双11来了,你知道羊毛党有多努力吗?

电商双十一邻近,你摩拳擦掌等在电脑前,不断刷新页面,准备抢几张优惠券,并相信这次收藏的商品志在必得。但当你准点刷新,优惠券还是瞬间消失,心爱的商品库存已秒变为0。感到无比郁闷的同时,你是不是很疑惑:why?

 

  这样的场景,经历过电商狂欢日的小伙伴都可能有过。但你不知道的是,同样坐在电脑跟你拼手速的,除了正常用户外,还有一批专业的羊毛党,他们比你更努力,准备的更持久,而且“更专业”……作为抢夺我们福利的直接“竞争对手”,我们有必要来好好认识一下这些“熟悉的陌生人”。他们是谁?为何而来?为什么说他们不仅讨厌还可怕?

作案团伙:从“贪便宜民间组织”到“职业地下灰产”

如果你有兴趣在QQ群搜索栏里以“羊毛”为关键字搜索一下,结果可能会让你大开眼界,是的,民间羊毛党比你想象的要容易接触的多,各种薅羊毛线上组织规模大小不一,清晰可见:

 

  在互联网形形色色的营销活动中,企业为了拉新、促销、宣传等商业目标,会有各种面向消费者的抽奖、拉新送福利、送优惠券、折扣券等形形色色的优惠活动。除了正常消费者领取这些优惠之外,还有一群专业的薅(hāo)羊毛组织、职业“地下党”,专门选择互联网公司的优惠营销活动,通过新用户注册、刷单、抢券、低价买进高价卖出等,以低成本甚至零成本换取了高额奖励。我们称这样的人为“羊毛党”。

羊毛党早已不再是“贪便宜民间组织”这么简单,而是已经形成了利润丰厚、组织严密、组织化程度极高的灰产组织,粗略估计全国有数十万团伙。上至互联网巨头,下到普通公司,只要举办市场活动,都可能面临羊毛党的巨大威胁。

那么,羊毛党究竟在薅谁的羊毛?

 作案目标:主攻电商、O2O、互金、社交

哪里福利优惠多,哪里就有他们。最活跃的营销活动平台,就是羊毛党的主要作案目标,包括O2O平台、电商平台、社交平台、互联网金融平台。

一些网贷平台为拉取新用户常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的P2P羊毛党。在P2P平台上,一个促销从几十元到上百元不等, “羊毛党”每个月可以赚几万到几十万不等,可以说“非常可观”。

在今年我们所熟知的共享单车大战中,国内某知名共享单车曾推出“骑行领红包”活动,也遭遇了羊毛党伪造使用地址刷单抢红包的情况。羊毛党利用定位修改软件和批量手机号软件,足不出户就可以做到骑行单车并领取其派发的红包。据估算,平均每人每次能刷5元左右红包,一天16次大约收入80元,多个账号批量操作可以日进数万元。

 

  作案危害:撸垮上市公司不是危言耸听

除了对正常用户的福利损害,羊毛党更多的危害还是对企业利益的无形吞噬。羊毛党分分钟撸垮一个上市公司也不是没有发生过。

仅以近两年大火的视频直播为例。据媒体调查,2016年8月份,某上市公司旗下的全资子公司力推直播软件,只要注册该直播,每天直播10分钟,第一天30元,第二天30元,第三天还是30元,以后每天还有10元,而且第二天即可提现。用单个账号主播,其余小号去刷礼物,一天收入数万元。到2016年底,根据统计机构的数字,该直播软件的活跃用户数与其投入的16亿资金极其不成比例(净亏损约10亿元),仅仅主播分成就达到了近14亿,而被僵尸军团撸走的利润就不可预估了。羊毛党分分钟撸垮一个上市公司不是说笑,因羊毛党导致平台破产的案例也历历可数。

同样,羊毛党们对每年一度的双11备战一点都不比电商平台松懈,作为专业“薅羊毛”的地下团队,没有人比他们对哪个平台、哪些商家的促销和优惠信息更加敏锐,第一时间发现,第一时间作案。

作案工具:日进斗金背后的专业配备

羊毛党们可不是素人素身,想日进斗金也需要专业的作案工具。我们从作弊者的角度来看看有哪些东西可以利用来作弊:

 1.1.帐号

去某宝上搜一下,各个产品的帐号都有,大量批发还会更便宜(微博、微信、各种邮箱帐号等等)。直接购买就可以使用(提供帐号密码),省去了注册的流程。

1.2.IP

 

  某宝上也有大量代理IP出售,价格低廉,甚至还提供包月的服务。当然自己写一些爬虫去收集代理IP也行,更牛的是掌握一些肉鸡就更方便了。用不同的IP登录不同的帐号是一种比较好的隐藏自己行踪的方法,通常很多产品都会对IP做高频限制(同IP下参与用户数过多)。

 1.3.打码平台

图片验证码和手机短信验证码都已经有专业的打码平台。对于简单的验证码,用机器识别即可(成功率相当高),对于复杂度较高的验证码,打码平台支持人工打码,7*24小时服务。

对于短信验证码,打码平台使用自身或购买的卡商资源,提供相应的api或者工具包,方便作弊工具自动获取手机号和手机号收到的验证码,作弊工具便可使用各种未经实名认证的手机号码在各个电商平台注册。打码平台的上游卡商实际上掌握了大量的手机卡,他们利用猫池等设备实现多手机号自动接收和解析短信验证码,并将手机号和短信验证码提供给打码平台,最终作弊工具可通过打码平台全自动获取手机号和短信。

1.4.模拟器

模拟器通常是指安卓的模拟器,安卓模拟器非常强大,种类也很多,基本可以模拟一个真实的手机全部功能。比如BlueStacks等。连GPS、MAC地址等信息都可以模拟。

 1.5.专业定制工具

黑客技术人员编写有针对性的工具和程序,结合模拟器以及上面提到的各种黑灰产资源,可以做出一整套自动化的作弊工具。比如现在很多帐号注册机,就支持更换IP、更换手机号码、对接打码平台等功能。据说有这样技术的高端黑客上游,一个可以支撑数十个下游的黑产团队。

具体一个活动中的作弊用户可能有好几拨,不同团队的作弊水平有高有低。基本可以按作弊手段里结合黑产资源的多少,也就是作弊成本高低来区分。对于低水平的作弊用户,用简单的规则和手段封堵某些点就可以了。但是对于高明的作弊手段,就很难用片面的策略来发现了。那么我们在做防御方案的时候,也需要全面的应对,用系统化的方案来应对。

  双十一在即,电商该如何防范羊毛党?

 

  我们先来身临其境看一下羊毛党的工作日常。上图是一张笔者潜伏所在的某羊毛党微信群,看的出来,最近他们在“薅”的“羊毛”基本集中在电商平台,某东赫然也是作案目标之一。群成员通过把有优惠促销的电商平台链接分享在群里,鼓励成员合作批量消耗。低价优惠买入商品,后期再通过其他渠道高价售出,赚取中间差价。全国有多少这样的“工作群”我们不得而知,不过清楚的是,我们的很多电商平台的部分利益就是被这些羊毛党无声无息吞噬的。

那么在双11,全民消费狂欢日的当前,电商平台应该如何应对羊毛党大军?

 

  抓住羊毛党的关键在于如何将他们与正常用户的行为区分开来。在长期的为网易产品提供反作弊服务的过程中,网易云安全(易盾)团队积累了丰富的战斗经验,目前已有一套较成熟的电商反作弊体系。

 电商反作弊的基本原则

既然很多作弊都是程序自动化完成的,那么就应该尝试做人机识别。由于作弊手段是多样的,所以防御措施也没有一劳永逸的好事,但是可以遵循的一个基本防御原则——提升作弊成本:

 2.1.验证码

图形验证码是最简单、粗暴的人机识别手段,一旦有了验证码,羊毛党薅羊毛就需增加图片OCR的技术,提升了他们的作弊成本。但以目前的OCR技术水平,图形验证码早已形同虚设。为此,网易云安全(易盾)研发了各种新型验证码,如拖条、拼图、文字点选等智能验证码,在人机识别和用户体验上都得到了很多用户和客户的认可。

 2.2.手机短信验证

虽然有打码平台的存在,但是接入也需要成本,并且是按手机号码个数计费,成本也不低。提升了作弊的成本,羊毛党自然的会去找成本更低,更容易的地方薅羊毛了。

  2.3. IP规则

IP也是有限的资源,虽然有很多代理售卖,但也需要成本。IP高频限制,可以作为最基本的防御措施。

2.4.设备ID/浏览器指纹

利用设备特征生成唯一的、稳定的设备ID和浏览器指纹,并基于此做高频限制和统计分析,是非常有效的反作弊手段。但如何获取到真实的设备信息(不是篡改之后的),以及确保设备信息在传输过程中不被篡改和伪造则需要安全、专业的技术方案,并且还需要长期的安全对抗和技术积累。网易云安全(易盾)依托多年的反作弊经验,推出了专业的、安全可靠的设备ID和浏览器指纹算法,并将其使用于企业客户的反作弊服务中。

网易云安全(易盾)依靠多年大数据、云计算、人工智能技术力量已形成有效的反作弊防御机制,并多次护航各应用在复杂场景下的大型隐患对抗,在电商、直播、游戏等行业积累了丰富的对抗经验,保障企业大型营销活动有效平稳进行,保护消费者和企业利益不受黑灰产侵害。

 【案例】:

  网易云安全(易盾)反作弊实例解析

下面,笔者仅以网易考拉海购(下文简称“考拉”)的订单环节反作弊检测为实例,简析在电商狂欢日背后,网易云安全(易盾)是如何有效识别羊毛党、保障大促平稳进行的。

目前考拉的反作弊系统对于风险订单的识别主要基于规则引擎,同时结合用户画像评分、关联网络模型和业务名单库等检测手段。

  (图1)

规则引擎根据规则条件实时抓取有作弊特征的订单,然而,不是所有满足规则条件的订单都是有问题的,如何将其中的正常用户订单剔除呢?这时就需要使用用户画像评分模型、关联网络模型和业务名单库来提高结果的准确性。

1、规则引擎

规则引擎支持对规则的动态配置和实时统计,系统可以按照不同的时间窗口,在线统计各订单所符合的规则特征的情况,并实时返回结果。规则系统可以输出的有两种结果:

a、订单数据经过所有的规则检测,将各命中规则的分数累加,计算出总分数输出;

b、另一种情形是,取命中规则中等级最高的结果。

  2、用户画像

这里的用户画像主要是在囤货行为上的用户画像评分,区别于普通平台对用户的综合信用评分。我们选取了几个维度,如用户购买的商品类目数、活跃度、毛利贡献数、历史恶意行为、常用设备等,利用统计方法给用户得出综合分数,再给分值的区间定级,这样就得到所有用户在囤货行为上的画像评分,这个模块的加入可以很大程度地提高反作弊系统的准确性。

 3、关联网络模型

我们结合无监督学习+有监督学习方法来发掘羊毛党团伙作案的网络模型。首先,我们考察用户在一段时间内所有的订单相关数据的关系链,这些关系链构成一个总网络。接着,搜索网络中的所有子网络,进行连通图分割。再遍历每个子网络,获取网络标签,挖掘网络特征,最后,我们通过机器学习构建一个识别羊毛党的网络模型,图2就是一个典型的关联网络图。

 

  (图2)

网络模型判定的结果还可以和规则条件相结合,在不同的业务场景下灵活选择最匹配的风险判定结果,最大程度满足各业务场景的反作弊需求。

4、名单库

反作弊系统的名单库细分成很多个类型,取决于各业务场景的需要。比如,今年大火的拼团促销形式在很多电商平台开展,活动对于团长和团员的购买限制是不同的,这就导致团长囤货和团员囤货在订单行为模式上表现得不一样。若要定制拼团活动的黑名单,那就应该对两者做区分,以确保业务的黑名单准确无误伤。

除了黑白名单,还会有灰名单,这些灰名单用户也许在某些大利益点活动时无法参与,将风险拦截在前端,以保障重大活动平稳顺利进行。

网易云安全(易盾)的反作弊系统依托与其强大的规则引擎,并结合用户画像、关联网络模型以及各业务的名单库,精准、高效地识别羊毛党的囤货行为。这套体系将保障普通消费者在每次的促销活动中公平、有序地享受平台提供的优惠,尽情买买买。

反作弊对抗的过程,本质就是作弊和防御成本的较量,在这场旷日持久的战争中,企业只有不断抬高作弊成本,羊毛党才可能望而却步。