喝杯白酒，交個(gè)朋友。

趁著“雙十一”，雷鋒網(wǎng)給你們介紹一個(gè)由熱心群眾爆料的某高端白酒慘案。

一個(gè)線下賣場(chǎng)商家 H 今年拿到了某高端白酒渠道 150 噸的配額，恰好 H 想推廣自己的線上平臺(tái)，營銷人員早就聽聞黑產(chǎn)惡意薅羊毛的事件，心里有點(diǎn)怕怕的，于是想了個(gè)“線上預(yù)約-線下提貨”的招，讓買賣回歸自己的線下主場(chǎng)，這樣又能吸引更多新用戶參加線上平臺(tái)的活動(dòng)，一舉兩得，心里美滋滋。

萬萬沒想到，H 被自己開發(fā)的線上平臺(tái)活動(dòng)給坑了。

這個(gè)平臺(tái)有個(gè)積分兌換高端白酒的活動(dòng)，但出現(xiàn)了營銷漏洞，導(dǎo)致 1499 的積分只要 5 塊錢就能買到。黑產(chǎn)發(fā)現(xiàn)以后，輕松以 5 塊錢的價(jià)格買了一瓶高端白酒，隨后又囤積了海量積分兌換高端白酒的資格。

一車車高端白酒以極其便宜的價(jià)格駛向了黑產(chǎn)的口袋，只剩商家在風(fēng)中凌亂。

說好的線下是自己的主場(chǎng)呢摔！

H 遇到了一瓶白酒引發(fā)的慘案，還有其他電商也這么悲催地在“買買買”的大促活動(dòng)中不幸被黑產(chǎn)打得鼻青臉腫嗎？如果大家都是苦命人，有沒有懟回去的可能性？

雷鋒網(wǎng)邀請(qǐng)了一位風(fēng)控老師傅進(jìn)行一場(chǎng)關(guān)于電商營銷風(fēng)控的誠意問答。

1.針對(duì)“雙十一”“雙十二”以及各類電商大促時(shí)節(jié)，黑產(chǎn)會(huì)什么特別的準(zhǔn)備工作嗎？他們一般挑什么時(shí)間點(diǎn)攻擊？

郭佳楠：黑產(chǎn)一般提前半年做潛伏準(zhǔn)備，主要是備賬號(hào)、備作弊物料，然后集中領(lǐng)券，集中變現(xiàn)。

▲黑產(chǎn)產(chǎn)業(yè)鏈條 圖片來源：騰訊安全

他們主要利用黃牛、羊毛等攻擊手段，不斷試探平臺(tái)的漏洞，這些漏洞分成兩種： 運(yùn)營活動(dòng)設(shè)計(jì)漏洞、風(fēng)控的漏洞。

第一種，不論平臺(tái)有沒有漏洞，只要平臺(tái)被黑灰產(chǎn)盯上，在雙十一之前，黑產(chǎn)都會(huì)用新手機(jī)號(hào)注冊(cè)海量賬號(hào)，領(lǐng)取平臺(tái)的活動(dòng)優(yōu)惠券，集中購買某種產(chǎn)品，再尋找優(yōu)惠券的規(guī)則漏洞，比如滿減活動(dòng)中“滿100-20”，黑灰產(chǎn)買到后批量退貨，因?yàn)楫a(chǎn)生了退款，平臺(tái)只能返給他一個(gè)不需要滿減的 20 元優(yōu)惠券，黑產(chǎn)又用 20 元優(yōu)惠券去買二十一塊錢的商品，因此，實(shí)際上黑產(chǎn)只要花一塊錢就可以買到原本 20 塊錢的東西，或者他會(huì)批量把這些券賣掉，賺取利益。

第二種，一些商家做了大轉(zhuǎn)盤活動(dòng)，但準(zhǔn)備時(shí)間短，考慮不周全，一個(gè)正常賬號(hào)一天可以玩三次，但是黑灰產(chǎn)發(fā)現(xiàn)了轉(zhuǎn)盤背后的邏輯，一個(gè)人玩了 40 多萬次，把所有獎(jiǎng)品薅走，這就是利用了規(guī)則的漏洞。

如果你發(fā)現(xiàn)自家平臺(tái)的注冊(cè)用戶突增，但這些用戶沒有進(jìn)一步行為，活躍時(shí)間只有一秒，或者只在整點(diǎn)活躍，那么這個(gè)平臺(tái)就要注意了，這是“狼來了”的征兆。

2.傳統(tǒng)零售商轉(zhuǎn)型做電商，更容易遭受攻擊，他們?cè)陲L(fēng)控時(shí)會(huì)遇到什么慘況？為什么會(huì)這樣？

郭佳楠：以一個(gè)商超親歷的真實(shí)事件舉例，這家商超以前只做線下賣場(chǎng)，后來它做了線上小程序，又開展了新業(yè)務(wù)，為了吸引新客戶，它做了新客戶滿減等促銷活動(dòng)，這種突然從傳統(tǒng)線下轉(zhuǎn)到線上的廠商容易被黑產(chǎn)盯上，黑產(chǎn)通過虛假手機(jī)號(hào)注冊(cè)海量新帳號(hào)，并集中購買容易變現(xiàn)的產(chǎn)品，比如電話卡，再通過線下渠道轉(zhuǎn)賣，批量套取平臺(tái)的優(yōu)惠。

為什么會(huì)遇到這種慘案？

傳統(tǒng)零售商轉(zhuǎn)型面臨的最大問題是客戶變了。以前是一個(gè)客戶實(shí)打?qū)嵉刈叩轿锢憝h(huán)境中買一桶油，只要內(nèi)部人員沒有作弊，這種買賣操作基本沒問題，但是轉(zhuǎn)到線上后，它的客戶只是互聯(lián)網(wǎng)上的一個(gè)帳號(hào)，一串代碼。帳號(hào)背后是真正的人還是被偽造的“人”？最大的欺詐就來源于這里。

傳統(tǒng)零售商對(duì)于互聯(lián)網(wǎng)上的用戶，沒有太多經(jīng)驗(yàn)，沒法分辨真假用戶，也沒什么風(fēng)控措施，而且風(fēng)控平臺(tái)難建設(shè)，零售商業(yè)務(wù)成長(zhǎng)到中期時(shí)才會(huì)籌建安全團(tuán)隊(duì)，有了安全團(tuán)隊(duì)才會(huì)去建設(shè)風(fēng)控中臺(tái)、設(shè)備指紋，才會(huì)有風(fēng)險(xiǎn)運(yùn)營和風(fēng)控專家，這些人才會(huì)基于風(fēng)控規(guī)則防控黑產(chǎn)的攻擊者，能走到這一步的話，它在互聯(lián)網(wǎng)上已經(jīng)玩得很6了。業(yè)務(wù)優(yōu)先，業(yè)務(wù)安全靠后是一般廠商考慮的點(diǎn)。

自己籌建團(tuán)隊(duì)很難，因此傳統(tǒng)零售商轉(zhuǎn)型時(shí)才會(huì)找安全廠商來做業(yè)務(wù)風(fēng)控。

這是需要成本的，風(fēng)控是個(gè)無底洞，某互聯(lián)網(wǎng)廠商每年在安全上的投入是20億人民幣， 70%人是安全團(tuán)隊(duì)，騰訊在安全上的投入也是不惜一切的。但是，第一，一般的傳統(tǒng)廠商沒有能力去做這么龐大的安全體系。第二，網(wǎng)絡(luò)黑產(chǎn)變化太快，傳統(tǒng)廠商如果沒有廣而深的安全團(tuán)隊(duì)，根本無力抵抗。

3.今年黑灰產(chǎn)對(duì)新零售電商的攻擊有什么新招式？你有遇到什么匪夷所思的操作嗎？

郭佳楠：黑灰產(chǎn)最早的運(yùn)作方式是假機(jī)、假人、假行為，也就是他們會(huì)在自己設(shè)備上安裝模擬器，通過模擬上萬個(gè)設(shè)備頻繁登陸完成攻擊；而現(xiàn)如今黑灰產(chǎn)的攻擊招式已進(jìn)化為“真人、真機(jī)、真行為”，通過欺詐或指向性引導(dǎo)騙取零售電商的實(shí)際用戶進(jìn)行非真實(shí)意愿的操作，以成為其賺取利益的工具。羊毛黨、黃牛黨、打碼黨以及小程序網(wǎng)賺黨、網(wǎng)賺團(tuán)隊(duì)欺詐等就是這一方式的“熟練玩家”。

黑產(chǎn)從各個(gè)平臺(tái)招兼職，也就是黃牛黨的“肉牛”，“牛頭”會(huì)在專門分包的網(wǎng)站上發(fā)任務(wù)，讓“肉?！比ベI對(duì)應(yīng)的東西，寄給牛頭，再以做任務(wù)獎(jiǎng)金的方式把錢返回，實(shí)現(xiàn)對(duì)貨源完全控制。

在搶購手機(jī)、黃金和茅臺(tái)酒上，這種手段用得比較多。

既然都是朝同一個(gè)地址郵寄，為什么不能封禁這些購買人的帳號(hào)？

因?yàn)辄S牛也研究了規(guī)則，并告訴了“肉牛”如何突破規(guī)則，故意讓收貨地址變得不一樣，比如全部寫成附近的快遞站，選擇自提，再和快遞員商量好，等商品到齊，自己再開一輛車來提走所有貨物。

目前，通過大規(guī)模學(xué)習(xí)甚至 AI 算法運(yùn)用，零售電商黑灰產(chǎn)已能輕松繞過圖形驗(yàn)證碼、手機(jī)短信驗(yàn)證、賬號(hào)限制和活動(dòng)地區(qū)限制等傳統(tǒng)防刷手段。借助自動(dòng)打碼平臺(tái)、貓池、接碼平臺(tái)、大量養(yǎng)號(hào)和秒變位置等，專業(yè)化、產(chǎn)業(yè)化的黑灰產(chǎn)已對(duì)新零售電商發(fā)起了新的挑戰(zhàn)。

以往黑灰產(chǎn)大部分都是采用 Android 設(shè)備作為攻擊工具的，比如大量養(yǎng)號(hào)或通過植入木馬等控制器挖礦，充當(dāng)肉雞。但隨著 Android 設(shè)備指紋的大量普及，加之該類設(shè)備系統(tǒng)本身性能上的缺陷，黑灰產(chǎn)改將“黑手”伸向了 ios 設(shè)備，從黑市收購 ios 設(shè)備 root 后，利用其作為攻擊工具，在攻擊環(huán)境和效果上取得了更大的突破。

4.照你這么說，攻擊者也用AI的話，安全人員怎么應(yīng)對(duì)？對(duì)商家有什么建議？

郭佳楠：第一，靠前期的信息搜集，覺察動(dòng)向。

第二，利用 AI 的手段分析賬戶的歷史行為，比較周邊用戶的行為，購買的商品是否出現(xiàn)在歷史購買中?；旧希叭馀！辟徺I的商品都集中在虛擬卡、黃金等容易變現(xiàn)的產(chǎn)品，操作習(xí)慣也跟正常人不一樣，他們很可能就是直接在同一個(gè)鏈接上點(diǎn)擊下單，當(dāng)然，現(xiàn)在黃牛也有各種為了讓人相信這就是真實(shí)用戶的行為規(guī)則引導(dǎo)，我們依然可以用無監(jiān)督學(xué)習(xí)的一些方法找出“壞人”。

每個(gè)商家原有的能力不同，需要補(bǔ)的能力就不一樣。

像風(fēng)控已經(jīng)做得不錯(cuò)的商家，我們就會(huì)建議用上騰訊獨(dú)特的風(fēng)控建模能力，如果主業(yè)不是做安全的，但是又受套利嚴(yán)重影響的電商公司，可能還是要構(gòu)建一個(gè)端對(duì)端的整體風(fēng)控方案。也就是從底層的決策引擎到上面的風(fēng)險(xiǎn)數(shù)據(jù)，再朝上面建模，用智能風(fēng)控中臺(tái)來解決業(yè)務(wù)安全的問題。

5.還有什么更新的對(duì)抗思路嗎？

郭佳楠：現(xiàn)在，我們有一種新的對(duì)抗思路：放羊，不直接對(duì)抗，分化打擊。

比如，黑產(chǎn)在注冊(cè)、登錄時(shí)，或者要在到達(dá)購買路徑時(shí)的某個(gè)點(diǎn)上做點(diǎn)什么時(shí)，我們不會(huì)直接在這個(gè)點(diǎn)上對(duì)抗，因?yàn)橐坏└麑?duì)抗，他發(fā)現(xiàn)了這個(gè)點(diǎn)，可能就會(huì)改變自己的策略，然后安全人員又會(huì)面臨著一次攻防升級(jí)，只要不是在最后的支付環(huán)節(jié)，在其他環(huán)節(jié)上，我們都會(huì)把它放過，可能它會(huì)突然發(fā)現(xiàn)這個(gè)券領(lǐng)不了了，或者紅包領(lǐng)得比較少，或者是下一次登錄時(shí)，它就自動(dòng)登出。我們會(huì)再把它慢慢放到我們的體系來，可能針對(duì)10% 得壞流量用一種對(duì)抗方法，對(duì)50%用另外一種方法，40%用第三種方法，逐步分化攻擊，最終黑產(chǎn)不知道我們是在哪發(fā)現(xiàn)它的，也就無法進(jìn)化成一個(gè)更新的對(duì)抗。

6.上面聊了很多業(yè)務(wù)安全面臨的威脅，新零售電商以前在基礎(chǔ)安全領(lǐng)域也受到過“暴擊”。搶券、短信轟炸、DDoS 攻擊、拼團(tuán)砍價(jià)、黃賭毒曬單圖等依然是防護(hù)重點(diǎn)嗎？

郭佳楠：隨著零售電商企業(yè)線上與線下業(yè)務(wù)融合的不斷深化，零售電商線上平臺(tái)衍生的利益點(diǎn)和業(yè)務(wù)場(chǎng)景愈見寬廣。鑒于此，黑灰產(chǎn)對(duì)零售電商的覬覦也日趨體系化。

目前，黑灰產(chǎn)已形成了包含軟件開發(fā)與技術(shù)支持、賬號(hào)注冊(cè)與分銷、盈利變現(xiàn)等環(huán)節(jié)在內(nèi)的產(chǎn)業(yè)鏈，除傳統(tǒng)針對(duì)基礎(chǔ)安全系統(tǒng)的短信轟炸、DDoS攻擊仍是防護(hù)的重點(diǎn)外，搶券、拼團(tuán)砍價(jià)、黃賭毒曬單坑爹圖等業(yè)務(wù)場(chǎng)景下的安全問題也成為當(dāng)前零售電商行業(yè)安全防護(hù)的重中之重。

與此同時(shí)，來自以刷單為主要形式的網(wǎng)賺團(tuán)伙欺詐和作弊引流的KOL作弊等全新黑產(chǎn)操作方式，也給業(yè)務(wù)風(fēng)控提出了全新要求，營銷風(fēng)控成為零售電商黑灰產(chǎn)對(duì)抗的核心痛點(diǎn)。

7.競(jìng)爭(zhēng)對(duì)手向電商發(fā)起 DDoS 的情況常見嗎？遇到大促，用戶來一場(chǎng)人肉 DDoS 和競(jìng)爭(zhēng)對(duì)手故意 DDoS的防護(hù)手段有什么區(qū)別？

郭佳楠：用戶發(fā)起的 DDoS 攻擊多集中在游戲行業(yè)，而零售電商行業(yè)遭遇的DDoS主要來源于競(jìng)爭(zhēng)對(duì)手的攻擊。這種最簡(jiǎn)單粗暴，不需要任何技巧的方式在商場(chǎng)時(shí)刻上演，別有用心的商家可以直接對(duì)競(jìng)爭(zhēng)對(duì)手的服務(wù)器發(fā)起DDoS攻擊，導(dǎo)致剁手關(guān)鍵時(shí)刻競(jìng)爭(zhēng)對(duì)手的用戶無法正常買買買，最常見的現(xiàn)象則是業(yè)務(wù)停擺。

在防護(hù)手段上，針對(duì)用戶發(fā)起的 DDoS 攻擊，要加固安全系統(tǒng)，提升防護(hù)機(jī)制；而針對(duì)競(jìng)爭(zhēng)對(duì)手的攻擊則一般通過無監(jiān)督學(xué)習(xí)等 AI 手段對(duì)購買者畫像和行為畫像兩方面進(jìn)行偵測(cè)，發(fā)現(xiàn)異常則采取對(duì)抗措施。同時(shí)，提升流量清洗防護(hù)能力和 BGP 接入線路性能，保證電商平臺(tái)即使遭遇 DDoS 攻擊時(shí)，也不影響業(yè)務(wù)順利進(jìn)行。

8.說點(diǎn)什么震懾一下那些對(duì)電商搞破壞的黑灰產(chǎn)吧。

郭佳楠：我想送他們一本《刑法》。

**

干貨就這么結(jié)束了嗎？

并沒有呢。

你以為只有電商就遭遇了這種坑爹事嗎？作為一個(gè)報(bào)道網(wǎng)絡(luò)安全產(chǎn)業(yè)的老司機(jī)，我只想說，坑爹面前，人人平等，還有其他產(chǎn)業(yè)面臨著逃不過的安全問題。

因此，我們還要把這個(gè)欄目開下去，每期抱來一個(gè)重磅（當(dāng)然不是指體重）產(chǎn)業(yè)專家，一起來聊聊產(chǎn)業(yè)安全這些事兒，我們給這個(gè)專欄起了個(gè)正經(jīng)名字《產(chǎn)業(yè)安全觀察》。

至于走的是不是正經(jīng)報(bào)道路線，你可以再看看下期。

如果你有特別想爆料的產(chǎn)業(yè)問題，歡迎聯(lián)系雷鋒網(wǎng)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。