0
喝杯白酒,交個朋友。
趁著“雙十一”,雷鋒網給你們介紹一個由熱心群眾爆料的某高端白酒慘案。
一個線下賣場商家 H 今年拿到了某高端白酒渠道 150 噸的配額,恰好 H 想推廣自己的線上平臺,營銷人員早就聽聞黑產惡意薅羊毛的事件,心里有點怕怕的,于是想了個“線上預約-線下提貨”的招,讓買賣回歸自己的線下主場,這樣又能吸引更多新用戶參加線上平臺的活動,一舉兩得,心里美滋滋。
萬萬沒想到,H 被自己開發的線上平臺活動給坑了。
這個平臺有個積分兌換高端白酒的活動,但出現了營銷漏洞,導致 1499 的積分只要 5 塊錢就能買到。黑產發現以后,輕松以 5 塊錢的價格買了一瓶高端白酒,隨后又囤積了海量積分兌換高端白酒的資格。
一車車高端白酒以極其便宜的價格駛向了黑產的口袋,只剩商家在風中凌亂。
說好的線下是自己的主場呢摔!
H 遇到了一瓶白酒引發的慘案,還有其他電商也這么悲催地在“買買買”的大促活動中不幸被黑產打得鼻青臉腫嗎?如果大家都是苦命人,有沒有懟回去的可能性?
雷鋒網邀請了一位風控老師傅進行一場關于電商營銷風控的誠意問答。
郭佳楠:黑產一般提前半年做潛伏準備,主要是備賬號、備作弊物料,然后集中領券,集中變現。
▲黑產產業鏈條 圖片來源:騰訊安全
他們主要利用黃牛、羊毛等攻擊手段,不斷試探平臺的漏洞,這些漏洞分成兩種: 運營活動設計漏洞、風控的漏洞。
第一種,不論平臺有沒有漏洞,只要平臺被黑灰產盯上,在雙十一之前,黑產都會用新手機號注冊海量賬號,領取平臺的活動優惠券,集中購買某種產品,再尋找優惠券的規則漏洞,比如滿減活動中“滿100-20”,黑灰產買到后批量退貨,因為產生了退款,平臺只能返給他一個不需要滿減的 20 元優惠券,黑產又用 20 元優惠券去買二十一塊錢的商品,因此,實際上黑產只要花一塊錢就可以買到原本 20 塊錢的東西,或者他會批量把這些券賣掉,賺取利益。
第二種,一些商家做了大轉盤活動,但準備時間短,考慮不周全,一個正常賬號一天可以玩三次,但是黑灰產發現了轉盤背后的邏輯,一個人玩了 40 多萬次,把所有獎品薅走,這就是利用了規則的漏洞。
如果你發現自家平臺的注冊用戶突增,但這些用戶沒有進一步行為,活躍時間只有一秒,或者只在整點活躍,那么這個平臺就要注意了,這是“狼來了”的征兆。
郭佳楠:以一個商超親歷的真實事件舉例,這家商超以前只做線下賣場,后來它做了線上小程序,又開展了新業務,為了吸引新客戶,它做了新客戶滿減等促銷活動,這種突然從傳統線下轉到線上的廠商容易被黑產盯上,黑產通過虛假手機號注冊海量新帳號,并集中購買容易變現的產品,比如電話卡,再通過線下渠道轉賣,批量套取平臺的優惠。
為什么會遇到這種慘案?
傳統零售商轉型面臨的最大問題是客戶變了。以前是一個客戶實打實地走到物理環境中買一桶油,只要內部人員沒有作弊,這種買賣操作基本沒問題,但是轉到線上后,它的客戶只是互聯網上的一個帳號,一串代碼。帳號背后是真正的人還是被偽造的“人”?最大的欺詐就來源于這里。
傳統零售商對于互聯網上的用戶,沒有太多經驗,沒法分辨真假用戶,也沒什么風控措施,而且風控平臺難建設,零售商業務成長到中期時才會籌建安全團隊,有了安全團隊才會去建設風控中臺、設備指紋,才會有風險運營和風控專家,這些人才會基于風控規則防控黑產的攻擊者,能走到這一步的話,它在互聯網上已經玩得很6了。業務優先,業務安全靠后是一般廠商考慮的點。
自己籌建團隊很難,因此傳統零售商轉型時才會找安全廠商來做業務風控。
這是需要成本的,風控是個無底洞,某互聯網廠商每年在安全上的投入是20億人民幣, 70%人是安全團隊,騰訊在安全上的投入也是不惜一切的。但是,第一,一般的傳統廠商沒有能力去做這么龐大的安全體系。第二,網絡黑產變化太快,傳統廠商如果沒有廣而深的安全團隊,根本無力抵抗。
郭佳楠:黑灰產最早的運作方式是假機、假人、假行為,也就是他們會在自己設備上安裝模擬器,通過模擬上萬個設備頻繁登陸完成攻擊;而現如今黑灰產的攻擊招式已進化為“真人、真機、真行為”,通過欺詐或指向性引導騙取零售電商的實際用戶進行非真實意愿的操作,以成為其賺取利益的工具。羊毛黨、黃牛黨、打碼黨以及小程序網賺黨、網賺團隊欺詐等就是這一方式的“熟練玩家”。
黑產從各個平臺招兼職,也就是黃牛黨的“肉牛”,“牛頭”會在專門分包的網站上發任務,讓“肉牛”去買對應的東西,寄給牛頭,再以做任務獎金的方式把錢返回,實現對貨源完全控制。
在搶購手機、黃金和茅臺酒上,這種手段用得比較多。
既然都是朝同一個地址郵寄,為什么不能封禁這些購買人的帳號?
因為黃牛也研究了規則,并告訴了“肉牛”如何突破規則,故意讓收貨地址變得不一樣,比如全部寫成附近的快遞站,選擇自提,再和快遞員商量好,等商品到齊,自己再開一輛車來提走所有貨物。
目前,通過大規模學習甚至 AI 算法運用,零售電商黑灰產已能輕松繞過圖形驗證碼、手機短信驗證、賬號限制和活動地區限制等傳統防刷手段。借助自動打碼平臺、貓池、接碼平臺、大量養號和秒變位置等,專業化、產業化的黑灰產已對新零售電商發起了新的挑戰。
以往黑灰產大部分都是采用 Android 設備作為攻擊工具的,比如大量養號或通過植入木馬等控制器挖礦,充當肉雞。但隨著 Android 設備指紋的大量普及,加之該類設備系統本身性能上的缺陷,黑灰產改將“黑手”伸向了 ios 設備,從黑市收購 ios 設備 root 后,利用其作為攻擊工具,在攻擊環境和效果上取得了更大的突破。
郭佳楠:第一,靠前期的信息搜集,覺察動向。
第二,利用 AI 的手段分析賬戶的歷史行為,比較周邊用戶的行為,購買的商品是否出現在歷史購買中。基本上,“肉牛”購買的商品都集中在虛擬卡、黃金等容易變現的產品,操作習慣也跟正常人不一樣,他們很可能就是直接在同一個鏈接上點擊下單,當然,現在黃牛也有各種為了讓人相信這就是真實用戶的行為規則引導,我們依然可以用無監督學習的一些方法找出“壞人”。
每個商家原有的能力不同,需要補的能力就不一樣。
像風控已經做得不錯的商家,我們就會建議用上騰訊獨特的風控建模能力,如果主業不是做安全的,但是又受套利嚴重影響的電商公司,可能還是要構建一個端對端的整體風控方案。也就是從底層的決策引擎到上面的風險數據,再朝上面建模,用智能風控中臺來解決業務安全的問題。
郭佳楠:現在,我們有一種新的對抗思路:放羊,不直接對抗,分化打擊。
比如,黑產在注冊、登錄時,或者要在到達購買路徑時的某個點上做點什么時,我們不會直接在這個點上對抗,因為一旦跟他對抗,他發現了這個點,可能就會改變自己的策略,然后安全人員又會面臨著一次攻防升級,只要不是在最后的支付環節,在其他環節上,我們都會把它放過,可能它會突然發現這個券領不了了,或者紅包領得比較少,或者是下一次登錄時,它就自動登出。我們會再把它慢慢放到我們的體系來,可能針對10% 得壞流量用一種對抗方法,對50%用另外一種方法,40%用第三種方法,逐步分化攻擊,最終黑產不知道我們是在哪發現它的,也就無法進化成一個更新的對抗。
郭佳楠:隨著零售電商企業線上與線下業務融合的不斷深化,零售電商線上平臺衍生的利益點和業務場景愈見寬廣。鑒于此,黑灰產對零售電商的覬覦也日趨體系化。
目前,黑灰產已形成了包含軟件開發與技術支持、賬號注冊與分銷、盈利變現等環節在內的產業鏈,除傳統針對基礎安全系統的短信轟炸、DDoS攻擊仍是防護的重點外,搶券、拼團砍價、黃賭毒曬單坑爹圖等業務場景下的安全問題也成為當前零售電商行業安全防護的重中之重。
與此同時,來自以刷單為主要形式的網賺團伙欺詐和作弊引流的KOL作弊等全新黑產操作方式,也給業務風控提出了全新要求,營銷風控成為零售電商黑灰產對抗的核心痛點。
郭佳楠:用戶發起的 DDoS 攻擊多集中在游戲行業,而零售電商行業遭遇的DDoS主要來源于競爭對手的攻擊。這種最簡單粗暴,不需要任何技巧的方式在商場時刻上演,別有用心的商家可以直接對競爭對手的服務器發起DDoS攻擊,導致剁手關鍵時刻競爭對手的用戶無法正常買買買,最常見的現象則是業務停擺。
在防護手段上,針對用戶發起的 DDoS 攻擊,要加固安全系統,提升防護機制;而針對競爭對手的攻擊則一般通過無監督學習等 AI 手段對購買者畫像和行為畫像兩方面進行偵測,發現異常則采取對抗措施。同時,提升流量清洗防護能力和 BGP 接入線路性能,保證電商平臺即使遭遇 DDoS 攻擊時,也不影響業務順利進行。
郭佳楠:我想送他們一本《刑法》。
**
干貨就這么結束了嗎?
并沒有呢。
你以為只有電商就遭遇了這種坑爹事嗎?作為一個報道網絡安全產業的老司機,我只想說,坑爹面前,人人平等,還有其他產業面臨著逃不過的安全問題。
因此,我們還要把這個欄目開下去,每期抱來一個重磅(當然不是指體重)產業專家,一起來聊聊產業安全這些事兒,我們給這個專欄起了個正經名字《產業安全觀察》。
至于走的是不是正經報道路線,你可以再看看下期。
如果你有特別想爆料的產業問題,歡迎聯系雷鋒網。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
