喝杯白酒,交个朋友。
趁着“双十一”,雷锋网给你们介绍一个由热心群众爆料的某高端白酒惨案。
一个线下卖场商家 H 今年拿到了某高端白酒渠道 150 吨的配额,恰好 H 想推广自己的线上平台,营销人员早就听闻黑产恶意薅羊毛的事件,心里有点怕怕的,于是想了个“线上预约-线下提货”的招,让买卖回归自己的线下主场,这样又能吸引更多新用户参加线上平台的活动,一举两得,心里美滋滋。
万万没想到,H 被自己开发的线上平台活动给坑了。
这个平台有个积分兑换高端白酒的活动,但出现了营销漏洞,导致 1499 的积分只要 5 块钱就能买到。黑产发现以后,轻松以 5 块钱的价格买了一瓶高端白酒,随后又囤积了海量积分兑换高端白酒的资格。
一车车高端白酒以极其便宜的价格驶向了黑产的口袋,只剩商家在风中凌乱。
说好的线下是自己的主场呢摔!
H 遇到了一瓶白酒引发的惨案,还有其他电商也这么悲催地在“买买买”的大促活动中不幸被黑产打得鼻青脸肿吗?如果大家都是苦命人,有没有怼回去的可能性?
雷锋网邀请了一位风控老师傅进行一场关于电商营销风控的诚意问答。
郭佳楠:黑产一般提前半年做潜伏准备,主要是备账号、备作弊物料,然后集中领券,集中变现。
▲黑产产业链条 图片来源:腾讯安全
他们主要利用黄牛、羊毛等攻击手段,不断试探平台的漏洞,这些漏洞分成两种: 运营活动设计漏洞、风控的漏洞。
第一种,不论平台有没有漏洞,只要平台被黑灰产盯上,在双十一之前,黑产都会用新手机号注册海量账号,领取平台的活动优惠券,集中购买某种产品,再寻找优惠券的规则漏洞,比如满减活动中“满100-20”,黑灰产买到后批量退货,因为产生了退款,平台只能返给他一个不需要满减的 20 元优惠券,黑产又用 20 元优惠券去买二十一块钱的商品,因此,实际上黑产只要花一块钱就可以买到原本 20 块钱的东西,或者他会批量把这些券卖掉,赚取利益。
第二种,一些商家做了大转盘活动,但准备时间短,考虑不周全,一个正常账号一天可以玩三次,但是黑灰产发现了转盘背后的逻辑,一个人玩了 40 多万次,把所有奖品薅走,这就是利用了规则的漏洞。
如果你发现自家平台的注册用户突增,但这些用户没有进一步行为,活跃时间只有一秒,或者只在整点活跃,那么这个平台就要注意了,这是“狼来了”的征兆。
郭佳楠:以一个商超亲历的真实事件举例,这家商超以前只做线下卖场,后来它做了线上小程序,又开展了新业务,为了吸引新客户,它做了新客户满减等促销活动,这种突然从传统线下转到线上的厂商容易被黑产盯上,黑产通过虚假手机号注册海量新帐号,并集中购买容易变现的产品,比如电话卡,再通过线下渠道转卖,批量套取平台的优惠。
为什么会遇到这种惨案?
传统零售商转型面临的最大问题是客户变了。以前是一个客户实打实地走到物理环境中买一桶油,只要内部人员没有作弊,这种买卖操作基本没问题,但是转到线上后,它的客户只是互联网上的一个帐号,一串代码。帐号背后是真正的人还是被伪造的“人”?最大的欺诈就来源于这里。
传统零售商对于互联网上的用户,没有太多经验,没法分辨真假用户,也没什么风控措施,而且风控平台难建设,零售商业务成长到中期时才会筹建安全团队,有了安全团队才会去建设风控中台、设备指纹,才会有风险运营和风控专家,这些人才会基于风控规则防控黑产的攻击者,能走到这一步的话,它在互联网上已经玩得很6了。业务优先,业务安全靠后是一般厂商考虑的点。
自己筹建团队很难,因此传统零售商转型时才会找安全厂商来做业务风控。
这是需要成本的,风控是个无底洞,某互联网厂商每年在安全上的投入是20亿人民币, 70%人是安全团队,腾讯在安全上的投入也是不惜一切的。但是,第一,一般的传统厂商没有能力去做这么庞大的安全体系。第二,网络黑产变化太快,传统厂商如果没有广而深的安全团队,根本无力抵抗。
郭佳楠:黑灰产最早的运作方式是假机、假人、假行为,也就是他们会在自己设备上安装模拟器,通过模拟上万个设备频繁登陆完成攻击;而现如今黑灰产的攻击招式已进化为“真人、真机、真行为”,通过欺诈或指向性引导骗取零售电商的实际用户进行非真实意愿的操作,以成为其赚取利益的工具。羊毛党、黄牛党、打码党以及小程序网赚党、网赚团队欺诈等就是这一方式的“熟练玩家”。
黑产从各个平台招兼职,也就是黄牛党的“肉牛”,“牛头”会在专门分包的网站上发任务,让“肉牛”去买对应的东西,寄给牛头,再以做任务奖金的方式把钱返回,实现对货源完全控制。
在抢购手机、黄金和茅台酒上,这种手段用得比较多。
既然都是朝同一个地址邮寄,为什么不能封禁这些购买人的帐号?
因为黄牛也研究了规则,并告诉了“肉牛”如何突破规则,故意让收货地址变得不一样,比如全部写成附近的快递站,选择自提,再和快递员商量好,等商品到齐,自己再开一辆车来提走所有货物。
目前,通过大规模学习甚至 AI 算法运用,零售电商黑灰产已能轻松绕过图形验证码、手机短信验证、账号限制和活动地区限制等传统防刷手段。借助自动打码平台、猫池、接码平台、大量养号和秒变位置等,专业化、产业化的黑灰产已对新零售电商发起了新的挑战。
以往黑灰产大部分都是采用 Android 设备作为攻击工具的,比如大量养号或通过植入木马等控制器挖矿,充当肉鸡。但随着 Android 设备指纹的大量普及,加之该类设备系统本身性能上的缺陷,黑灰产改将“黑手”伸向了 ios 设备,从黑市收购 ios 设备 root 后,利用其作为攻击工具,在攻击环境和效果上取得了更大的突破。
郭佳楠:第一,靠前期的信息搜集,觉察动向。
第二,利用 AI 的手段分析账户的历史行为,比较周边用户的行为,购买的商品是否出现在历史购买中。基本上,“肉牛”购买的商品都集中在虚拟卡、黄金等容易变现的产品,操作习惯也跟正常人不一样,他们很可能就是直接在同一个链接上点击下单,当然,现在黄牛也有各种为了让人相信这就是真实用户的行为规则引导,我们依然可以用无监督学习的一些方法找出“坏人”。
每个商家原有的能力不同,需要补的能力就不一样。
像风控已经做得不错的商家,我们就会建议用上腾讯独特的风控建模能力,如果主业不是做安全的,但是又受套利严重影响的电商公司,可能还是要构建一个端对端的整体风控方案。也就是从底层的决策引擎到上面的风险数据,再朝上面建模,用智能风控中台来解决业务安全的问题。
郭佳楠:现在,我们有一种新的对抗思路:放羊,不直接对抗,分化打击。
比如,黑产在注册、登录时,或者要在到达购买路径时的某个点上做点什么时,我们不会直接在这个点上对抗,因为一旦跟他对抗,他发现了这个点,可能就会改变自己的策略,然后安全人员又会面临着一次攻防升级,只要不是在最后的支付环节,在其他环节上,我们都会把它放过,可能它会突然发现这个券领不了了,或者红包领得比较少,或者是下一次登录时,它就自动登出。我们会再把它慢慢放到我们的体系来,可能针对10% 得坏流量用一种对抗方法,对50%用另外一种方法,40%用第三种方法,逐步分化攻击,最终黑产不知道我们是在哪发现它的,也就无法进化成一个更新的对抗。
郭佳楠:随着零售电商企业线上与线下业务融合的不断深化,零售电商线上平台衍生的利益点和业务场景愈见宽广。鉴于此,黑灰产对零售电商的觊觎也日趋体系化。
目前,黑灰产已形成了包含软件开发与技术支持、账号注册与分销、盈利变现等环节在内的产业链,除传统针对基础安全系统的短信轰炸、DDoS攻击仍是防护的重点外,抢券、拼团砍价、黄赌毒晒单坑爹图等业务场景下的安全问题也成为当前零售电商行业安全防护的重中之重。
与此同时,来自以刷单为主要形式的网赚团伙欺诈和作弊引流的KOL作弊等全新黑产操作方式,也给业务风控提出了全新要求,营销风控成为零售电商黑灰产对抗的核心痛点。
郭佳楠:用户发起的 DDoS 攻击多集中在游戏行业,而零售电商行业遭遇的DDoS主要来源于竞争对手的攻击。这种最简单粗暴,不需要任何技巧的方式在商场时刻上演,别有用心的商家可以直接对竞争对手的服务器发起DDoS攻击,导致剁手关键时刻竞争对手的用户无法正常买买买,最常见的现象则是业务停摆。
在防护手段上,针对用户发起的 DDoS 攻击,要加固安全系统,提升防护机制;而针对竞争对手的攻击则一般通过无监督学习等 AI 手段对购买者画像和行为画像两方面进行侦测,发现异常则采取对抗措施。同时,提升流量清洗防护能力和 BGP 接入线路性能,保证电商平台即使遭遇 DDoS 攻击时,也不影响业务顺利进行。
郭佳楠:我想送他们一本《刑法》。
**
干货就这么结束了吗?
并没有呢。
你以为只有电商就遭遇了这种坑爹事吗?作为一个报道网络安全产业的老司机,我只想说,坑爹面前,人人平等,还有其他产业面临着逃不过的安全问题。
因此,我们还要把这个栏目开下去,每期抱来一个重磅(当然不是指体重)产业专家,一起来聊聊产业安全这些事儿,我们给这个专栏起了个正经名字《产业安全观察》。
至于走的是不是正经报道路线,你可以再看看下期。
如果你有特别想爆料的产业问题,欢迎联系雷锋网。