喝杯白酒，交個朋友。

趁著“雙十一”，雷鋒網(wǎng)給你們介紹一個由熱心群眾爆料的某高端白酒慘案。

一個線下賣場商家 H 今年拿到了某高端白酒渠道 150 噸的配額，恰好 H 想推廣自己的線上平臺，營銷人員早就聽聞黑產(chǎn)惡意薅羊毛的事件，心里有點怕怕的，于是想了個“線上預(yù)約-線下提貨”的招，讓買賣回歸自己的線下主場，這樣又能吸引更多新用戶參加線上平臺的活動，一舉兩得，心里美滋滋。

萬萬沒想到，H 被自己開發(fā)的線上平臺活動給坑了。

這個平臺有個積分兌換高端白酒的活動，但出現(xiàn)了營銷漏洞，導(dǎo)致 1499 的積分只要 5 塊錢就能買到。黑產(chǎn)發(fā)現(xiàn)以后，輕松以 5 塊錢的價格買了一瓶高端白酒，隨后又囤積了海量積分兌換高端白酒的資格。

一車車高端白酒以極其便宜的價格駛向了黑產(chǎn)的口袋，只剩商家在風中凌亂。

說好的線下是自己的主場呢摔！

H 遇到了一瓶白酒引發(fā)的慘案，還有其他電商也這么悲催地在“買買買”的大促活動中不幸被黑產(chǎn)打得鼻青臉腫嗎？如果大家都是苦命人，有沒有懟回去的可能性？

雷鋒網(wǎng)邀請了一位風控老師傅進行一場關(guān)于電商營銷風控的誠意問答。

1.針對“雙十一”“雙十二”以及各類電商大促時節(jié)，黑產(chǎn)會什么特別的準備工作嗎？他們一般挑什么時間點攻擊？

郭佳楠：黑產(chǎn)一般提前半年做潛伏準備，主要是備賬號、備作弊物料，然后集中領(lǐng)券，集中變現(xiàn)。

▲黑產(chǎn)產(chǎn)業(yè)鏈條 圖片來源：騰訊安全

他們主要利用黃牛、羊毛等攻擊手段，不斷試探平臺的漏洞，這些漏洞分成兩種： 運營活動設(shè)計漏洞、風控的漏洞。

第一種，不論平臺有沒有漏洞，只要平臺被黑灰產(chǎn)盯上，在雙十一之前，黑產(chǎn)都會用新手機號注冊海量賬號，領(lǐng)取平臺的活動優(yōu)惠券，集中購買某種產(chǎn)品，再尋找優(yōu)惠券的規(guī)則漏洞，比如滿減活動中“滿100-20”，黑灰產(chǎn)買到后批量退貨，因為產(chǎn)生了退款，平臺只能返給他一個不需要滿減的 20 元優(yōu)惠券，黑產(chǎn)又用 20 元優(yōu)惠券去買二十一塊錢的商品，因此，實際上黑產(chǎn)只要花一塊錢就可以買到原本 20 塊錢的東西，或者他會批量把這些券賣掉，賺取利益。

第二種，一些商家做了大轉(zhuǎn)盤活動，但準備時間短，考慮不周全，一個正常賬號一天可以玩三次，但是黑灰產(chǎn)發(fā)現(xiàn)了轉(zhuǎn)盤背后的邏輯，一個人玩了 40 多萬次，把所有獎品薅走，這就是利用了規(guī)則的漏洞。

如果你發(fā)現(xiàn)自家平臺的注冊用戶突增，但這些用戶沒有進一步行為，活躍時間只有一秒，或者只在整點活躍，那么這個平臺就要注意了，這是“狼來了”的征兆。

2.傳統(tǒng)零售商轉(zhuǎn)型做電商，更容易遭受攻擊，他們在風控時會遇到什么慘況？為什么會這樣？

郭佳楠：以一個商超親歷的真實事件舉例，這家商超以前只做線下賣場，后來它做了線上小程序，又開展了新業(yè)務(wù)，為了吸引新客戶，它做了新客戶滿減等促銷活動，這種突然從傳統(tǒng)線下轉(zhuǎn)到線上的廠商容易被黑產(chǎn)盯上，黑產(chǎn)通過虛假手機號注冊海量新帳號，并集中購買容易變現(xiàn)的產(chǎn)品，比如電話卡，再通過線下渠道轉(zhuǎn)賣，批量套取平臺的優(yōu)惠。

為什么會遇到這種慘案？

傳統(tǒng)零售商轉(zhuǎn)型面臨的最大問題是客戶變了。以前是一個客戶實打?qū)嵉刈叩轿锢憝h(huán)境中買一桶油，只要內(nèi)部人員沒有作弊，這種買賣操作基本沒問題，但是轉(zhuǎn)到線上后，它的客戶只是互聯(lián)網(wǎng)上的一個帳號，一串代碼。帳號背后是真正的人還是被偽造的“人”？最大的欺詐就來源于這里。

傳統(tǒng)零售商對于互聯(lián)網(wǎng)上的用戶，沒有太多經(jīng)驗，沒法分辨真假用戶，也沒什么風控措施，而且風控平臺難建設(shè)，零售商業(yè)務(wù)成長到中期時才會籌建安全團隊，有了安全團隊才會去建設(shè)風控中臺、設(shè)備指紋，才會有風險運營和風控專家，這些人才會基于風控規(guī)則防控黑產(chǎn)的攻擊者，能走到這一步的話，它在互聯(lián)網(wǎng)上已經(jīng)玩得很6了。業(yè)務(wù)優(yōu)先，業(yè)務(wù)安全靠后是一般廠商考慮的點。

自己籌建團隊很難，因此傳統(tǒng)零售商轉(zhuǎn)型時才會找安全廠商來做業(yè)務(wù)風控。

這是需要成本的，風控是個無底洞，某互聯(lián)網(wǎng)廠商每年在安全上的投入是20億人民幣， 70%人是安全團隊，騰訊在安全上的投入也是不惜一切的。但是，第一，一般的傳統(tǒng)廠商沒有能力去做這么龐大的安全體系。第二，網(wǎng)絡(luò)黑產(chǎn)變化太快，傳統(tǒng)廠商如果沒有廣而深的安全團隊，根本無力抵抗。

3.今年黑灰產(chǎn)對新零售電商的攻擊有什么新招式？你有遇到什么匪夷所思的操作嗎？

郭佳楠：黑灰產(chǎn)最早的運作方式是假機、假人、假行為，也就是他們會在自己設(shè)備上安裝模擬器，通過模擬上萬個設(shè)備頻繁登陸完成攻擊；而現(xiàn)如今黑灰產(chǎn)的攻擊招式已進化為“真人、真機、真行為”，通過欺詐或指向性引導(dǎo)騙取零售電商的實際用戶進行非真實意愿的操作，以成為其賺取利益的工具。羊毛黨、黃牛黨、打碼黨以及小程序網(wǎng)賺黨、網(wǎng)賺團隊欺詐等就是這一方式的“熟練玩家”。

黑產(chǎn)從各個平臺招兼職，也就是黃牛黨的“肉?！?，“牛頭”會在專門分包的網(wǎng)站上發(fā)任務(wù)，讓“肉牛”去買對應(yīng)的東西，寄給牛頭，再以做任務(wù)獎金的方式把錢返回，實現(xiàn)對貨源完全控制。

在搶購手機、黃金和茅臺酒上，這種手段用得比較多。

既然都是朝同一個地址郵寄，為什么不能封禁這些購買人的帳號？

因為黃牛也研究了規(guī)則，并告訴了“肉?！比绾瓮黄埔?guī)則，故意讓收貨地址變得不一樣，比如全部寫成附近的快遞站，選擇自提，再和快遞員商量好，等商品到齊，自己再開一輛車來提走所有貨物。

目前，通過大規(guī)模學(xué)習甚至 AI 算法運用，零售電商黑灰產(chǎn)已能輕松繞過圖形驗證碼、手機短信驗證、賬號限制和活動地區(qū)限制等傳統(tǒng)防刷手段。借助自動打碼平臺、貓池、接碼平臺、大量養(yǎng)號和秒變位置等，專業(yè)化、產(chǎn)業(yè)化的黑灰產(chǎn)已對新零售電商發(fā)起了新的挑戰(zhàn)。

以往黑灰產(chǎn)大部分都是采用 Android 設(shè)備作為攻擊工具的，比如大量養(yǎng)號或通過植入木馬等控制器挖礦，充當肉雞。但隨著 Android 設(shè)備指紋的大量普及，加之該類設(shè)備系統(tǒng)本身性能上的缺陷，黑灰產(chǎn)改將“黑手”伸向了 ios 設(shè)備，從黑市收購 ios 設(shè)備 root 后，利用其作為攻擊工具，在攻擊環(huán)境和效果上取得了更大的突破。

4.照你這么說，攻擊者也用AI的話，安全人員怎么應(yīng)對？對商家有什么建議？

郭佳楠：第一，靠前期的信息搜集，覺察動向。

第二，利用 AI 的手段分析賬戶的歷史行為，比較周邊用戶的行為，購買的商品是否出現(xiàn)在歷史購買中?；旧?，“肉?！辟徺I的商品都集中在虛擬卡、黃金等容易變現(xiàn)的產(chǎn)品，操作習慣也跟正常人不一樣，他們很可能就是直接在同一個鏈接上點擊下單，當然，現(xiàn)在黃牛也有各種為了讓人相信這就是真實用戶的行為規(guī)則引導(dǎo)，我們依然可以用無監(jiān)督學(xué)習的一些方法找出“壞人”。

每個商家原有的能力不同，需要補的能力就不一樣。

像風控已經(jīng)做得不錯的商家，我們就會建議用上騰訊獨特的風控建模能力，如果主業(yè)不是做安全的，但是又受套利嚴重影響的電商公司，可能還是要構(gòu)建一個端對端的整體風控方案。也就是從底層的決策引擎到上面的風險數(shù)據(jù)，再朝上面建模，用智能風控中臺來解決業(yè)務(wù)安全的問題。

5.還有什么更新的對抗思路嗎？

郭佳楠：現(xiàn)在，我們有一種新的對抗思路：放羊，不直接對抗，分化打擊。

比如，黑產(chǎn)在注冊、登錄時，或者要在到達購買路徑時的某個點上做點什么時，我們不會直接在這個點上對抗，因為一旦跟他對抗，他發(fā)現(xiàn)了這個點，可能就會改變自己的策略，然后安全人員又會面臨著一次攻防升級，只要不是在最后的支付環(huán)節(jié)，在其他環(huán)節(jié)上，我們都會把它放過，可能它會突然發(fā)現(xiàn)這個券領(lǐng)不了了，或者紅包領(lǐng)得比較少，或者是下一次登錄時，它就自動登出。我們會再把它慢慢放到我們的體系來，可能針對10% 得壞流量用一種對抗方法，對50%用另外一種方法，40%用第三種方法，逐步分化攻擊，最終黑產(chǎn)不知道我們是在哪發(fā)現(xiàn)它的，也就無法進化成一個更新的對抗。

6.上面聊了很多業(yè)務(wù)安全面臨的威脅，新零售電商以前在基礎(chǔ)安全領(lǐng)域也受到過“暴擊”。搶券、短信轟炸、DDoS 攻擊、拼團砍價、黃賭毒曬單圖等依然是防護重點嗎？

郭佳楠：隨著零售電商企業(yè)線上與線下業(yè)務(wù)融合的不斷深化，零售電商線上平臺衍生的利益點和業(yè)務(wù)場景愈見寬廣。鑒于此，黑灰產(chǎn)對零售電商的覬覦也日趨體系化。

目前，黑灰產(chǎn)已形成了包含軟件開發(fā)與技術(shù)支持、賬號注冊與分銷、盈利變現(xiàn)等環(huán)節(jié)在內(nèi)的產(chǎn)業(yè)鏈，除傳統(tǒng)針對基礎(chǔ)安全系統(tǒng)的短信轟炸、DDoS攻擊仍是防護的重點外，搶券、拼團砍價、黃賭毒曬單坑爹圖等業(yè)務(wù)場景下的安全問題也成為當前零售電商行業(yè)安全防護的重中之重。

與此同時，來自以刷單為主要形式的網(wǎng)賺團伙欺詐和作弊引流的KOL作弊等全新黑產(chǎn)操作方式，也給業(yè)務(wù)風控提出了全新要求，營銷風控成為零售電商黑灰產(chǎn)對抗的核心痛點。

7.競爭對手向電商發(fā)起 DDoS 的情況常見嗎？遇到大促，用戶來一場人肉 DDoS 和競爭對手故意 DDoS的防護手段有什么區(qū)別？

郭佳楠：用戶發(fā)起的 DDoS 攻擊多集中在游戲行業(yè)，而零售電商行業(yè)遭遇的DDoS主要來源于競爭對手的攻擊。這種最簡單粗暴，不需要任何技巧的方式在商場時刻上演，別有用心的商家可以直接對競爭對手的服務(wù)器發(fā)起DDoS攻擊，導(dǎo)致剁手關(guān)鍵時刻競爭對手的用戶無法正常買買買，最常見的現(xiàn)象則是業(yè)務(wù)停擺。

在防護手段上，針對用戶發(fā)起的 DDoS 攻擊，要加固安全系統(tǒng)，提升防護機制；而針對競爭對手的攻擊則一般通過無監(jiān)督學(xué)習等 AI 手段對購買者畫像和行為畫像兩方面進行偵測，發(fā)現(xiàn)異常則采取對抗措施。同時，提升流量清洗防護能力和 BGP 接入線路性能，保證電商平臺即使遭遇 DDoS 攻擊時，也不影響業(yè)務(wù)順利進行。

8.說點什么震懾一下那些對電商搞破壞的黑灰產(chǎn)吧。

郭佳楠：我想送他們一本《刑法》。

**

干貨就這么結(jié)束了嗎？

并沒有呢。

你以為只有電商就遭遇了這種坑爹事嗎？作為一個報道網(wǎng)絡(luò)安全產(chǎn)業(yè)的老司機，我只想說，坑爹面前，人人平等，還有其他產(chǎn)業(yè)面臨著逃不過的安全問題。

因此，我們還要把這個欄目開下去，每期抱來一個重磅（當然不是指體重）產(chǎn)業(yè)專家，一起來聊聊產(chǎn)業(yè)安全這些事兒，我們給這個專欄起了個正經(jīng)名字《產(chǎn)業(yè)安全觀察》。

至于走的是不是正經(jīng)報道路線，你可以再看看下期。

如果你有特別想爆料的產(chǎn)業(yè)問題，歡迎聯(lián)系雷鋒網(wǎng)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。