有人從偏遠(yuǎn)的山村低價購買身份證，以每個身份證幾百元的價格賣給下家；

黑客開發(fā)出自動化的程序和腳本，尋找、開發(fā)最先進(jìn)的移動端模擬器；

在無數(shù)的打碼平臺上，想要賺外快的人們正在以每個一分錢的酬勞手動輸入他們看到的圖形驗證碼；

所有的“分工”都指向一個明確的目的：把某 O2O 或金融理財類 App 用來招攬新戶的高額補貼瞬間“薅”光。

對于很多創(chuàng)業(yè)團(tuán)隊來說，新業(yè)務(wù)往往會在“薅羊毛”團(tuán)伙的狂轟濫炸由于補貼支出過于龐大而被迫下線。然而這還遠(yuǎn)遠(yuǎn)不是全部。在賽博世界里，針對各種業(yè)務(wù)的“灰產(chǎn)團(tuán)伙”已經(jīng)集結(jié)成軍。

【在QQ群里刷屏的“羊毛信息”】

大數(shù)據(jù)會出賣騙子嗎？

對于O2O行業(yè)，薅羊毛、刷單和垃圾注冊可能瞬間拉倒一個平臺，對于互聯(lián)網(wǎng)金融來說，惡意借款、信用欺詐同樣讓公司蒙受巨額損失。最可怕的問題是，這些遭受損失的公司可能根本無法定位到對手在哪。

哪里有壓迫哪里就有反抗。在這個“盜匪猖獗”的兇險環(huán)境里，出現(xiàn)了專門使用頂尖技術(shù)實現(xiàn)反欺詐的“民兵”。對于同盾科技的反欺詐及基礎(chǔ)產(chǎn)品總監(jiān)祝偉來說，他相信大數(shù)據(jù)和相關(guān)技術(shù)就是一盞火把，可以驅(qū)除眼前的蒙昧無知，看清敵人的一舉一動。

通過對正常用戶的分析，可以得出一個行為模型。而一個潛在的威脅者，出于惡意目的，他的行為一定和正常的用戶有所不同。

祝偉告訴雷鋒網(wǎng)，找出“騙子”的行為特征在各個數(shù)據(jù)維度上的特點，并且判斷出潛在的風(fēng)險，就是同盾科技的核心技術(shù)。如此看來，足夠大的數(shù)據(jù)量就像一瓶顯影液，在浩如煙海的人群里讓騙子現(xiàn)形。但是，究竟哪些行為會出賣騙子呢？

壞人的蛛絲馬跡

代理 IP

壞人永遠(yuǎn)不希望受害者帶著警察找上門。所以，在干壞事的時候，他需要一個代理IP。

任何一個互聯(lián)網(wǎng)用戶訪問某網(wǎng)站的時候，都會被分配一個IP地址，和網(wǎng)站通信的過程就相相當(dāng)于郵寄一封封信。因為需要回信，所以所有訪問者必須填寫自己的地址。而“他們”顯然不希望自己的真實IP被知道。所以他們會通過代理軟件，通過一個跳板訪問網(wǎng)站，這樣就可以隱匿真實的 IP 地址。

而我們要做的，就是用模擬IP代理協(xié)議來探測一個 IP 究竟有沒有對外提供代理功能。通過掃描的方式，可以識別絕大多數(shù)的代理 IP。但由于 IP 的時效性比較差，有可能前一天這個 IP 是代理 IP，而第二天就變成了正常的 IP，所以我們的檢測基本上是準(zhǔn)實時的。

但是，代理 IP 只是評價一個訪問者是否具有風(fēng)險的千萬條規(guī)則中的一個，想要定位到具體的人，還需要其他的判定條件，例如：精準(zhǔn)地定位到這個人手中所使用的設(shè)備。

【某 IP 代理軟件】

設(shè)備指紋

如果面對面，我很容易識別出你用的是什么手機什么電腦，你的設(shè)備會在我心中留下一個對應(yīng)的形象；但是下次見到你，我都很難判斷你手上的手機究竟是不是和上次一模一樣的那個。而如何能在千里之外，只通過數(shù)字和代碼就為設(shè)備打上獨一無二的“指紋”，則更加艱難。

“每當(dāng)一個設(shè)備連接到網(wǎng)站，系統(tǒng)就會在權(quán)限內(nèi)探測盡可能多的設(shè)備信息，例如終端的環(huán)境、MAC地址等硬件參數(shù)。通過諸多數(shù)據(jù)為每個設(shè)備分配一個ID?！?/strong>

祝偉告訴雷鋒網(wǎng)，設(shè)備指紋可以應(yīng)用在很多場景中：

很多賬戶通過同一個 IP 地址登錄網(wǎng)站，這件事情有可能發(fā)生。例如一家公司的 Wi-Fi 可能連接了100名同事，此時他們共用一個 IP。但是這100名同事中有10名登錄淘寶的可能性很大，這并不是異常。所以在這個情況下，IP 并不能作為判定條件，而是要采用更精細(xì)的設(shè)備指紋。一個特定的設(shè)備上，如果有10個賬戶登錄淘寶，這樣的行為本身就是一種異常，表明注冊刷單的可能性很大。

不僅如此，通過設(shè)備指紋還可以輕松定位出刷單團(tuán)伙。

幾個賬戶同時在一個設(shè)備上登錄，而這幾個賬戶又曾經(jīng)在其他設(shè)備上登錄過。根據(jù)這樣的“交叉登錄”行為，可以勾勒出一個團(tuán)伙使用的的所有設(shè)備。當(dāng)然，設(shè)備指紋作為一個重要的維度，還要結(jié)合 IP、用戶提交的身份證信息、用戶其他行為等等，就可以很精準(zhǔn)地描繪出團(tuán)伙的行為和規(guī)模。

模擬器

灰產(chǎn)已經(jīng)集結(jié)成軍。而既然是軍隊，就會采用大規(guī)模殺傷性武器——自動化工具。

這些自動化工具一般會在 PC 上使用模擬機模擬手機的運行環(huán)境，然后按照腳本批量進(jìn)行特定操作。探測到某個用戶正在使用虛擬機進(jìn)行登錄，那么這個用戶就是很可疑的，因為正常的用戶幾乎不可能用虛擬機來登錄這些服務(wù)。

祝偉告訴雷鋒網(wǎng)，他曾經(jīng)注意到同盾科技的檢測系統(tǒng)報告過某平臺的一次異常登錄。

一天早上，有一個用戶試圖登錄多個賬號，但是被平臺攔截了；

接下來他試著更換了不同的 IP 地址登錄，還是被識別出來；

接下來他又使用了模擬器登錄，仍然被拒絕。

這是一個典型的異常行為。后來我們對這個用戶進(jìn)行追蹤，發(fā)現(xiàn) Ta 不久前在一個著名的“羊毛論壇”發(fā)表過針對這個平臺的“薅羊毛”技術(shù)貼。根據(jù)這些數(shù)據(jù)進(jìn)行全局關(guān)聯(lián)，我們還原了 Ta 嘗試“薅羊毛”的路徑，認(rèn)為這就是一個典型的羊毛黨。

【某安卓手機模擬器】

彪悍的大數(shù)據(jù)

通過技術(shù)手段的判定和用戶的反饋，風(fēng)控云背后積累了眾多的正常用戶和風(fēng)險用戶數(shù)據(jù)。對于某些數(shù)據(jù)而言，分散在各行業(yè)各平臺之中，并沒有明顯的價值，而一旦被匯總到統(tǒng)一的系統(tǒng)中，價值就會呈幾何數(shù)級增長。

祝偉把這種彪悍的數(shù)據(jù)應(yīng)用稱為“聯(lián)防聯(lián)控”。他舉了一個信貸行業(yè)的例子：

各大借款平臺的借款人是有可能重合的。

如果一個人在A平臺上提出了借款申請，而大數(shù)據(jù)顯示他在B平臺因為拖欠貸款已經(jīng)被追債玩失聯(lián)。這個時候系統(tǒng)就會提示A平臺這個用戶存在巨大風(fēng)險。

如果一個人在A平臺上提出了借款申請，而大數(shù)據(jù)顯示他同時在BCDEF平臺都提出了借款申請，說明這個人對錢的渴望程度非常高，這可能表明這個人的經(jīng)濟(jì)狀況不佳，存在一定風(fēng)險。

如果一個人在A平臺上提出了借款申請，而大數(shù)據(jù)顯示他已經(jīng)在BCD平臺成功借款，這說明他的負(fù)債金額很大。

當(dāng)然數(shù)據(jù)的維度不止于此，例如我們也可以通過高院的接口來調(diào)查這個人是否有過法院糾紛。對于A平臺來說，這些數(shù)據(jù)使得這個人的背景并不是一片漆黑，他們可以根據(jù)自己的風(fēng)險承受能力選擇是否批準(zhǔn)。

當(dāng)然，所有技術(shù)手段，例如判斷賬號的交叉登錄、同一設(shè)備多賬號登錄、某一類特定歸屬地的電話號碼用戶登錄，其實都采用了多組數(shù)據(jù)組成多個規(guī)則的方法，對潛在的風(fēng)險進(jìn)行篩查。而為了精準(zhǔn)地揪出“壞人”，還需要高質(zhì)量的情報，所以各大羊毛黨論壇、qq群成為了非常重要的情報來源。

祝偉說，當(dāng)羊毛黨在論壇或群里發(fā)帖招攬“同伙”的時候，系統(tǒng)會根據(jù)某些關(guān)鍵詞自動抓取這類“羊毛信息”，再把信息通知到相應(yīng)的平臺。當(dāng)然最重要的一步是：檢驗自己究竟有沒有防護(hù)接下來可能到來的潮水般的攻擊。

曾經(jīng)有一個客戶平臺，他們的新產(chǎn)品剛剛上線，我們的系統(tǒng)監(jiān)控到某專門的論壇里有羊毛黨盯上了這個產(chǎn)品。讓人驚訝的是，很短的時間內(nèi)，他們就把刷產(chǎn)品的方法、教程、軟件工具全部準(zhǔn)備好并且放到網(wǎng)絡(luò)上了。羊毛黨的攻擊雖然千奇百怪，但是基礎(chǔ)原理大同小異，例如用不同的方法實現(xiàn)代理 IP，或者采用最新的模擬器來逃過模擬器檢測。在這種不斷對抗的攻防中，我們要做的就是不斷升級自己的規(guī)則，保證識別效果。

當(dāng)然，為了保證風(fēng)控效果，很多更為精尖的識別規(guī)則無法對外透露。但言而總之，為了揪出一個騙子，無數(shù)頂尖專家耗用了諸多最先進(jìn)的科技。同盾科技CEO蔣韜早些時候曾經(jīng)對雷鋒網(wǎng)表示：“攻防是一個相互對抗的過程。在中國的實際情況下，黑產(chǎn)的力量非常強大，所以客觀上風(fēng)控的技術(shù)也變得國際領(lǐng)先。”

面對大數(shù)據(jù)組成的“照妖鏡”，鋌而走險的騙子們可以嘗試一下最后一招——金盆洗手。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。