關於薅羊毛風控對抗的思考總結

本文主要根據《薅羊毛產業報告》內容和實際工做中的經驗進行的一些思考。
首先思考一個問題，對於一個黑產來講，要想經過薅羊毛獲取必定的收益，至少知足如下一個或者幾個點：

• 發現能夠薅羊毛的羊；
• 有足夠多的帳號；
• 能夠進行自動化的操做；

羊毛出在羊身上，羊多是商家的推廣活動(領劵，抽獎，滿減，送話費，沖流量等等），若是這些活動存在業務或者安全上的漏洞，本來的薅羊毛行爲可能會演變成放羊血的行爲，羊甚至由於失血過多而死亡，此種示例也不鮮見。

通常狀況下，一個帳號能薅到的羊毛有限，黑產能夠經過註冊大量的帳號來薅，而後經過匯聚，變現等手段積小成大。另外，不管是註冊帳號，仍是後續的薅的行爲都須要藉助自動化的操做，才能在短期內薅足大量的羊毛。

薅羊毛行爲已經從單人發展到羣體化、規模化，造成了薅羊毛團夥和 一條完整的產業鏈。如今平臺也開始愈來愈重視薅羊毛的危害性，每每會採起一些對應的防範措施。針對廠商的風控策略，羊毛黨主要從如下幾個方面展開對抗。

• 接口層面的對抗；
• 設備層面的對抗；
• 用戶層面的對抗；

展開來講明一下：

接口對抗

1. 自動化操做主要是程序來請求接口來模擬用戶行爲來實現的，在沒有任何防禦的狀況下，黑產能夠經過抓包來模擬用戶請求，實現批量化操做。
2. 風控端能夠經過加簽，body加密對接口進行保護，在沒有獲取到加密算法的狀況下，黑產就直接模擬用戶請求了。（此時若是存在可重放攻擊的漏洞，就不須要解密了）
3. 黑產經過逆向來獲取加密算法來破解；此時接口保護，就變成逆向與反逆向，混淆與返混淆的對抗了。
4. 若是經過模擬接口這條路已經被封的很嚴，還能夠經過羣控設備，按鍵精靈等繞過模擬接口，進行自動化操做；

設備對抗

目前大量的風控規則都是針對於設備層面的，好比一個設備登錄N多帳號就會被斷定爲異常行爲，好比有些拉新的活動會識別是否爲新設備。

那麼黑產如何繞過呢？主要仍是經過改機工具，這樣一個老設備就能夠被識別成新設備了。

1. 經過劫持系統函數，來對設備信息進行篡改，很明顯這須要root權限。依次來繞過設備指紋有關的風控策略。因此在平臺上埋點的設備指紋，若是發現root的機器要提升警戒；
2. android：xposed框架；
3. IOS：cydia框架；
4. 模擬器：當前發展的高級形式，黑產逐步轉向自制的ROMandroid模擬器。這些模擬器具備一鍵新機的功能，每次啓動全部的系統參數都會隨機發生變化，同時由於沒有安裝hook框架，因此比較難以識別；

用戶對抗

上文已述，黑產須要掌握大量的帳號。目前大部分系統的註冊都須要綁定手機號，並且註冊接口須要手機驗證碼和滑塊驗證碼等一系列驗證手段.

1. 貓池：批量管理手機卡的軟件，能夠設置對應的手機號、自動讀取短信、發送短信、撥打指定號碼、批量設置呼叫轉移等。好比酷卡軟件收到的短信會放到mdb文件中，配合其餘軟件能夠自動讀取和識別短信驗證碼；
2. 卡商：大部分是從運營商內部流出來的，有的時效很短，只能收發短信等。
3. 接碼平臺：協助進行收集驗證碼消炎；能夠提供API的方式，對接到自動化腳本和自動化工具中，實現批量化註冊；
4. 打碼平臺：能夠採用機器學習或者人肉打碼，解決驗證碼驗證問題；