大促期间每个自然人都有一份极优的折扣额度,但是商城为了保障更多的用户享受到优惠,对每个自然人的总优惠金额做了上限。
这显然低估了人民的智慧, “实惠”当头,老百姓纷纷发动一切可以动员的力量。万万没想到,上至80老头老太下至7、8岁的小伢儿都积极参与这次商城大促。而这,也是笔者最早见识的家庭式作坊 “薅羊毛”。
在目前电商时代非常典型,通过口口相传,将优惠分享给身边的人,也是众多电商平台愿意看到的现象。
“乡里包工头”:稍具规模以盈利为目的的羊毛团体
包工头往往通过传帮带的形式将一个个零散小作坊或零散人群进行收编,通过任务形式发放羊毛信息,将回收的实物或虚拟物变现到相应的渠道,赚取中间差价。
作为羊毛群体中最广泛的群体,“乡里包工头”还有一个常用俗称—羊头。众所周知,互联网金融行业获客成本常年居高不下,部分平台内部人员为了完成KPI,甚至会直接联系羊头(或代理)进行谈判,通过羊头进行拉新促活以及募集资金。
这类羊毛党中较专业人士已经针对平台基础的反作弊措施进行了迭代优化。咱们常见的设备号识别,IMEI 号识别或者是其它一些IP地址、Wifi地址等,羊毛党都可以进伪装,一台设备就可以伪装出N台不同型号不同地址的App,直接绕过中小平台甚至某些大型平台的风控检测。
而从平台方看,这些都是一个一个真实的设备,但其实这些信息都是羊毛党通过软件编写好的没有价值的伪信息。
“接轨国际小地主”:专业刷手,分工明确,自产自销
小地主显然比“乡里包工头”更胜一筹。要业务渠道人家是一手的,要技术支持人家也是一流的,俗称撸毛届扛把子。因擅长方向不同又分信息流和技术流。
- 信息流擅长数据采集数据分析同时辅以技术,譬如优惠券信息各大主流电商平台以及银行推广活动,针对业务模式寻找业务漏洞,再利用技术手段迅速行动获得利益。
- 技术流擅长技术手段,针对活动背后的技术层面进行剖析,寻找技术上的漏洞和可能性,常见的有各类半自动化工具生产以及数据请求解密硬解等。
当然,因为合力才能断金,信息流和技术流通常不分家。
目前,灰产届部分技术业务流相结合的团体,甚至可以利用爬虫甚至入侵数据库的形式,获取平台方数据库信息。得到数据后,对数据进行整理筛选,机选出优惠券信息和“错”价产品,因平台方业务漏洞等自身原因造成的BUG,羊毛党发现后会在第一时间进行行动。比如:某电商的支付随机立减4999的名额,通过技术手段直接实现100%获得立减4999的名额。
当然如果某些平台漏洞过大则会在吃完第一口肉后立即将信息传播给下一层级的羊头,毕竟出了事儿法不责众。合情合理的在规避法律法规后,最大限度的合法获利。
羊毛党的威力和危害
在行业内有一句话叫做“薅上一天够吃一年”。
羊毛党的危害举不胜举。分分钟撸垮上市公司的羊毛党不仅会对平台优质用户的造成损害,更重要的是严重危害企业生命线。
案例一:拼多多一夜被薅疼
1月20号凌晨一点至9点30分,一则关于拼多多100元无门槛优惠券的线报刷爆羊毛群。薅上一天够吃一年,一场羊毛党的盛宴开启了。不限设备不限IP不限账号,皆可领取100元无门槛券。注意,这是领取,不是抢购。
截止20日上午9时许,拼多多工作人员上班后开始堵截漏洞。21日9时30分左右,基本完成作废领券&无门槛券的使用。网传平台损失上千万,在后期平台对损失的大额变现的虚拟物品进行冻结并对变现实物的订单要求商户停止派发快递,把损失控制在百万内。
显然,拼多多的风控存在严重的漏洞。不论是在技术保障、策略流程,还是企业内部都存在不可推卸的责任问题。
另一面,也凸显出羊毛党的可怕,上市公司都hold不住羊毛党的群羊之势。
案例二:家教O2O被薅到倒闭
把时间轴拨到2015年,那一年O2O模式被资本热追。我们熟知的滴滴、Uber、美团、大众点评等都获得了数亿美元的融资,疯狂的补贴大战就此开启。“兼职跑滴滴,月入10W不是梦”,打车O2O模式在那年早就了许多暴富的司机。
除了打车领域外,热切的资本迅速把O2O的这把火烧到教育领域,游戏开始上演,无外乎:
- 增长靠补贴;
- 刷单作假刷数据;
- 依赖数据再融资。
这一时期,至少出现了上百家家教O2O品牌,但是截止今日除了被收购外,剩下的企业几乎全部倒闭,能存活下来的零星几家那也是早早转型并将业务重心放在了其他领域的在线教育。
庆幸的是,对于目前稍微有点规模的电商企业,随意一场营销策划活动。不论技术保障、流程方案是否有漏洞,还是活动策划是否成功,或多或少大伙儿都会去做一些门槛设置。其实这已经是基本的反作弊风险意识了。
营销反作弊,御守羊毛党
庞大的用户规模和大量的现金流动为电商行业贴上了“非典型行业”的标签,因此网络攻击、黑客入侵、恶意刷单等不法行为步步紧盯这块“肥肉”。尤其在节庆、大促等重要时间节点,电商行业面临的风险和挑战将更加突出。
薅羊毛大都和业务强相关,从技术角度分析,手段并不新颖,但是通常由于电商企业产业链较为复杂,无可避免或多或少的“BUG”。
当面对这些羊毛党以及有组织的攻击,电商平台何去何从?我认为以下几点可以帮助电商平台更好的做好风险控制。
1. 建立完善全面的安全风控体系及模型
大多数中小型企业在做“用户画像”的时候,往往标签化用户,其标签评定来源用户填写的数据。这种单维且较少更新的“用户画像”,相对价值较低,当咱们参考这类 “用户画像”去做推到产品分析,往往会发生精确度和趋势与实际背离的情况。如果把这类信息作为主要的安全风控模型,或多或少存在一定风险,不是一个严谨的选择。
对于用户数据,根据所提供信息渠道来源我们可以分为明面数据和暗面数据。这里明面数据一般指注册信息和实名认证,包括手机号、银行卡信息等识别用户主要凭证。
暗面信息指采集的用户信息,这里一般指用户环境(设备、网络、sim卡等)和三方数据信息。除此之外,根据用户信息的变化情况我们还可以再分为动态数据和静态数据。
动态数据往往针对不断变化的用户行为信息,比如消费信息(金额、偏好、时间等),通讯信息(联系人、通话记录等),身份信息(职业、收入情况、教育培训等)。
不论是何种信息,我们都有必要对信息进行整合分类,在分类后进行属性的区分,主属性后还有子属性,就像一个树状图,当然这仅仅只是关于数据的整理。随后,咱们还需要对数据进行再加工,如下图所示:
目前,越来越多的安全风控体系通过对数据多个维度进行深度的挖掘,避免了前文提到的单维且较少更新的用户画像存在的风险。
2. 梳理产品线评审新业务,强化运营实现全方位数据监控
在上一篇《从产品流程上,复盘拼多多的风控漏洞》中,有较为殷实的描述。
很多企业在迭代产品线前并未做好产品的架构导致整条产品线十分冗杂,当新业务上线无法做好到“高内聚低耦合”,这就直接导致新业务很有可能产生新的业务风险。所以,不论新业务内容大小,都需要进行审核评估,增加一层审批机制。
除此之外,越来越多的灰产从“单核、无序、粗暴”发展成“有目标、有组织、有进退”的三有的专业团队,这直接导致咱们做好风控工作的难度越来越高。所以,实现全流程操作实时监控就十分有必要。
从用户进入页面的的那一刻起,注册、登陆、领券、浏览、购物、仓配、评价到售后,每一个环节每一个步骤都进行统计。当某一个环节出现数据暴增等异常,就可以第一时间进行预警,控制风险的蔓延,并防止次生风险的发生。
3. 做好技术层面的数据接口流程及监控
除了产品及运营层面的风险防控外,技术层面的风险防控也尤为重要,作为产品笔者认为有必要了解一下相关的知识点。
著名的漏洞平台乌云网曾经有一个接口跨域导致信息泄漏的案例:
简单介绍一下:在前后端分离架构中,接口等同于前后端联系的“电话线”。
- 核心关键资源,凡是资源的调用都与接口有关系;
- 凡是不是直接连接,需要“桥梁”过渡,均需要接口的辅助。
接口漏洞案例:
在我们使用4G上网的时候,常常见到网页下方某处悬浮“流量助手”、“xx运营助手”等。这其实就是xx运营商进行了链路劫持,安插一些代码。这个功能的本质是通过 jsonp 接口跨域数据请求,也正是这个功能,存在用户手机号码、流量使用状况泄漏,同时安插某些而已接口还会恶意消耗用户话费。
技术提升网络安全的方式:
- 采用HTTPS协议
- 密钥存储到服务端而非客户端,客户端应从服务端动态获取密钥
- 请求隐私接口,利用token机制校验其合法性
- 对请求参数进行合法性校验
- 对请求参数进行签名认证,防止参数被篡改
- 对输入输出参数进行加密,客户端加密输入参数,服务端加密输出参数
除了以上三点外,笔者认为咱们安全团队做好营销反作弊需要两手准备。一面咱们需要知己知彼,更深入了解灰产,熟悉攻击手法,制定有效的策略。另一面,随着业务体系的范围扩容,涉及面越来越广,这样那样的漏洞无可避免,这时总结经验教训尤为重要。
在开辟新道路的路上,有坑十分正常,当咱们跌倒了记得爬起来反思己身。常驻风控思维,面对未来道路有坑填坑有洞补洞,这样才能最大限度的完善咱们的产品线提高灰产作案门槛。
本文由 @四月春波 授权发布于运营派。未经许可,禁止转载。
题图来自Unsplash,基于CC0协议