电商双十一邻近,你摩拳擦掌等在电脑前,不断刷新页面,准备抢几张优惠券,并相信这次收藏的商品志在必得。但当你准点刷新,优惠券还是瞬间消失,心爱的商品库存已秒变为0。感到无比郁闷的同时,你是不是很疑惑:why?
作案团伙:从“贪便宜民间组织”到“职业地下灰产”
如果你有兴趣在QQ群搜索栏里以“羊毛”为关键字搜索一下,结果可能会让你大开眼界,是的,民间羊毛党比你想象的要容易接触的多,各种薅羊毛线上组织规模大小不一,清晰可见:
羊毛党早已不再是“贪便宜民间组织”这么简单,而是已经形成了利润丰厚、组织严密、组织化程度极高的灰产组织,粗略估计全国有数十万团伙。上至互联网巨头,下到普通公司,只要举办市场活动,都可能面临羊毛党的巨大威胁。
那么,羊毛党究竟在薅谁的羊毛?
作案目标:主攻电商、O2O、互金、社交
哪里福利优惠多,哪里就有他们。最活跃的营销活动平台,就是羊毛党的主要作案目标,包括O2O平台、电商平台、社交平台、互联网金融平台。
一些网贷平台为拉取新用户常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的P2P羊毛党。在P2P平台上,一个促销从几十元到上百元不等, “羊毛党”每个月可以赚几万到几十万不等,可以说“非常可观”。
在今年我们所熟知的共享单车大战中,国内某知名共享单车曾推出“骑行领红包”活动,也遭遇了羊毛党伪造使用地址刷单抢红包的情况。羊毛党利用定位修改软件和批量手机号软件,足不出户就可以做到骑行单车并领取其派发的红包。据估算,平均每人每次能刷5元左右红包,一天16次大约收入80元,多个账号批量操作可以日进数万元。
除了对正常用户的福利损害,羊毛党更多的危害还是对企业利益的无形吞噬。羊毛党分分钟撸垮一个上市公司也不是没有发生过。
仅以近两年大火的视频直播为例。据媒体调查,2016年8月份,某上市公司旗下的全资子公司力推直播软件,只要注册该直播,每天直播10分钟,第一天30元,第二天30元,第三天还是30元,以后每天还有10元,而且第二天即可提现。用单个账号主播,其余小号去刷礼物,一天收入数万元。到2016年底,根据统计机构的数字,该直播软件的活跃用户数与其投入的16亿资金极其不成比例(净亏损约10亿元),仅仅主播分成就达到了近14亿,而被僵尸军团撸走的利润就不可预估了。羊毛党分分钟撸垮一个上市公司不是说笑,因羊毛党导致平台破产的案例也历历可数。
同样,羊毛党们对每年一度的双11备战一点都不比电商平台松懈,作为专业“薅羊毛”的地下团队,没有人比他们对哪个平台、哪些商家的促销和优惠信息更加敏锐,第一时间发现,第一时间作案。
作案工具:日进斗金背后的专业配备
羊毛党们可不是素人素身,想日进斗金也需要专业的作案工具。我们从作弊者的角度来看看有哪些东西可以利用来作弊:
1.1.帐号
去某宝上搜一下,各个产品的帐号都有,大量批发还会更便宜(微博、微信、各种邮箱帐号等等)。直接购买就可以使用(提供帐号密码),省去了注册的流程。
1.2.IP
1.3.打码平台
图片验证码和手机短信验证码都已经有专业的打码平台。对于简单的验证码,用机器识别即可(成功率相当高),对于复杂度较高的验证码,打码平台支持人工打码,7*24小时服务。
对于短信验证码,打码平台使用自身或购买的卡商资源,提供相应的api或者工具包,方便作弊工具自动获取手机号和手机号收到的验证码,作弊工具便可使用各种未经实名认证的手机号码在各个电商平台注册。打码平台的上游卡商实际上掌握了大量的手机卡,他们利用猫池等设备实现多手机号自动接收和解析短信验证码,并将手机号和短信验证码提供给打码平台,最终作弊工具可通过打码平台全自动获取手机号和短信。
1.4.模拟器
模拟器通常是指安卓的模拟器,安卓模拟器非常强大,种类也很多,基本可以模拟一个真实的手机全部功能。比如BlueStacks等。连GPS、MAC地址等信息都可以模拟。
1.5.专业定制工具
黑客技术人员编写有针对性的工具和程序,结合模拟器以及上面提到的各种黑灰产资源,可以做出一整套自动化的作弊工具。比如现在很多帐号注册机,就支持更换IP、更换手机号码、对接打码平台等功能。据说有这样技术的高端黑客上游,一个可以支撑数十个下游的黑产团队。
具体一个活动中的作弊用户可能有好几拨,不同团队的作弊水平有高有低。基本可以按作弊手段里结合黑产资源的多少,也就是作弊成本高低来区分。对于低水平的作弊用户,用简单的规则和手段封堵某些点就可以了。但是对于高明的作弊手段,就很难用片面的策略来发现了。那么我们在做防御方案的时候,也需要全面的应对,用系统化的方案来应对。
双十一在即,电商该如何防范羊毛党?
那么在双11,全民消费狂欢日的当前,电商平台应该如何应对羊毛党大军?
电商反作弊的基本原则
既然很多作弊都是程序自动化完成的,那么就应该尝试做人机识别。由于作弊手段是多样的,所以防御措施也没有一劳永逸的好事,但是可以遵循的一个基本防御原则——提升作弊成本:
2.1.验证码
图形验证码是最简单、粗暴的人机识别手段,一旦有了验证码,羊毛党薅羊毛就需增加图片OCR的技术,提升了他们的作弊成本。但以目前的OCR技术水平,图形验证码早已形同虚设。为此,网易云安全(易盾)研发了各种新型验证码,如拖条、拼图、文字点选等智能验证码,在人机识别和用户体验上都得到了很多用户和客户的认可。
2.2.手机短信验证
虽然有打码平台的存在,但是接入也需要成本,并且是按手机号码个数计费,成本也不低。提升了作弊的成本,羊毛党自然的会去找成本更低,更容易的地方薅羊毛了。
2.3. IP规则
IP也是有限的资源,虽然有很多代理售卖,但也需要成本。IP高频限制,可以作为最基本的防御措施。
2.4.设备ID/浏览器指纹
利用设备特征生成唯一的、稳定的设备ID和浏览器指纹,并基于此做高频限制和统计分析,是非常有效的反作弊手段。但如何获取到真实的设备信息(不是篡改之后的),以及确保设备信息在传输过程中不被篡改和伪造则需要安全、专业的技术方案,并且还需要长期的安全对抗和技术积累。网易云安全(易盾)依托多年的反作弊经验,推出了专业的、安全可靠的设备ID和浏览器指纹算法,并将其使用于企业客户的反作弊服务中。
网易云安全(易盾)依靠多年大数据、云计算、人工智能技术力量已形成有效的反作弊防御机制,并多次护航各应用在复杂场景下的大型隐患对抗,在电商、直播、游戏等行业积累了丰富的对抗经验,保障企业大型营销活动有效平稳进行,保护消费者和企业利益不受黑灰产侵害。
【案例】:
网易云安全(易盾)反作弊实例解析
下面,笔者仅以网易考拉海购(下文简称“考拉”)的订单环节反作弊检测为实例,简析在电商狂欢日背后,网易云安全(易盾)是如何有效识别羊毛党、保障大促平稳进行的。
目前考拉的反作弊系统对于风险订单的识别主要基于规则引擎,同时结合用户画像评分、关联网络模型和业务名单库等检测手段。
(图1)
规则引擎根据规则条件实时抓取有作弊特征的订单,然而,不是所有满足规则条件的订单都是有问题的,如何将其中的正常用户订单剔除呢?这时就需要使用用户画像评分模型、关联网络模型和业务名单库来提高结果的准确性。
1、规则引擎
规则引擎支持对规则的动态配置和实时统计,系统可以按照不同的时间窗口,在线统计各订单所符合的规则特征的情况,并实时返回结果。规则系统可以输出的有两种结果:
a、订单数据经过所有的规则检测,将各命中规则的分数累加,计算出总分数输出;
b、另一种情形是,取命中规则中等级最高的结果。
2、用户画像
这里的用户画像主要是在囤货行为上的用户画像评分,区别于普通平台对用户的综合信用评分。我们选取了几个维度,如用户购买的商品类目数、活跃度、毛利贡献数、历史恶意行为、常用设备等,利用统计方法给用户得出综合分数,再给分值的区间定级,这样就得到所有用户在囤货行为上的画像评分,这个模块的加入可以很大程度地提高反作弊系统的准确性。
3、关联网络模型
我们结合无监督学习+有监督学习方法来发掘羊毛党团伙作案的网络模型。首先,我们考察用户在一段时间内所有的订单相关数据的关系链,这些关系链构成一个总网络。接着,搜索网络中的所有子网络,进行连通图分割。再遍历每个子网络,获取网络标签,挖掘网络特征,最后,我们通过机器学习构建一个识别羊毛党的网络模型,图2就是一个典型的关联网络图。
(图2)
网络模型判定的结果还可以和规则条件相结合,在不同的业务场景下灵活选择最匹配的风险判定结果,最大程度满足各业务场景的反作弊需求。
4、名单库
反作弊系统的名单库细分成很多个类型,取决于各业务场景的需要。比如,今年大火的拼团促销形式在很多电商平台开展,活动对于团长和团员的购买限制是不同的,这就导致团长囤货和团员囤货在订单行为模式上表现得不一样。若要定制拼团活动的黑名单,那就应该对两者做区分,以确保业务的黑名单准确无误伤。
除了黑白名单,还会有灰名单,这些灰名单用户也许在某些大利益点活动时无法参与,将风险拦截在前端,以保障重大活动平稳顺利进行。
网易云安全(易盾)的反作弊系统依托与其强大的规则引擎,并结合用户画像、关联网络模型以及各业务的名单库,精准、高效地识别羊毛党的囤货行为。这套体系将保障普通消费者在每次的促销活动中公平、有序地享受平台提供的优惠,尽情买买买。
反作弊对抗的过程,本质就是作弊和防御成本的较量,在这场旷日持久的战争中,企业只有不断抬高作弊成本,羊毛党才可能望而却步。