雷鋒網(wǎng)按：本文作者墨栗，唯品會(huì)安全應(yīng)急響應(yīng)中心。

相對(duì)于實(shí)體商品，虛擬供應(yīng)鏈產(chǎn)品天生就具有更高的交易風(fēng)險(xiǎn)。我們耳熟能詳?shù)膬?yōu)惠券、虛擬幣、充值卡、激活碼、電子票等都屬于虛擬供應(yīng)鏈產(chǎn)品。過(guò)去很長(zhǎng)一段時(shí)間都在討論實(shí)物產(chǎn)品的風(fēng)控技術(shù)，今天我們談?wù)勌摂M供應(yīng)鏈產(chǎn)品的風(fēng)控。

| 實(shí)物商品風(fēng)控有時(shí)間優(yōu)勢(shì)

電商平臺(tái)上的實(shí)物商品交易，永遠(yuǎn)繞不開空間轉(zhuǎn)換。無(wú)論你購(gòu)買什么商品，下單付款后一定還要經(jīng)過(guò)倉(cāng)庫(kù)、物流和配送等環(huán)節(jié)，才能完整地走完購(gòu)物流程。這為平臺(tái)風(fēng)控系統(tǒng)預(yù)留了足夠的風(fēng)險(xiǎn)計(jì)算時(shí)間，在此期間風(fēng)控系統(tǒng)可以隨時(shí)發(fā)出指令終止流程，遏制損失。

 

以上紅色區(qū)域內(nèi)任何時(shí)間點(diǎn)，電商平臺(tái)都有機(jī)會(huì)對(duì)異常訂單發(fā)起攔截操作。但虛擬供應(yīng)鏈體系下的訂單并沒(méi)有類似的時(shí)間空檔，這對(duì)風(fēng)控系統(tǒng)提出了巨大的挑戰(zhàn)。

| 虛擬供應(yīng)鏈跨時(shí)空無(wú)物流環(huán)節(jié)

虛擬產(chǎn)品以在線交易和即時(shí)交付為基礎(chǔ)，因此一旦完成付款，虛擬產(chǎn)品就應(yīng)該立即交付給消費(fèi)者，這中間幾乎沒(méi)有等待的時(shí)間。試想你在餐館吃飯，結(jié)算時(shí)正要購(gòu)買一張團(tuán)購(gòu)券。當(dāng)你完成付款后，系統(tǒng)告訴你優(yōu)惠碼需要1小時(shí)候才能發(fā)送到你的手機(jī)，你是否能接受？虛擬供應(yīng)鏈產(chǎn)品交付過(guò)程中的任何時(shí)間上的等待，都會(huì)導(dǎo)致用戶體驗(yàn)的下降，更不要提2～3天的物流派送時(shí)間。

 

| 虛擬商品可復(fù)制，一經(jīng)發(fā)貨覆水難收

類似于團(tuán)購(gòu)激活碼、會(huì)員充值碼、門票兌換碼這類虛擬商品，一旦商城發(fā)貨，消費(fèi)者就可以立即明文獲取，并且能夠快速?gòu)?fù)制和傳播。電商平臺(tái)通常都不可能直接獲取已發(fā)貨電子商品的使用狀態(tài)，因此也無(wú)法在發(fā)現(xiàn)交易風(fēng)險(xiǎn)后快速撤銷訂單，取消“發(fā)貨”。

舉個(gè)例子，如果某電商平臺(tái)X和迪士尼合作在線售賣迪士尼門票。如果下單人員就站在電子出票機(jī)前，前手下單后手就從自助機(jī)上取出門票。就在訂單發(fā)生5分鐘之后，電商平臺(tái)X通過(guò)數(shù)據(jù)分析發(fā)現(xiàn)這筆訂單存在欺詐交易風(fēng)險(xiǎn)，試圖攔截交易。但因?yàn)榇藭r(shí)電子碼已經(jīng)被兌換，取消訂單已無(wú)意義……

 

當(dāng)然在某些場(chǎng)景下，電商平臺(tái)可以和線下供應(yīng)商進(jìn)行溝通和協(xié)調(diào)，取消或凍結(jié)某些電子券，但總體來(lái)看成本（時(shí)間、技術(shù)和商務(wù)）非常高，成功率難以保證，風(fēng)險(xiǎn)不可忽視。上述業(yè)務(wù)特性就決定了虛擬供應(yīng)鏈安全不容忽視，那么典型的虛擬供應(yīng)鏈風(fēng)控場(chǎng)景包括那些呢？

| 虛擬供應(yīng)鏈安全典型風(fēng)控場(chǎng)景

團(tuán)隊(duì)在過(guò)去一年里與黑灰產(chǎn)在虛擬供應(yīng)鏈交易環(huán)節(jié)做過(guò)無(wú)數(shù)PK，以下是我們總結(jié)的典型風(fēng)控場(chǎng)景，希望對(duì)您有幫助：

●     盜卡交易

通過(guò)詐騙、木馬等手段，盜用他人銀行卡在平臺(tái)購(gòu)買虛擬產(chǎn)品。因?yàn)槭∪チ藗}(cāng)庫(kù)調(diào)撥、物流配送等環(huán)節(jié)，黑產(chǎn)可以快速購(gòu)買商品并轉(zhuǎn)手銷贓。這類交易后期的損失和賠付往往由電商平臺(tái)承擔(dān)，因此風(fēng)控系統(tǒng)必須能夠遏制絕大多數(shù)的盜卡欺詐交易。

●     盜號(hào)獲利

通過(guò)盜號(hào)攻擊（例如以密碼重用攻擊為基礎(chǔ)的身份盜用，也稱為“撞庫(kù)攻擊”）獲取大量用戶身份，消費(fèi)這類用戶賬戶內(nèi)的虛擬資產(chǎn)，購(gòu)買虛擬產(chǎn)品等。例如，某電商平臺(tái)支持以X豆兌換Y游戲的點(diǎn)卡。

●     批量養(yǎng)號(hào)

批量注冊(cè)賬戶，并長(zhǎng)期循環(huán)登錄保持活躍，“積極”參與電商平臺(tái)的各類領(lǐng)幣、領(lǐng)券、贈(zèng)積分等活動(dòng)。等到賬戶內(nèi)的積分、虛擬幣等攢到一定級(jí)別，就可以轉(zhuǎn)手倒賣或用于購(gòu)買低價(jià)商品。

●     并發(fā)獲利

工具黨在利用積分、幣、豆等兌換其它虛擬產(chǎn)品時(shí)，利用競(jìng)態(tài)條件采用并發(fā)操作的方式，產(chǎn)生多筆交易。例如，電商平臺(tái)X網(wǎng)站開展活動(dòng)以20積分兌換1個(gè)某視頻網(wǎng)站黃金會(huì)員激活碼。某用戶賬戶只有20積分，但同時(shí)開了10個(gè)瀏覽器打開相同的兌換頁(yè)面，以最快的速度同時(shí)向網(wǎng)站發(fā)起兌換操作。如果后臺(tái)系統(tǒng)沒(méi)有對(duì)賬戶積分做資源鎖定，則很有可能該用戶能夠一次性兌換多個(gè)激活碼。

●     套現(xiàn)獲利

利用網(wǎng)站業(yè)務(wù)邏輯漏洞獲取虛擬資產(chǎn)，再通過(guò)其它手段將虛擬財(cái)產(chǎn)轉(zhuǎn)換為人民幣資產(chǎn)從而實(shí)現(xiàn)非法套現(xiàn)。別問(wèn)我怎么做到的……

●     破解算法

互聯(lián)網(wǎng)上典型的虛擬產(chǎn)品是類似于優(yōu)惠券、激活碼、充值碼等字符串形式的數(shù)字信息；最常見(jiàn)的形式，莫過(guò)于一串?dāng)?shù)字字母組合。以充值卡為例，好的充值密碼在設(shè)計(jì)上做過(guò)充分的安全設(shè)計(jì)，特別是長(zhǎng)度，字符類型等。但也有些廠商的充值密碼存在重大設(shè)計(jì)缺陷，導(dǎo)致可被批量枚舉，例如：某充值卡激活碼樣式類似SH81982。該驗(yàn)證碼長(zhǎng)度有限，且前兩位是分銷商區(qū)域標(biāo)識(shí)（SH，上海）。攻擊者在網(wǎng)站激活完全可以遍歷最后5位數(shù)字。以現(xiàn)在的互聯(lián)網(wǎng)速度和計(jì)算能力，用不了多久即可獲取大量充值卡密碼。

| 虛擬供應(yīng)鏈風(fēng)控建設(shè)

由于眾所周知的原因，我們不在這里就技術(shù)實(shí)現(xiàn)的細(xì)節(jié)做展開討論，但虛擬供應(yīng)鏈風(fēng)控的基本思想和策略還是可以和大家分享的。我們已經(jīng)知道虛擬供應(yīng)鏈與實(shí)體商品的售賣有重大的區(qū)別，因此對(duì)虛擬供應(yīng)鏈風(fēng)控系統(tǒng)、策略也提出了大量的挑戰(zhàn)。風(fēng)控系統(tǒng)必須能夠做到精準(zhǔn)識(shí)別風(fēng)險(xiǎn)交易，快速給出判定結(jié)果，有效地控制誤報(bào)率和漏報(bào)率。推薦的一些思路如下：

●     使用同步和異步兩種風(fēng)控策略

為了提高虛擬產(chǎn)品購(gòu)買體驗(yàn)，加速購(gòu)買流程，風(fēng)控系統(tǒng)必須提供強(qiáng)大的同步服務(wù)調(diào)用能力。業(yè)務(wù)系統(tǒng)在調(diào)用風(fēng)控后，必須在數(shù)十毫秒內(nèi)得到明確的結(jié)果，如：是否允許下單，是否允許付款等。針對(duì)單個(gè)交易，同步風(fēng)控調(diào)用固然有效；但有些情況下異步風(fēng)控仍然不可或缺。產(chǎn)品、業(yè)務(wù)方應(yīng)該在盡其可能的情況下，提供風(fēng)控系統(tǒng)異步?jīng)Q策的業(yè)務(wù)攔截機(jī)制，以應(yīng)對(duì)那些通過(guò)跨時(shí)間段統(tǒng)計(jì)分析才能識(shí)別風(fēng)險(xiǎn)的欺詐交易場(chǎng)景。

●     建立特定標(biāo)識(shí)的黑白名單

歷史積累數(shù)據(jù)對(duì)風(fēng)控決策有重要幫助作用。風(fēng)控系統(tǒng)必須能夠進(jìn)行近實(shí)時(shí)、離線等數(shù)據(jù)計(jì)算，將計(jì)算結(jié)果寫入某些中間集合。黑白名單是一個(gè)非常典型的技術(shù)手段。如果某些用戶ID、IP、設(shè)備號(hào)等已經(jīng)被列入黑名單，則風(fēng)控調(diào)用過(guò)程中完全不需要再走風(fēng)險(xiǎn)計(jì)算邏輯，直接根據(jù)黑白名單即可輸出結(jié)果。該方式將大大縮短風(fēng)控響應(yīng)時(shí)間，在保障安全性的同時(shí)提升了用戶的購(gòu)物體驗(yàn)。

●     做好項(xiàng)目安全評(píng)審

項(xiàng)目安全評(píng)審不僅僅包括代碼安全評(píng)審，還包活從項(xiàng)目發(fā)起時(shí)的需求評(píng)審。例如公司要在線上做一期免費(fèi)領(lǐng)券看電影的活動(dòng)，那么風(fēng)控團(tuán)隊(duì)就要評(píng)估：這個(gè)項(xiàng)目的在線活動(dòng)是怎么個(gè)玩法（活動(dòng)規(guī)則），主要風(fēng)險(xiǎn)點(diǎn)在哪，攻擊者會(huì)使用何種方式來(lái)獲利，現(xiàn)有的風(fēng)控系統(tǒng)能否支撐該場(chǎng)景下的風(fēng)險(xiǎn)控制，是否需要調(diào)整部分規(guī)則規(guī)則以規(guī)避潛在的風(fēng)險(xiǎn)等。

限于時(shí)間和篇幅還有很多問(wèn)題我們沒(méi)有充分展開討論，下一篇繼續(xù)！在虛擬供應(yīng)鏈安全這場(chǎng)對(duì)抗中，無(wú)論是黑灰產(chǎn)還是電商平臺(tái)的風(fēng)控團(tuán)隊(duì)，要想獲勝就必須能做到以最快速度達(dá)到自身目的。一句話：手快有，手慢無(wú)！

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。