雷鋒網按：本文作者墨栗，唯品會安全應急響應中心。

相對于實體商品，虛擬供應鏈產品天生就具有更高的交易風險。我們耳熟能詳的優(yōu)惠券、虛擬幣、充值卡、激活碼、電子票等都屬于虛擬供應鏈產品。過去很長一段時間都在討論實物產品的風控技術，今天我們談談虛擬供應鏈產品的風控。

| 實物商品風控有時間優(yōu)勢

電商平臺上的實物商品交易，永遠繞不開空間轉換。無論你購買什么商品，下單付款后一定還要經過倉庫、物流和配送等環(huán)節(jié)，才能完整地走完購物流程。這為平臺風控系統(tǒng)預留了足夠的風險計算時間，在此期間風控系統(tǒng)可以隨時發(fā)出指令終止流程，遏制損失。

 

以上紅色區(qū)域內任何時間點，電商平臺都有機會對異常訂單發(fā)起攔截操作。但虛擬供應鏈體系下的訂單并沒有類似的時間空檔，這對風控系統(tǒng)提出了巨大的挑戰(zhàn)。

| 虛擬供應鏈跨時空無物流環(huán)節(jié)

虛擬產品以在線交易和即時交付為基礎，因此一旦完成付款，虛擬產品就應該立即交付給消費者，這中間幾乎沒有等待的時間。試想你在餐館吃飯，結算時正要購買一張團購券。當你完成付款后，系統(tǒng)告訴你優(yōu)惠碼需要1小時候才能發(fā)送到你的手機，你是否能接受？虛擬供應鏈產品交付過程中的任何時間上的等待，都會導致用戶體驗的下降，更不要提2～3天的物流派送時間。

 

| 虛擬商品可復制，一經發(fā)貨覆水難收

類似于團購激活碼、會員充值碼、門票兌換碼這類虛擬商品，一旦商城發(fā)貨，消費者就可以立即明文獲取，并且能夠快速復制和傳播。電商平臺通常都不可能直接獲取已發(fā)貨電子商品的使用狀態(tài)，因此也無法在發(fā)現交易風險后快速撤銷訂單，取消“發(fā)貨”。

舉個例子，如果某電商平臺X和迪士尼合作在線售賣迪士尼門票。如果下單人員就站在電子出票機前，前手下單后手就從自助機上取出門票。就在訂單發(fā)生5分鐘之后，電商平臺X通過數據分析發(fā)現這筆訂單存在欺詐交易風險，試圖攔截交易。但因為此時電子碼已經被兌換，取消訂單已無意義……

 

當然在某些場景下，電商平臺可以和線下供應商進行溝通和協(xié)調，取消或凍結某些電子券，但總體來看成本（時間、技術和商務）非常高，成功率難以保證，風險不可忽視。上述業(yè)務特性就決定了虛擬供應鏈安全不容忽視，那么典型的虛擬供應鏈風控場景包括那些呢？

| 虛擬供應鏈安全典型風控場景

團隊在過去一年里與黑灰產在虛擬供應鏈交易環(huán)節(jié)做過無數PK，以下是我們總結的典型風控場景，希望對您有幫助：

●     盜卡交易

通過詐騙、木馬等手段，盜用他人銀行卡在平臺購買虛擬產品。因為省去了倉庫調撥、物流配送等環(huán)節(jié)，黑產可以快速購買商品并轉手銷贓。這類交易后期的損失和賠付往往由電商平臺承擔，因此風控系統(tǒng)必須能夠遏制絕大多數的盜卡欺詐交易。

●     盜號獲利

通過盜號攻擊（例如以密碼重用攻擊為基礎的身份盜用，也稱為“撞庫攻擊”）獲取大量用戶身份，消費這類用戶賬戶內的虛擬資產，購買虛擬產品等。例如，某電商平臺支持以X豆兌換Y游戲的點卡。

●     批量養(yǎng)號

批量注冊賬戶，并長期循環(huán)登錄保持活躍，“積極”參與電商平臺的各類領幣、領券、贈積分等活動。等到賬戶內的積分、虛擬幣等攢到一定級別，就可以轉手倒賣或用于購買低價商品。

●     并發(fā)獲利

工具黨在利用積分、幣、豆等兌換其它虛擬產品時，利用競態(tài)條件采用并發(fā)操作的方式，產生多筆交易。例如，電商平臺X網站開展活動以20積分兌換1個某視頻網站黃金會員激活碼。某用戶賬戶只有20積分，但同時開了10個瀏覽器打開相同的兌換頁面，以最快的速度同時向網站發(fā)起兌換操作。如果后臺系統(tǒng)沒有對賬戶積分做資源鎖定，則很有可能該用戶能夠一次性兌換多個激活碼。

●     套現獲利

利用網站業(yè)務邏輯漏洞獲取虛擬資產，再通過其它手段將虛擬財產轉換為人民幣資產從而實現非法套現。別問我怎么做到的……

●     破解算法

互聯網上典型的虛擬產品是類似于優(yōu)惠券、激活碼、充值碼等字符串形式的數字信息；最常見的形式，莫過于一串數字字母組合。以充值卡為例，好的充值密碼在設計上做過充分的安全設計，特別是長度，字符類型等。但也有些廠商的充值密碼存在重大設計缺陷，導致可被批量枚舉，例如：某充值卡激活碼樣式類似SH81982。該驗證碼長度有限，且前兩位是分銷商區(qū)域標識（SH，上海）。攻擊者在網站激活完全可以遍歷最后5位數字。以現在的互聯網速度和計算能力，用不了多久即可獲取大量充值卡密碼。

| 虛擬供應鏈風控建設

由于眾所周知的原因，我們不在這里就技術實現的細節(jié)做展開討論，但虛擬供應鏈風控的基本思想和策略還是可以和大家分享的。我們已經知道虛擬供應鏈與實體商品的售賣有重大的區(qū)別，因此對虛擬供應鏈風控系統(tǒng)、策略也提出了大量的挑戰(zhàn)。風控系統(tǒng)必須能夠做到精準識別風險交易，快速給出判定結果，有效地控制誤報率和漏報率。推薦的一些思路如下：

●     使用同步和異步兩種風控策略

為了提高虛擬產品購買體驗，加速購買流程，風控系統(tǒng)必須提供強大的同步服務調用能力。業(yè)務系統(tǒng)在調用風控后，必須在數十毫秒內得到明確的結果，如：是否允許下單，是否允許付款等。針對單個交易，同步風控調用固然有效；但有些情況下異步風控仍然不可或缺。產品、業(yè)務方應該在盡其可能的情況下，提供風控系統(tǒng)異步決策的業(yè)務攔截機制，以應對那些通過跨時間段統(tǒng)計分析才能識別風險的欺詐交易場景。

●     建立特定標識的黑白名單

歷史積累數據對風控決策有重要幫助作用。風控系統(tǒng)必須能夠進行近實時、離線等數據計算，將計算結果寫入某些中間集合。黑白名單是一個非常典型的技術手段。如果某些用戶ID、IP、設備號等已經被列入黑名單，則風控調用過程中完全不需要再走風險計算邏輯，直接根據黑白名單即可輸出結果。該方式將大大縮短風控響應時間，在保障安全性的同時提升了用戶的購物體驗。

●     做好項目安全評審

項目安全評審不僅僅包括代碼安全評審，還包活從項目發(fā)起時的需求評審。例如公司要在線上做一期免費領券看電影的活動，那么風控團隊就要評估：這個項目的在線活動是怎么個玩法（活動規(guī)則），主要風險點在哪，攻擊者會使用何種方式來獲利，現有的風控系統(tǒng)能否支撐該場景下的風險控制，是否需要調整部分規(guī)則規(guī)則以規(guī)避潛在的風險等。

限于時間和篇幅還有很多問題我們沒有充分展開討論，下一篇繼續(xù)！在虛擬供應鏈安全這場對抗中，無論是黑灰產還是電商平臺的風控團隊，要想獲勝就必須能做到以最快速度達到自身目的。一句話：手快有，手慢無！

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。