229秒,销售额破亿;
26分钟,完成“双11”跨境配送首单;
78分钟,超过2017年“双11”全天销售额;
全平台销售额达到去年同期2.4倍
……
这是网易考拉在双11交出的成绩单。靓丽的成绩单,是网易考拉技术、运营还有产品同学上上下下共同努力的成果。当然,背后也有网易安全部和网易云易盾的同学参与进来,做各种安全保障工作。
生活中到处都有黄牛,网络上也同样存在着黄牛,他们被称为羊毛党。这群人对商家的促销和优惠特别敏锐,闻风而动,给新、老用户的福利,眨眼间就能被他们掠夺的一干二净。
双11是全民狂欢的节日,也是黄牛党擦拳磨掌、跃跃欲试,准备大展手脚、一展宏图的时机。
这是一场看不见硝烟的战争。虽无枪炮声,但却斗争激烈。
结束彻夜“战斗”,走出办公大楼,一片宁静(网易云易盾运营徐瑶供图)
“斗争其实一直都在进行中,只不过双11更加激烈而已。“网易云易盾安全运营徐瑶接着说:“我所理解的安全风控,本质上是成本的对抗。灰产不断寻找平台的漏洞、不停尝试突破我们的规则,我们努力要做到的就是让他们为之付出的成本越来越高,高到没有利润空间,那业务就稳定了。”
今天,就想讲一讲我盾在考拉双11以及过去大大小小促销中和羊毛党的斗争史。
一、羊毛党大起底
第一、代下单党
是目前最为活跃的群体作案。比如x公司有会员卡,开年卡,老用户可以九六折购买其产品,这些带下单的人就会用这些会员卡,再叠加一些优惠券活动,拿到比较低的价格。
一般的操作手法是,他们会找真实的购买群体。比如加微信好友,在朋友圈晒商品,比如你购买需要100元,我帮你购买你只需要98元,实际上羊毛党的成本只有95元。最后收到商品的和下单的并非同一个人,下单的人就赚取中间差价。这种类型现在比较活跃。类似于微商的形式在传播。一个大boss有技术和机器搜集商品的各种信息,还会收一些学徒,学徒要给他钱,最后他赚取的不仅是商品的差价,还有学费。他们在群里发x商品用y方法可以拿到最低价格,这些学徒就会在朋友圈告诉客户。涉及唇膏,洗发水等价格较低的商品。
第二、抢红包优惠券党
比如滴滴或者ofo打车在做活动的时候,羊毛党就会盯上,进行虚假刷单,通过注册车主账号,用户账号,虚拟定位等技术,实现即便没有行程和订单,一样可以套平台的利益和掠夺真实用户的利益。在做推广和拉新的时候,比如个贷平台,羊毛党去套现平台的优惠和红包也是比较活跃的形式。
第三、黄牛党
如果代下单是to C,那么黄牛就是to B,他们的客户包括线下母婴店,或者是需求量较大的商户。他们买的东西很集中,很多下单和收件都是批量进行,这方式稳定且涉及资金量大,一般集中在奶粉或尿不湿类商品。
据网易云易盾的运营专家透露,刚入行的时候,出于工作需要以及好奇心,他会专门去研究这群人,刚开始内心戏特别丰富,觉得自己需要时刻保持警惕,且一开始要做好万全准备,乔装打扮、话术包装,以为自己像警察卧底毒贩呢。结果进去之后发现,学生和妈妈党很多,都是兼职在做,并不是有组织有纪律的待在一个地方办公搞灰产。有的甚至意识不到自己在搞灰产,只当是兼职赚钱呢。
这些羊毛党用到的工具,以及作案手法在不断更迭。但顶级的安全公司,都有那么现在都有哪些反击技术?
在解释这个之前,得先了解羊毛党时下都有什么新的作案工具和技术手法。下面是一张完整的薅羊毛作业链。
二、全套作案工具揭秘
图注:薅羊毛作业链
- 帐号
不少商家提供帐号售卖服务,即买即用,省去注册流程。
- IP
售卖代理IP的商家也不在少数,价格低廉甚至还提供包月服务。当然自己写爬虫收集代理IP也可以,如果掌握了一些肉鸡就更方便。用不同的IP登录不同的帐号是隐藏行踪的好方法。
- 验证码平台
图片验证码和手机短信验证码都有专业的打码平台。对于简单的验证码,用机器识别即可(成功率相当高),对于复杂度较高的验证码,打码平台支持人工打码7*24小时服务。如下图,震不震撼?
图注:人工打码
对于短信验证码,打码平台使用自身或购买的卡商资源,提供相应的api或者工具包,方便作弊工具自动获取手机号和验证码,作弊工具可使用各种未经实名认证甚至实名认证的手机号码在各电商平台注册。打码平台的上游卡商实际掌握了大量手机卡,他们利用猫池等设备实现多手机号自动接收和解析短信验证码,并将手机号和短信验证码提供给打码平台,最终作弊工具可通过打码平台全自动获取手机号和短信。
图注:猫池
4.模拟器
模拟器通常是指安卓模拟器,安卓模拟器非常强大且种类繁多,基本可以模拟一个真实手机的全部功能,比如BlueStacks,GPS、MAC地址等信息都可模拟。
5.软件修改手机信息
一般的公司通过设备指纹或者IP高频限制去过滤羊毛党,但羊毛党有更高级的应对方式,比如通过软件控制多个手机,可以使用软件修改手机信息,还能通过代理IP不断更换IP地址,这样薅羊毛的效率大大提升。
所有问题都解决之后,就是羊毛党的地下盛宴,羊毛狂欢。领到各种优惠券后,再通过各种渠道把优惠券销售出去。那么如何反击呢?
三、技术反击:人工智能动态反作弊系统
网易云易盾的技术专家接受采访时表示,为了增加破解难度,提高作弊成本,现在不少企业会将客户端和服务端的通信数据进行加密,这样做确实可以提高破解成本。但一般的数据加密方案,对于专业的***来说,可能也就是多花几小时的破解时间而已。以他们多年来积累的防控经验,他们总结了下面一套方法。
- 动态数据保护
一种可以让破解者退而却步的方案是:设计一个动态的加密算法,每套加密算法有自己的生命周期,即使***破解了这套算法,咱们实际已经切换到下套算法,因此,***的破解也将毫无用武之地,必须重新破解才行。当然,这个方案还必须配合APP或SDK加固才能活得长久,相当于是给动态算法再加上一层保护壳。
- 设备指纹追踪作弊设备
据网易云易盾的技术专家透露,设备指纹是防薅羊毛的重要手段,如果能准确标记薅羊毛的设备,实际上对羊毛党来说是一个重大的打击。然而,目前市面上已经出现了各种改机软件和模拟器,能不断修改设备信息,让一般的设备指纹一无是处。但网易云易盾拥有一批专业的客户端安全团队,他们已经研究出了一系列的黑科技,能确保拿到底层的设备信息,能免疫目前存在的改机软件和模拟器。同时网易云易盾也沉淀了丰富的设备检测模型,能精确区分正常设备和作弊设备。
- 行为建模鉴别真假用户
人和机器是两类事物,机器的行为总是有规律可循的。可以通过人工智能对触摸、陀螺仪的数据,以及浏览器上的鼠标移动、点击等行为,结合设备指纹、业务场景等进行建模分析。网易云易盾已经积累了非常丰富的人和机器的样本数据,训练出了高准确率的行为模型,能有效识别机器行为。
- IP画像防止误杀真实用户
如果简单依靠IP来制定规则,则可能会误杀正常用户,毕竟大公司的员工都是共用一个或几个出口IP,再加上移动基站、公共wifi等共用网络资源,简单的IP规则可能导致大量的误杀。而实际,专业的羊毛党都会使用代理IP池技术,一个IP可能就使用几次,直接绕过IP层面的规则。
但可以从另外个角度出发,就是对一个IP从网络层面和业务层面做画像,并通过评分模型,给每个IP输出一个风险值,基于动态更新的风险值来建立各种业务规则,可以有效识别作弊IP,同时尽可能的减少对正常用户的误杀。
- 机器学习识别羊毛党团伙作案
除了修好城墙之外,也需要主动出击。结合无监督学习+有监督学习方法来发掘羊毛党团伙作案的网络模型,下图是一个典型的关联网络图。
图注:关联模型图
首先,可以基于用户在一段时间内所有业务相关的数据建立关系链,这些关系链将构成一个总网络;然后,搜索网络中的所有子网络,进行连通图分割;其次,遍历每个子网络,获取网络标签,挖掘网络特征;最后,通过机器学习构建识别羊毛党的网络模型。
- 风险名单库识别作弊用户快准狠
基于长期的业务数据和反作弊数据,可以积累出各类风险名单库,比如:手机号、设备、账号等等。风险名单库主要包含黑名单和灰名单,网易云易盾通过多年和羊毛党的斗争,已经积累了千万级的风险名单库。
那么,从规则的角度来说,又该如何防范?
四、运营反击:从内部配合到规则设定的建议
- 活动运营忌单打独斗 多与安全及技术部门沟通
网易云易盾运营专家建议说,无论产品拉新,还是节日大促,其实搞活动的部门都需要和技术部门的同事以及安全运营部门联手,很多创业公司都没有这样的意识,大家都要尝到苦头,公司损失上百万之后才会意识到事态的严重性。通常,活动部门只从自己做活动可能会产生的热度、活跃度的角度考虑,而非从实际效果和风险角度去考虑。这对公司最后是非常不利的,可能热度是有了,但钱被羊毛党薅走了,真实用户活跃度没有提升,活跃的都是刷单用户。
建议做活动之前多跨部门沟通,或者找反作弊解决方案提供商,先评估账号质量,做活动之前把所有名单先拉出来检测,如果企业并没有做历史黑名单纪录,那么可以找反作弊解决方案提供商,他们会自己沉淀各个场景下的黑名单库。
- 产品设计漏洞排查
比如有的产品设置购买场景是这样的:1次购买金额达200元即可包邮,但平台方有不同的仓库,一次购物会产生两个订单。那么这就给了羊毛党可乘之机,比如用户只想买100块钱的洗发水,还需要100就能免邮费。那么用户就会同时买这两件商品,但因为是在不同仓库,所以分成了两个订单,那么用户就可以分开退掉不想要的货物,但包邮目的达到。这一漏洞一旦被大boss发现,就会批量操作。导致有的商品瞬间订单量上来,运营超级开心,不一会儿发现,全都退货了,短时间内实用户还买不到商品,基本就是属于这种情况。
- 活动规则兑换条件
在做活动之前,要设置好规则,比如对优惠券使用的次数上限进行了限制,对兑换规则进行设定。具体规则设置因具体活动而异,前期多思考活动规则,会让后期少了许多麻烦,不至于紧急扑火。在活动玩法上可以规避许多风险。否则很可能导致有的商品库存本来就很少,结果平台上的商品都被瞬间刷完了,真正想买的人买不到。对整个部门影响很大。
- 实时监控 及时发现异常
实时监控有什么好处呢?在这里给大家分享一个实际的案例。一个黄牛党某天去物流中心取尿不湿,一去就有种霸道总裁承包了全部尿不湿的架势,说“这些尿不湿统统都是我一个人的”,快递员很不屑,就说怎么可能这些都是你一个人的,地址和姓名都不一样,你要出示一下×××,证明都是你的,否则不能拿走别人的东西。那个黄牛党就比较不耐烦,说“我就是让人网上帮我刷的”。
现在黄牛党填的都是假地址,无需填写具体哪个区,只要到了这个城市,他就有办法搞定这些货物,有人会和快递合谋拿到货物。
这个事情怎么发现的呢?就是网易云易盾实时监控的同事,发现物流的订单异常,告诉大家,于是发现了这群黄牛党。
五、写在最后
与羊毛党的战争是一个动态博弈的过程,无论从技术角度还是运营角度,都需要及时更新,利用最新技术以及庞大的数据库去保障企业利益和真实用户利益。不断学习,升级打怪。
比如说,易盾运营的负责人鲁珈璐曾分享了他们技术之外的运营之道——强化业务规则和弱化规则。强化业务规则是从设备、账号层面出发,有些业务规则本身就有很大问题,运营会从业务层面去分析,并帮助对方完善。弱化规则是从文案、利益层面出发,当智能的安全平台已经判断出对方是羊毛党时,文案上不要太直白,可以“温柔”点,告诉对方网络不好,请重试;或者把发的红包、券小一点,比如说就几分、几角,让羊毛党们完全不够本,而给正常用户就多一点……“这只是典型的运营策略中的其中一种。”鲁珈璐说。
总的来说,正如上面所言,羊毛党的***本质是成本的较量,当毫无利益可言时,羊毛党也就不会盯上你了。有能力的安全企业,就是要不断推高作弊的成本,让薅毛党对薅毛生无可恋,让正常的用户权益得到保障,让企业不再背上做假活动的骂名。
原文地址:http://blog.51cto.com/13610827/2317045