追蹤掠食者：地下灰產如何擼死創業公司？

本文由  網易雲 發佈。

 

互聯網大公司周圍，每每圍着一羣灰產從業者，他們是看不見的敵人，經常躲在暗處，乘機而動。《一代宗師》裏說，「風塵之中必有性情中人」，羊毛黨可惡之中實有可取之處，其目標精準，不捨晝夜，直擊要害。羊毛黨們對每一年的雙11、雙12、情人節等節日的大促備戰一點不比電商平臺鬆懈，做爲專業「薅羊毛」地下團隊，沒有人比他們對平臺、商家的促銷和優惠信息更加敏銳。近些年來，不乏被羊毛黨薅死的正規公司。

因羊毛黨致使平臺破產的案例不在少數。像O2O平臺、電商平臺、社交平臺、互聯網金融平臺這樣的活躍平臺就是羊毛黨攻擊的主要目標。

在P2P平臺，一個促銷從幾十到上百元不等，「羊毛黨」每月能夠賺幾萬到幾十萬。

羊毛黨帶來的傷害不只限於企業，並且也會波及到企業的真實用戶利益，致使本屬於他們的利益被掠奪一空。薅羊毛手法突飛猛進，與時俱進，從傳統手法到人工智能，羊毛黨魔爪甚至伸向了缺少監管的區塊鏈行業。那麼他們都是怎樣一羣人？網易雲易盾的安全專家從羊毛黨人羣畫像、做案工具、技術反擊、規則反擊角度，爲咱們揭開了不爲大衆所知的互聯網冰山一角。

羊毛黨大起底

第1、代下單黨

是目前最爲活躍的羣體做案。好比x公司有會員卡，開年卡，老用戶能夠九六折購買其產品，這些帶下單的人就會用這些會員卡，再疊加一些優惠券活動，拿到比較低的價格。

通常的操做手法是，他們會找真實的購買羣體。好比加微信好友，在朋友圈曬商品，好比你購買須要100元，我幫你購買你只須要98元，實際上羊毛黨的成本只有95元。最後收到商品的和下單的並不是同一我的，下單的人就賺取中間差價。這種類型如今比較活躍。相似於微商的形式在傳播。一個大boss有技術和機器蒐集商品的各類信息，還會收一些學徒，學徒要給他錢，最後他賺取的不只是商品的差價，還有學費。他們在羣裏發x商品用y方法能夠拿到最低價格，這些學徒就會在朋友圈告訴客戶。涉及脣膏，洗髮水等價格較低的商品。

第2、搶紅包優惠券黨

好比滴滴或者ofo打車在作活動的時候，羊毛黨就會盯上，進行虛假刷單，經過註冊車主帳號，用戶帳號，虛擬定位等技術，實現即使沒有行程和訂單，同樣能夠套平臺的利益和掠奪真實用戶的利益。在作推廣和拉新的時候，好比個貸平臺，羊毛黨去套現平臺的優惠和紅包也是比較活躍的形式。

第3、黃牛黨

若是代下單是to C，那麼黃牛就是to B，他們的客戶包括線下母嬰店，或者是需求量較大的商戶。他們買的東西很集中，不少下單和收件都是批量進行，這方式穩定且涉及資金量大，通常集中在奶粉或尿不溼類商品。

據網易易盾的運營專家透露，剛入行的時候，出於工做須要以及好奇心，他會專門去研究這羣人，剛開始心裏戲特別豐富，以爲本身須要時刻保持警戒，且一開始要作好萬全準備，喬裝打扮、話術包裝，覺得本身像警察臥底毒販呢。結果進去以後發現，學生和媽媽黨不少，都是兼職在作，並非有組織有紀律的待在一個地方辦公搞灰產。有的甚至意識不到本身在搞灰產，只當是兼職賺錢呢。

這些羊毛黨用到的工具，以及做案手法在不斷更迭。但頂級的安全公司，都有那麼如今都有哪些反擊技術？

在解釋這個以前，得先了解羊毛黨時下都有什麼新的做案工具和技術手法。下面是一張完整的薅羊毛做業鏈。

全套做案工具揭祕

                                               圖注：薅羊毛做業鏈

1. 賬號

很多商家提供賬號售賣服務，即買即用，省去註冊流程。

2.IP

售賣代理IP的商家也不在少數，價格低廉甚至還提供包月服務。固然本身寫爬蟲收集代理IP也能夠，若是掌握了一些肉雞就更方便。用不一樣的IP登陸不一樣的賬號是隱藏行蹤的好方法。

3.驗證碼平臺

圖片驗證碼和手機短信驗證碼都有專業的打碼平臺。對於簡單的驗證碼，用機器識別便可（成功率至關高），對於複雜度較高的驗證碼，打碼平臺支持人工打碼7*24小時服務。以下圖，震不震撼？

 

                                                  圖注：人工打碼

對於短信驗證碼，打碼平臺使用自身或購買的卡商資源，提供相應的api或者工具包，方便做弊工具自動獲取手機號和驗證碼，做弊工具可以使用各類未經實名認證甚至實名認證的手機號碼在各電商平臺註冊。打碼平臺的上游卡商實際掌握了大量手機卡，他們利用貓池等設備實現多手機號自動接收和解析短信驗證碼，並將手機號和短信驗證碼提供給打碼平臺，最終做弊工具可經過打碼平臺全自動獲取手機號和短信。

 

                                                             圖注：貓池

4.模擬器

模擬器一般是指安卓模擬器，安卓模擬器很是強大且種類繁多，基本能夠模擬一個真實手機的所有功能，好比BlueStacks，GPS、MAC地址等信息均可模擬。

5.軟件修改手機信息

通常的公司經過設備指紋或者IP高頻限制去過濾羊毛黨，但羊毛黨有更高級的應對方式，好比經過軟件控制多個手機，可使用軟件修改手機信息，還能經過代理IP不斷更換IP地址，這樣薅羊毛的效率大大提高。

全部問題都解決以後，就是羊毛黨的地下盛宴，羊毛狂歡。領到各類優惠券後，再經過各類渠道把優惠券銷售出去。那麼如何反擊呢？

                                       技術反擊：人工智能動態反做弊系統

網易雲易盾的技術專家劉慶接受採訪時表示，爲了增長破解難度，提升做弊成本，如今很多企業會將客戶端和服務端的通訊數據進行加密，這樣作確實能夠提升破解成本。但通常的數據加密方案，對於專業的黑客來講，可能也就是多花幾小時的破解時間而已。以他們多年來積累的防控經驗，他們總結了下面一套方法。

動態數據保護

一種可讓破解者退而卻步的方案是：設計一個動態的加密算法，每套加密算法有本身的生命週期，即便黑客破解了這套算法，我們實際已經切換到下套算法，所以，黑客的破解也將毫無用武之地，必須從新破解才行。固然，這個方案還必須配合APP或SDK加固才能活得長久，至關因而給動態算法再加上一層保護殼。

設備指紋追蹤做弊設備

據劉慶透露，設備指紋是防薅羊毛的重要手段，若是能準確標記薅羊毛的設備，實際上對羊毛黨來講是一個重大的打擊。然而，目前市面上已經出現了各類改機軟件和模擬器，能不斷修改設備信息，讓通常的設備指紋一無可取。但網易雲易盾擁有一批專業的客戶端安全團隊，他們已經研究出了一系列的黑科技，能確保拿到底層的設備信息，能免疫目前存在的改機軟件和模擬器。同時網易雲易盾也沉澱了豐富的設備檢測模型，能精確區分正常設備和做弊設備。

行爲建模鑑別真假用戶

人和機器是兩類事物，機器的行爲老是有規律可循的。能夠經過人工智能對觸摸、陀螺儀的數據，以及瀏覽器上的鼠標移動、點擊等行爲，結合設備指紋、業務場景等進行建模分析。網易雲易盾已經積累了很是豐富的人和機器的樣本數據，訓練出了高準確率的行爲模型，能有效識別機器行爲。

IP畫像防止誤殺真實用戶

若是簡單依靠IP來制定規則，則可能會誤殺正經常使用戶，畢竟大公司的員工都是共用一個或幾個出口IP，再加上移動基站、公共wifi等共用網絡資源，簡單的IP規則可能致使大量的誤殺。而實際，專業的羊毛黨都會使用代理IP池技術，一個IP可能就使用幾回，直接繞過IP層面的規則。

但能夠從另外個角度出發，就是對一個IP從網絡層面和業務層面作畫像，並經過評分模型，給每一個IP輸出一個風險值，基於動態更新的風險值來創建各類業務規則，能夠有效識別做弊IP，同時儘量的減小對正經常使用戶的誤殺。

機器學習識別羊毛黨團夥做案

除了修好城牆以外，也須要主動出擊。結合無監督學習+有監督學習方法來發掘羊毛黨團夥做案的網絡模型，下圖是一個典型的關聯網絡圖。

 

                            圖注：關聯模型圖

首先，能夠基於用戶在一段時間內全部業務相關的數據創建關係鏈，這些關係鏈將構成一個總網絡；而後，搜索網絡中的全部子網絡，進行連通圖分割；其次，遍歷每一個子網絡，獲取網絡標籤，挖掘網絡特徵；最後，經過機器學習構建識別羊毛黨的網絡模型。

風險名單庫識別做弊用戶快準狠

基於長期的業務數據和反做弊數據，能夠積累出各種風險名單庫，好比：手機號、設備、帳號等等。風險名單庫主要包含黑名單和灰名單，網易雲易盾經過多年和羊毛黨的鬥爭，已經積累了千萬級的風險名單庫。

那麼，從規則的角度來講，又該如何防範？

運營反擊：從內部配合到規則設定的建議

1、活動運營忌單打獨鬥 多與安全及技術部門溝通

網易雲易盾運營專家建議說，不管產品拉新，仍是節日大促，其實搞活動的部門都須要和技術部門的同事以及安全運營部門聯手，不少創業公司都沒有這樣的意識，你們都要嚐到苦頭，公司損失上百萬以後纔會意識到事態的嚴重性。一般，活動部門只從本身作活動可能會產生的熱度、活躍度的角度考慮，而非從實際效果和風險角度去考慮。這對公司最後是很是不利的，可能熱度是有了，但錢被羊毛黨薅走了，真實用戶活躍度沒有提高，活躍的都是刷單用戶。

建議作活動以前多跨部門溝通，或者找反做弊解決方案提供商，先評估帳號質量，作活動以前把全部名單先拉出來檢測，若是企業並無作歷史黑名單紀錄，那麼能夠找反做弊解決方案提供商，他們會本身沉澱各個場景下的黑名單庫。

2、產品設計漏洞排查

好比有的產品設置購買場景是這樣的：1次購買金額達200元便可包郵，但平臺方有不一樣的倉庫，一次購物會產生兩個訂單。那麼這就給了羊毛黨可乘之機，好比用戶只想買100塊錢的洗髮水，還須要100就能免郵費。那麼用戶就會同時買這兩件商品，但由於是在不一樣倉庫，因此分紅了兩個訂單，那麼用戶就能夠分開退掉不想要的貨物，但包郵目的達到。這一漏洞一旦被大boss發現，就會批量操做。致使有的商品瞬間訂單量上來，運營超級開心，不一下子發現，全都退貨了，短期內實用戶還買不到商品，基本就是屬於這種狀況。

3、活動規則兌換條件

在作活動以前，要設置好規則，好比對優惠券使用的次數上限進行了限制，對兌換規則進行設定。具體規則設置因具體活動而異，前期多思考活動規則，會讓後期少了許多麻煩，不至於緊急撲火。在活動玩法上能夠規避許多風險。不然極可能致使有的商品庫存原本就不多，結果平臺上的商品都被瞬間刷完了，真正想買的人買不到。對整個部門影響很大。

4、實時監控 及時發現異常

實時監控有什麼好處呢？在這裏給你們分享一個實際的案例。一個黃牛黨某天去物流中心取尿不溼，一去就有種霸道總裁承包了所有尿不溼的架勢，說「這些尿不溼通通都是我一我的的」，快遞員很不屑，就說怎麼可能這些都是你一我的的，地址和姓名都不同，你要出示一下身份證，證實都是你的，不然不能拿走別人的東西。那個黃牛黨就比較不耐煩，說「我就是讓人網上幫我刷的」。

如今黃牛黨填的都是假地址，無需填寫具體哪一個區，只要到了這個城市，他就有辦法搞定這些貨物，有人會和快遞合謀拿到貨物。

這個事情怎麼發現的呢？就是網易雲易盾實時監控的同事，發現物流的訂單異常，告訴你們，因而發現了這羣黃牛黨。

寫在最後

與羊毛黨的戰爭是一個動態博弈的過程，不管從技術角度仍是運營角度，都須要及時更新，利用最新技術以及龐大的數據庫去保障企業利益和真實用戶利益。不斷學習，升級打怪。

 

原文地址：http://mp.weixin.qq.com/s/aZZP1vHrq9PcA2kfQs175A

 

瞭解 網易雲 ：
網易雲官網：https://www.163yun.com/
新用戶大禮包：https://www.163yun.com/gift
網易雲社區：https://sq.163yun.com/