黑灰產技術手段不斷「進階」,如何防護雙十二「羊毛黨」?
導語 |雙十一剛剛過去,雙十二又即將到來,不斷刷新的交易紀錄背後卻潛藏着一條產值達千億的黑灰產產業鏈和人員規模過千萬的黑灰產團伙,時刻挑戰着電商平臺的安全防線和消費者的切身利益。零售電商究竟如何作好營銷風控,如何更高效抵禦「羊毛黨」,才能真正安心地賣貨和獲客?「雲加社區」特邀騰訊安全業務風控專家郭佳楠在雲加社區微信羣中的爲你們解答,本文是這次分享整理總結而成(編輯:尾尾)。加羣請關注「雲加社區」公衆號,回覆「加羣」。算法
你們好,我是郭佳楠,從事信息安全工做15年。從設計到開發,營銷風控一直以來都是天御能力應用的重要領域。目前騰訊安全天御已前後爲京東、家樂福、惟品會、蘑菇街、小紅書、每日優鮮、貝店等主流電商客戶以及蒙牛、東鵬特飲等零售客戶提供營銷風控、防刷、防僞等安全服務,並在2019上半年爲合做夥伴累計識別超132億次營銷黑產請求,累計節省營銷費用高達93億元。結合騰訊天御在零售電商營銷風控領域的能力成效和我的工做經歷,我將從黑灰產的攻擊特色和變化出發,帶來騰訊安全的營銷風控防禦祕訣。小程序
1、黑灰產「打劫」電商購物節的主要過程
在補貼和價格戰成爲電商行業迎合消費者需求重要手段的背景下,優惠券、紅包、滿減、抵扣等形式多樣的讓利獲客優惠也成爲黑灰產覬覦的「蛋糕」。而以各種優惠井噴式分發爲主要特色的電商大促時節天然也被黑灰產「緊盯」。爲更好地瞭解電商平臺大促的規則和特色,黑灰產通常會提早半年着手準備「攻擊狂歡」,手段以黃牛、薅羊毛爲主,具體包括如下三大過程:安全
一、潛伏準備:主要是針對平臺優惠規則,發現平臺漏洞,進行帳號和做弊物料的儲備;服務器
二、平臺漏洞試探:主要分爲運營活動設計漏洞和風控漏洞兩種。一方面,針對目標平臺的運營活動設計,黑灰產會在大促前,用新手機號註冊海量帳號,領取平臺的活動優惠券,集中購買某種產品,再尋找優惠券的規則漏洞。好比在「滿100-20」的滿減活動中,黑灰產經過先批量買貨、退貨、退款的方式,賺取平臺20元的優惠券,進而經過批量賣券的方式賺取利益。另外一方面,針對平臺設置的風控漏洞,黑灰產會利用活動邏輯薅取優惠。如一些商家設置的大轉盤活動在正常狀況下一天能夠玩三次。而黑產則可利用背後的邏輯漏洞,一我的玩了 40 多萬次,從而把全部獎品薅走。微信
三、集中變現:在明晰規則邏輯和可利用漏洞的基礎上,黑灰產將在大促開啓時,展開集中領券的攻擊行爲,完成集中變現的操做。而電商平臺如若發現註冊用戶突增且新用戶活躍時間只有一秒或固定在某個時間活躍,那麼就要拉響風控安全警報。網絡
2、零售電商黑灰產「先進」手段有哪些?
新技術的探索發展和普及應用,在給零售電商行業帶來更加廣闊發展空間的同時,也給黑灰產的攻擊升級提供了可能。黑灰產最先的運做方式是假機、假人、假行爲,即經過在本身設備上安裝模擬器,以模擬上萬個設備頻繁登錄完成攻擊。工具
而現現在黑灰產的攻擊招式已進化爲「真人、真機、真行爲」。經過欺詐或指向性引導騙取零售電商的實際用戶進行非真實意願的操做,已成爲其賺取利益的工具。羊毛黨、黃牛黨、打碼黨以及小程序網賺黨、網賺團隊欺詐等就是這一方式的「熟練玩家」。以常見於手機、黃金和品牌酒搶購中的「黃牛黨」爲例,黑灰產經過從各個平臺招募兼職的方式,聚集一批代購「肉牛」。「肉牛」經過專門分包網站從「牛頭」處領取購買任務和購物規則漏洞(如故意更改收貨地址等),幫助「牛頭」搶購對應商品。「牛頭」憑藉任務獎金的方式控制「肉牛」行爲,從而實現對貨源的徹底控制,擾亂商品銷售市場秩序。性能
除此以外,大數據學習甚至AI算法運用已成爲黑灰產的重要技術能力。藉助新技術,零售電商黑灰產已能輕鬆繞過圖形驗證碼、手機短信驗證、帳號限制和活動地區限制等傳統防刷手段。自動打碼平臺、貓池、接碼平臺、大量養號和秒變位置等專業化、產業化的黑灰產招式已對新零售電商發起了新的挑戰。根據騰訊安全天御的經驗,以往黑灰產大部分都是採用 Android 設備做爲攻擊工具的,好比大量養號或經過植入木馬等控制器挖礦,充當肉雞。但隨着 Android 設備指紋的大量普及,加之該類設備系統自己性能上的缺陷,黑灰產還將「黑手」伸向了 iOS 設備,從黑市收購 iOS 設備 root 後,利用其做爲攻擊工具,在攻擊環境和效果上取得了更大的突破。學習
3、如何利用大數據+AI抗擊電商「羊毛黨」?
與不斷進階的營銷黑灰產相比,處於轉型升級的零售電商平臺所表現的安全能力卻面臨着極大挑戰。一方面,原有電商平臺邊界的持續拓展推進着安全能力的升級;另外一方面,傳統零售行業線上業務的延展,進一步加大了整個行業應對黑產攻擊的壓力。
測試
相對於原有電商平臺,因着業務環境的變化,傳統零售商在線上營銷風控方面大多經驗不足。面對一個一個賬號、一串代碼,沒法有效的甄別真假用戶。同時,在業務風控平臺建設方面,沒有專業的團隊且廣泛存在建設滯後的問題。一方面,通常的傳統廠商缺少構建龐大安全體系的能力和成本。另外一方面,要有效應對網絡黑產的變化速度,零售電商須要的是一支廣而深的安全團隊。以一個商超親歷的真實事件爲例:從線下賣場到線上小程序,爲吸引新客,商超開展新客戶滿減等促銷活動的過程,被黑產盯上。黑產經過虛假手機號註冊海量新賬號,集中購買易變現的產品,再經過線下渠道轉賣,批量套取平臺的優惠,給商超帶來了鉅額損失。由此,面對仍在不斷進化中的黑灰產,如何應對成爲零售電商行業尋求深化發展不得不正視的關鍵問題。零售電商行業可從以下方面着手,破解黑灰產的圍攻。
注重威脅情報蒐集:藉助大數據技術對業務場景的各項信息進行實時蒐集,從而爲異常動向的覺察和預警提供依據;
重視用戶歷史行爲分析:利用 AI 手段分析帳戶的歷史行爲,即經過與周邊用戶行爲和商品購買記錄的比較,找出「肉牛」等黑灰產集中的易變現產品上的異常操做。甚至可以使用無監督學習技術進行用戶真假的甄別。
更新對抗思路:放羊-不直接對抗-分化打擊。也就是說,在與營銷黑產對抗的過程當中,不直接針對黑產當下的攻擊點進行對抗,而是採起將其放過並從別的環節進行對抗的方式,完成對黑灰產的狙擊,從而避免一次又一次的攻防升級。與此同時,針對不一樣體量的攻擊,採起不一樣的對抗方式(如針對10%、40%、50%的壞流量分別制定不一樣對抗策略),逐步分化攻擊,最終使黑灰產沒法找到再次突破攻擊的節點,實現高效防禦。
拓展與專業安全廠商的合做:針對傳統零售轉型中遭遇的風控建設成本和能力問題,建議傳統零售商在發展線上業務的同時,深化與專業安全廠商額合做,藉助專業安全廠商的能力,確保線上業務的順利開展。
基於上述思路,騰訊安全天御爲零售電商行業的營銷風控提供了全新思路。依託騰訊獨特的風控建模能力,騰訊安全天御可以幫助電商平臺構建一個端對端的總體風控方案,從底層決策引擎到頂層風險數據和建模,造成智能風控中臺幫助解決業務安全的問題。
而對於大批「羊毛黨」以「假設備+假註冊+高科技」薅取優惠券和現金券的行爲,騰訊安全從活動防刷、註冊保護、登陸保護、驗證碼、做弊器識別五大方面,基於騰訊安全天御獨有的智能風控系統和能力,在180毫秒內精準識別羊毛黨假裝,並協助零售電商企業根據預先設定的營銷策略進行差別化處理,從而確保資金利用最大化,確保營銷效果精確性。
此外,在接入方面,騰訊安全天御不只提供API接口,還能夠協同騰訊雲等產品接入企業的營銷風控系統,風控能力接入很是便捷,能幫助企業快速構建更堅實的營銷風控防線。
4、零售電商需創建更完善安全防禦體系
隨着零售電商企業線上與線下業務融合的不斷深化,零售電商線上平臺衍生的利益點和業務場景愈見寬廣。鑑於此,黑灰產對零售電商的覬覦也日趨體系化。目前,黑灰產已造成了包含軟件開發與技術支持、帳號註冊與分銷、盈利變現等環節在內的產業鏈。除搶券、拼團砍價以及來自以刷單爲主要形式的網賺團伙欺詐和做弊引流的KOL做弊等營銷黑產操做外,傳統上針對基礎安全系統的短信轟炸、DDoS攻擊以及以黃賭毒曬單坑爹圖爲表明的內容風控也是當前零售電商行業安全防禦不可繞過的威脅。
其中,在DDoS攻擊方面,與多集中在遊戲行業的DDoS 攻擊不一樣,零售電商行業遭遇的DDoS主要來源於競爭對手的攻擊。別有用心的商家利用這種簡單粗暴的方式,直接對競爭對手的服務器發起DDoS攻擊,致使剁手關鍵時刻競爭對手的用戶沒法正常買買買,最多見的現象則是業務停擺。而針對競爭對手的攻擊則通常經過無監督學習等 AI 手段對購買者畫像和行爲畫像兩方面進行偵測,發現異常則採起對抗措施。同時,提高流量清洗防禦能力和 BGP 接入線路性能,保證電商平臺即便遭遇 DDoS 攻擊,也不影響業務順利進行。
針對零售電商遭遇的基礎安全和內容安全問題,騰訊安全天御也提出對應的應對方案。基於流量巔峯的重大營銷場景,推出重大節點定製化全程重保防禦服務,經過滲透測試、資產覈查、風險評估、修復指導以及7x24小時安全專家駐場值守與應急響應,確保業務流暢進行和核心數據防禦。靈活配置網絡安全、主機安全、數據安全、應用安全及安全管理等全棧式基礎安全產品防禦,讓惡意攻擊「無處遁形」,爲企業構築牢固的基礎安全防禦體系。
針對可能隱藏在視頻直播、圖片、音頻、文本等多種內容形式中的違規內容風險,騰訊安全均提供內容安全風控服務,實時識別涉黃、違法違規、暴力、垃圾廣告等內容,幫助企業構築良好內容生態,準確率高達99%。全方位護航零售電商內容安全。
如需瞭解更多零售電商安全防禦詳情,可在本文末留言。
5、羣內QA
Q :對以前bilibili主播薅死羊,這個案例如何看法呢?
A:這個應該屬於訂價錯誤,形成的營銷事故(店主標錯售賣單位,好像是1千克,寫成了1000kg),不太屬於營銷風控防黑產薅羊毛的範圍。這類狀況屬於交易糾紛,能夠在平臺方申訴,請平臺作裁決。
追問:由於薅羊毛髮展成主播帶領一大羣人,故不存在批量註冊 號等於徹底是一個正常真人的號。就是主播講 這裏有羊毛了 而後羊毛黨一擁而上。對於薅羊毛的處理我感受很難 否則要麼成爲刷單的工具 要麼就是如上事件,集中式到分散式。
A:你說的很好,這個就是如今薅羊毛各類手段中,進化的比較高級的一種手段。「真人薅羊毛」,通常見於 茅臺、黃金,首發手機等場景中。
追問:問題來了,這種場景的薅羊毛,如何發展和緩解呢?
A:咱們天御 有專門的 【網賺團伙防禦】,對這類欺詐有很好的壓制做用。
Q :也就是說,在與營銷黑產對抗的過程當中,不直接針對黑產當下的攻擊點進行對抗,而是採起將其放過並從別的環節進行對抗的方式,完成對黑灰產的狙擊,從而避免一次又一次的攻防升級。 ——請問這個別的環節指什麼,可否詳細說一下?
A:舉例,好比天御在登陸註冊環節發現了黑產批量註冊,咱們會對這批用戶打標,而不是直接block。這個就是另一種風險控制方式,隨後天御對打標黑產實現分化打擊。最終實現把黑產消化在風控系統中,而不直接產生黑產對抗。
Q :他們是怎麼那麼快的獲得價格標錯商品信息的?
A:這個狀況,我只是推測,應該是某用戶看到訂價錯誤,把商品標價錯誤信息,放在某個公共社區裏形成的。
Q :感受薅羊毛和刷單很像是一波人在作,能不能在一個平臺發現這一波人,而後各平臺創建共享知識庫,把這波人都拉黑?
A:可使用咱們騰訊天御的營銷活動防禦,對各類黑產有比較好的發現、壓制、打擊做用。用天御就能夠把這波黑產發現打擊識別率 99%。
Q :真人薅羊毛 是否是隻能對收貨人收穫地址進行判斷?
A:咱們經過多種手段判斷,地址只是其中很小的一部分,重點會使用AI的無監督學習能力,把真人羊毛黨抓出來。由於黑產打擊手段保密的緣由,不方便說的太多,請你們諒解。
Q :若是隻經過地址判斷,把收穫地址刪除再從新建一次地址就能夠從新下單啦,這種通常會怎麼解決?
A:咱們對黑產的打擊是 事前、事中、過後的全棧式打擊,不會特別依賴單點。地址也不是咱們只要打擊真人羊毛黨的核心依賴。羊毛黨換地址,對咱們壓制他們沒有影響。
Q :這仍是創建在自主搭建電商平臺,絕大多數電商工做者貌似都選擇了託管店鋪,真正的雲開放應該是要實現融合吧?
A:是的,平臺方應該提供一些基礎的風控能力,好比防惡意下單,防薅羊毛 等等。如今我知道不少大平臺都有一些風控能力。
Q :防護的時候,會不會也會有誤判,致使正經常使用戶也收到影響呢?
A:是的,AI技術確實有誤判率等問題,咱們上線任何模型都通過灰度很是嚴苛的測試,在 召回率 準確率 都達到標準的狀況下才上線。
Q :那種黑產經過平臺發單讓下線去薅羊毛的,有沒有辦法禁止?
A:這個就是我說的 真人羊毛黨,這個確實比較難,由於傳統的風控手段,對這類欺詐用處不大。咱們在這種狀況下比較多使用關聯圖譜,和無監督學習的AI算法。對這類欺詐行爲作打擊
Q :雙券疊加的時候會如何處理,好比某電商平臺有滿今天有滿199-100的優惠券可用,可是明天又有滿199-100的活動,會存在一種券沒過時,但是活動已經開始的狀況,這種我藉助腳本只處理0點那不到一秒的鎖單行爲~這種行爲多了也會瞬間把店鋪薅空~這種狀況通常會如何避免?
A:這位同窗有作黑產的潛質,想法挺新穎的。不過你若是用腳本下單,很容易被平臺發現。零點下單,原本就是一個風控規則。
Q :5G時代,AI技術打擊黑產這件事,會面臨怎麼樣的挑戰,是更加容易,仍是更加困難?
A:暫時沒有想到5G 對風控的影響,不知道將來會是更難仍是更容易,應該都是螺旋上升的吧。
Q :這個服務是按量付費麼?
A:是的
戳下方視頻,可瞭解更多相關信息
嘉賓簡介
郭佳楠
騰訊安全業務風控專家
從業15年,多年零售業務安全風控經驗,明星產品「天御」產品負責人,負責騰訊天御金融風控、內容安全、營銷風控產品設計。
本文是「雲加社區」微信羣中的分享整理總結而成。
加羣請關注「雲加社區」公衆號,回覆「加羣」
---------下方更多精彩----------
好文推薦
(點擊圖片便可跳轉)
雲加社區做爲騰訊雲官方開發者社區,旨在爲開發者提供一個在線學習、分享雲計算技術的交流平臺。擁有百萬量級高質量在線技術內容、同時經過官方產品團隊入駐,爲用戶提供官方產品問答和開發者手冊等服務。在這裏,你能夠看騰訊技術,學雲計算知識。一塊兒來看看,騰訊有哪些技術值得關注?有哪些開發者活動值得參與呢?
——《騰訊有哪些技術值得關注?》
關注雲加社區,回覆 加羣 加讀者羣
點在看,一塊兒防「薅羊毛」