風控和黑產的關係有點像人體組織裡面的各種細菌,可能我們並不能很好地把他全部殺滅掉,但是我們的免疫系統可以把他控制在一個預警值內,他就是相對來說就是沒什麼影響的,超過這個預警值人就要生病。
11月18日,騰訊安全團隊在北京舉辦了一場“騰訊安全雙十一媒體沙龍”,由騰訊安全團隊的兩位行業專家介紹了在熱鬧的電商交易背後發生的對抗黑灰產的經驗和故事。
在騰訊安全高級產品經理江慧敏的介紹中,電子商務目前已經成為所有行業中僅次於遊戲的DDOS攻擊重災區。IoT物聯網設備也往往會被利用進行DDOS攻擊,導致發動攻擊的肉機越來越大,目標的服務器因處理不了大量的請求,而最終癱瘓。
另外,遭遇到CC攻擊、惡意爬蟲,也會導致電商平臺在正常大促期間,出現APP白屏等情況。一些惡意攻擊會拿到電商平臺發送短信的網關接口,利用其向不同的手機號碼發送“短信炸彈”,導致一些用戶在短時間內收到大量驗證碼短信,給平臺的運營帶來影響。利用惡意爬蟲,一些黑產會在大促的時候收集性價比高的特價商品、秒殺商品等信息,並利用程序進行搶單,導致正常用戶難以搶到。
在做好基礎安全的同時,電商平臺因其業務的特殊性,也會成為羊毛黨、黃牛黨的“薅羊毛”目標。騰訊安全團隊也同樣在業務安全領域付出了大量的努力。騰訊安全總監郭佳楠在分享中就具體介紹了騰訊安全團隊如何與黑產相愛相殺。
以下為郭佳楠的分享整理:
大家好,我們騰訊天御是做業務方面的安全防控,主要關注羊毛黨、黃牛黨等,相對基礎安全來說,業務安全會跟黑產直接對行。
我今天下午的演講會分為幾個部分。第一部分,我們首先講一下羊在哪裡,第二部分我講一下,如果我是黑產我一般會怎麼做。第三部分,如果我在騰訊,我怎麼跟黑產對著幹。分享一下我們跟黑產相愛相殺的故事。
01|羊在哪?
不管是線下的零售業務,還是線上的零售業務,實際上都面臨一個比較大的組織流程的重造。以前零售業務是以場為中心,人貨場在場中間進行組織。我們到線下要去一個物理網點,線上我們要去一個專門的網站,或者是去一個APP。現在越來越變成以人為中心,我們很多的電商交易會出現在(更豐富地場景中),比如說大家瀏覽的文章中會有一些鏈接可以直接進行交易。
整體來說,以場為中心開始向以人為中心轉變,就產生了一系列的變遷。以場為中心,既然我來控場,我的安全會在一個堡壘下面,我對進場的所有業務請求會很仔細地辨別他的安全性。以人為中心,今天的業務走到堡壘外面去了,我不知道我會遇到什麼人,我遇到的可能是好人,可能是壞人,我要有更精密的分辨能力,來判斷今天是不是可以和這些用戶發生業務聯繫,從安全向風控轉型。這個就是羊在哪裡故事的源起。
我剛才說整個零售業務要薅羊毛,最重要的前置條件是什麼?前提就是得有羊,這也是我們業務安全的前提。我們經常聽到有一些場景,比如說XX寶被薅了,XX東被薅了,XX寧被薅了,應該沒有人聽說過蘋果被薅了,為什麼?蘋果的手機有沒有被薅羊毛?為什麼羊存在就有薅羊毛的可能性?
蘋果的手機一買一賣,不會補貼,也沒有任何的營銷措施,誰來都是一樣的價錢,換句話說蘋果就是一個鐵公雞,他沒有毛,大家也不能薅他。為什麼會聽到一些電商平臺被薅羊毛了?原因就是在他們的業務組織架構中間,不是一個兩兩交換的關係。
比如說我買一個東西,這個東西標價5塊錢,客戶掏5塊錢買這個東西,但是平臺為了讓自己的營收,或者數據增長得更快,往往會補貼兩塊錢在這個交易中間。這兩塊錢的營銷費用,其實就是真正的羊,是黑產,還有其他的有一些別有用心的人,想要薅的。
今天我準備這個話題的時候,也在想一個事情,我用什麼東西來比喻今天的風控和黑產團伙呢?我想了一下,有點像人體組織裡面的各種細菌,可能我們並不能很好地把他全部殺滅掉,但是我們的免疫系統可以把他控制在一個預警值內,他就是相對來說就是沒什麼影響的,超過這個預警值人就要生病。
但是我們要殺死所有的細菌,做到無菌環境成本太大了。我們真正做業務安全是風控,我能夠控制他有一個很好的狀態。這就是我前面講的一個部分,羊在什麼地方。
02|黑產怎麼做?
下面我開始變身了。我是一個黑產,我怎麼薅這些羊毛呢?如果是黑產的話,基本上我作弊的手段會有很多,但是萬變不離其宗,就是這麼三條:第一,欺詐前準備各種物料做準備;第二,在業務上做實施,得到他對應的利益;第三,把對應的利益變現。
做欺詐準備。如果我是一個黑產團伙,對我來說要做做兩大部分的準備,還有幾個小部分的準備。兩大部分準備是什麼呢?首先我要準備很多的設備,因為設備是欺詐之母,賬號是欺詐之父,我有這些賬號可以實現一個人偽裝成幾萬、幾十萬、幾百萬用戶的目的。
怎麼準備很多的設備呢?我用最土的辦法,直接在我的電腦上模擬一萬臺手機,用虛擬機,用各種各樣的設備。如果對方的攻防能力強,我就在黑市上面收購一些比較差的蘋果機器,做一個手機牧場把他養起來。
我知道你判斷我機器核心的點,看我機器裡面每一個號,設備指紋,我就直接把機器ROOT掉,讓一臺真實的機器偽造成一萬臺機器。我可能知道你們在攻防的時候看我IP是不是在一個地方,我自己會準備一個秒撥IP的設備。我還知道你們可能會看我的地址信息,我用地址軟件不停的變化。我用很小的成本,複製很多設備的目的,就做完我前面欺詐準備的第一部分,準備設備。
因為很多的電商網站,或者其他的業務都是靠手機號註冊的,下一步我會準備手機號。今天在中國所有的手機號都是實名制,一個實名的手機號很貴,準備不起來,也比較麻煩,如果不能產生規模經濟,黑產也不會幹這個事。
怎麼準備這些虛假的,或者黑產的手機號呢?會有幾個方法。第一個方法,我跑到越南去買,因為中國和越南的邊境上面有一些手機號不是實名制的,但是可以流到越南去,我就去買。第二,我可以買虛擬的小號,現在黑市上還流通了一些虛擬號的號段,這個可以買。第三,我還可以買IoT設備的號,最重要的就是隻要可以收一個短信就可以。
反正就是經過我這一套組合拳以後,我有設備了,我有賬號了,我可以防你們判斷我的IP,防你們判斷我的地址,我就可以幹活了。我怎麼幹活呢?我每天研究各種各樣網站上面的營銷活動。我最喜歡什麼活動呢?就是發優惠券的活動,不管是有門檻的,還是沒有門檻的,一旦被我發現這個地方有優惠券,特別是新人領券,就拼命的註冊,把券領了,就是第二步欺詐實施。
我也不會自己一個一個點開註冊,會開發自動化的腳本工具。看你在第幾個頁面,然後點這個頁面的中間一張就可以領這個優惠券,把我的小號、設備全部都放在一個自動化腳本里面,只要你這個業務開始讓我領,我就會拼命的一次性領百八張都有可能。這是領券。
現在我變成一個有很多的賬號,每個賬號裡面都有一個新人優惠券的大佬,我得實現變現,才能走上人生的巔峰。我怎麼完成變現的動作呢?第一個點,我直接把這個賬號在電商平臺上賣,假如我的成本是一分錢,我賣兩塊錢,別人付錢就可以花他,我就賺了兩塊錢。這是第一種辦法。但是這個辦法比較麻煩,為什麼呢?因為我自己還得開一個店才能賣這個。
第二是平臺類業務,就比如說做酒旅業務的OTA的網站,他是專門做酒店或者機票預定的,他發新人優惠券也被我看到的,全領到我手上,幾萬份。我怎麼樣快速的把這個錢變到我的口袋裡來呢?中級的黑產會跟旅行社合作,虛買虛賣,去買根本沒有的產品,拿平臺的優惠券到旅行社上套現。
高級的黑產會自己在上面開一個假的旅行社,弄一個假的酒店,將我所有的優惠券都訂我這個酒店的房間。最後結賬的時候,平臺就會把補貼的錢放到我的口袋來。因為這樣做都是我一手搞定,不用麻煩別人。這就是變現的手段。
當然,黑產的做法還有很多。比如說雙十一的時候我開一個糖果店,我開一個蘋果店,我覺得你一直壓著我做生意,這樣不好,怎麼辦呢?我找一些黑產拼命下你這邊的訂單,讓真正的用戶下不成單。這就看不同的利益在哪裡。
還有一些黑產跟店主是同一個人,他怎麼幹呢?我剛剛在某寶上面開了一個店鋪,我的名氣也不大,我的成交額也不多,這樣就會影響到我店鋪被搜索到的概率,也會影響到客戶對店鋪的信任度,一看一星的賣家,比不上五冠的。我自己就偽造一個商品,找一些刷單的,然後賣給他,讓他們給我好評。
整體黑產他的行為是萬變不離其宗,就是這三條,準備的時候各種各樣的辦法,基本上是攻防,你有這個矛,我有這個盾,彼此升級,實現我的目的。在這麼多紛紜複雜的表象下,我們怎麼看破黑產的本質呢?黑產的主要變現手段,就是通過偽造設備、真機假人、真機真人假行為、套利團伙真人真行為。他們偽造各種各樣的設備去領券,用手機牧場、真機假人去薅,假人防得也比較好的話,就由真機真人做假行為的動作來完成。
說幾個雙十一和雙十一之前我們跟一些合作伙伴一起配合打掉的案例。
這是一個廠商,他在今年8月的時候做了一個新人紅包的案例,他用老用戶邀請新用戶,老用戶和新用戶都可以得到優惠券,以老帶新,能夠實現對應的營銷目的。之前這也是一個很常見的業務,做的也還算不錯。
但是他在業務開展的過程中間,有一天突然跟我們告急發現他的新用戶發券數量莫名其妙地漲了十幾倍。他就找我們業務安全的同學跟進這個問題。當時我們很仔細地幫他看了所有的鏈路,我們也覺得沒有問題,因為領券要實名認證,門檻很高。
但是就在我們幫他梳理這個事情的時候,突然發現這個電商平臺有兩種客戶,一種是個人客戶,一種是企業客戶,個人客戶領券的時候要求實名認證。但是他們自己做業務,有的時候一個業務放下去需要很多部門執行,其他部門執行的時候就走樣了,把老帶新的活動放到了企業用戶裡面去,因為企業本身是個賬號,並不用完成實名認證,所以他就很容易做老帶新的動作。
然後,被黑產發現了這樣的入口,就有大量的黑產通過企業用戶的邀請入口,突破了邀請機制的環節,在做這個新老客戶綁定的動作。同時黑產早期也做了各種註冊登陸的行為,在做大促的幾天,基本上一天的新增用戶是210萬,其中40%是黑產。當然,我們後面上了很多措施幫他防住了這些事情,這是分享的第一個故事,紅包。
第二個故事,是一個高端酒的故事。有一個廠商得到了150噸的茅臺配額,很高興,這個高端酒太棒了,影響力也很大,不管是老用戶維護,還是新用戶拓展,都很適合。因為這個酒售價是1499元,市場上面一般賣2000元多,這個地方實際上存在一個比較大的差價,很多人就很有購買衝動。
他們就想了一招,在我這個商城上面買這個茅臺酒,我就按照1499元賣給你,但是你必須要兌換資格。這個資格是我們客戶設置了一個XX通的積分,要5000積分才能有資格賣這1499元的茅臺,5000積分要在商場上買5000的商品才能完成。客戶做完這個門檻設計以後覺得很好,商品比較有吸引力,怎麼也得帶來很大的營銷的收入。
但是他們做完這個業務以後,發現並沒有那麼多人得積分,卻總有人用積分換他們茅臺酒,他不知道是什麼原因。客戶也是找到我們,我們很仔細的幫他梳理了所有的業務,最後發現的點是什麼?這個廠商是一個很大的國企廠商,他們有很多的分支業務,有線下的,有線上的,甚至還跟有航空公司有關係的。中間就有一個業務是,這個廠商的積分可以通過一些東西,比如酒店積分、航空里程,來兌換。
設置的5000積分門檻,因為關聯來關聯去,就被黑產很快找到漏洞突破了。黑產買了一些航空里程的積分、酒店的積分,來換他這個積分,用這個積分自己做了一個搶購的自動化腳本,然後批量的下單,為了能夠把酒提回來,還自己做了一個眾包的分單軟件。黑產在市場上面賣2499元,中間買積分20塊錢,搶購工具200塊錢,100塊錢被牛頭賺了,100塊錢被黃牛賺了。
消費者不能夠在這個商城上面搶對應的茅臺酒,反而是被底下的黃牛用他創造的各種手段搶了。這是我們第二個故事茅臺。
第三個故事刷單。電商都有刷單三連擊,如果他是一個新來的商家,他有很強的衝動,給自己刷單,發空包裹,然後讓自己的好評、銷量上去。這是最初級的,就是刷好評,刷銷量。
很多的電商平臺可以返現,比如每個賬號返現500塊錢人民幣。他們自己開一個商店賣東西,為了偽裝得好一點,一般賣課程、虛擬卡等可以空中發貨的東西。每個人在那個地方刷25000塊錢,最後返現結賬,這25000塊錢就是左口袋到右口袋,最後掏了平臺2%的返現費,中間再付一點手續費給刷手。這是第二種刷返現。
第三種在平臺上面他是真實刷的,其實賣一些比較多的付費課程,他通過信用卡來刷,商家把錢返給他,這樣比他直接在信用卡上套現的手續要低很多,這些行為其實是有點擾亂平臺的正常運營秩序,甚至擾亂金融秩序,是不被允許的。
03|騰訊怎麼防?
剛才講了黑產是怎麼幹的,我再講一下我們天御是怎麼做的。我們騰訊天御整體來說是業務安全方面的產品輸出者。我們會輸出一整套業務安全的防控體系,這是我們的PAAS平臺。我們在這個地方有特別的設計,其他的友商所有的決策都在同一層上做決策,我們天御不一樣,我們把他分成可信層、風險層、決策層、保障層四層,這是第一點。
第二點,我們可信層的設計是比較強的,我們認為一個正常的用戶下單,一定在自己常用的IP,常用的設備,常用的網絡和常用的地址之間做常見的行為,這樣才是可信的。除此之外的所有行為都不是可信的。我們在這個事情上面,用9億賬號、30億設備,在雲上面畫了一個大的知識圖譜,在裡面構建可信網絡。今天黑產的各位小夥伴們,他們都很難通過騰訊的可信成本判斷。
基本上過了這一點,我們認為85%的欺詐行為,可以在這一層被識別,剩下15%會在風險層級別,決策層做最合適風險判斷,最後是保障層,綜合會形成整個黑產攻防體系的閉環的流程。我們有一些輕量化的方案,比如說我們的賬號安全保護、人機識別、營銷活動保護等等,我們通過騰訊的大數據、AI算法,幫他發現是不是風險的請求,風險等級有多高,來做這塊的判斷。
我上面舉的這些例子,其實都用了我們對應的不管是平臺還是產品,很好的幫他們做了對應的業務安全的防護,也幫他們最小化的減少了止損。
閱讀更多 新商業情報NBT 的文章
