追踪掠食者：地下灰产如何撸死创业公司？

本文由  网易云 发布。

 

互联网大公司周围，每每围着一群灰产从业者，他们是看不见的敌人，经常躲在暗处，乘机而动。《一代宗师》里说，“风尘之中必有性情中人”，羊毛党可恶之中实有可取之处，其目标精准，不舍昼夜，直击要害。羊毛党们对每一年的双11、双12、情人节等节日的大促备战一点不比电商平台松懈，做为专业“薅羊毛”地下团队，没有人比他们对平台、商家的促销和优惠信息更加敏锐。近些年来，不乏被羊毛党薅死的正规公司。

因羊毛党致使平台破产的案例不在少数。像O2O平台、电商平台、社交平台、互联网金融平台这样的活跃平台就是羊毛党攻击的主要目标。

在P2P平台，一个促销从几十到上百元不等，“羊毛党”每月能够赚几万到几十万。

羊毛党带来的伤害不只限于企业，并且也会波及到企业的真实用户利益，致使本属于他们的利益被掠夺一空。薅羊毛手法突飞猛进，与时俱进，从传统手法到人工智能，羊毛党魔爪甚至伸向了缺少监管的区块链行业。那么他们都是怎样一群人？网易云易盾的安全专家从羊毛党人群画像、做案工具、技术反击、规则反击角度，为咱们揭开了不为大众所知的互联网冰山一角。

羊毛党大起底

第1、代下单党

是目前最为活跃的群体做案。好比x公司有会员卡，开年卡，老用户能够九六折购买其产品，这些带下单的人就会用这些会员卡，再叠加一些优惠券活动，拿到比较低的价格。

通常的操做手法是，他们会找真实的购买群体。好比加微信好友，在朋友圈晒商品，好比你购买须要100元，我帮你购买你只须要98元，实际上羊毛党的成本只有95元。最后收到商品的和下单的并不是同一我的，下单的人就赚取中间差价。这种类型如今比较活跃。相似于微商的形式在传播。一个大boss有技术和机器搜集商品的各类信息，还会收一些学徒，学徒要给他钱，最后他赚取的不只是商品的差价，还有学费。他们在群里发x商品用y方法能够拿到最低价格，这些学徒就会在朋友圈告诉客户。涉及唇膏，洗发水等价格较低的商品。

第2、抢红包优惠券党

好比滴滴或者ofo打车在作活动的时候，羊毛党就会盯上，进行虚假刷单，经过注册车主帐号，用户帐号，虚拟定位等技术，实现即使没有行程和订单，同样能够套平台的利益和掠夺真实用户的利益。在作推广和拉新的时候，好比个贷平台，羊毛党去套现平台的优惠和红包也是比较活跃的形式。

第3、黄牛党

若是代下单是to C，那么黄牛就是to B，他们的客户包括线下母婴店，或者是需求量较大的商户。他们买的东西很集中，不少下单和收件都是批量进行，这方式稳定且涉及资金量大，通常集中在奶粉或尿不湿类商品。

据网易易盾的运营专家透露，刚入行的时候，出于工做须要以及好奇心，他会专门去研究这群人，刚开始心里戏特别丰富，以为本身须要时刻保持警戒，且一开始要作好万全准备，乔装打扮、话术包装，觉得本身像警察卧底毒贩呢。结果进去以后发现，学生和妈妈党不少，都是兼职在作，并非有组织有纪律的待在一个地方办公搞灰产。有的甚至意识不到本身在搞灰产，只当是兼职赚钱呢。

这些羊毛党用到的工具，以及做案手法在不断更迭。但顶级的安全公司，都有那么如今都有哪些反击技术？

在解释这个以前，得先了解羊毛党时下都有什么新的做案工具和技术手法。下面是一张完整的薅羊毛做业链。

全套做案工具揭秘

                                               图注：薅羊毛做业链

1. 账号

很多商家提供账号售卖服务，即买即用，省去注册流程。

2.IP

售卖代理IP的商家也不在少数，价格低廉甚至还提供包月服务。固然本身写爬虫收集代理IP也能够，若是掌握了一些肉鸡就更方便。用不一样的IP登陆不一样的账号是隐藏行踪的好方法。

3.验证码平台

图片验证码和手机短信验证码都有专业的打码平台。对于简单的验证码，用机器识别便可（成功率至关高），对于复杂度较高的验证码，打码平台支持人工打码7*24小时服务。以下图，震不震撼？

 

                                                  图注：人工打码

对于短信验证码，打码平台使用自身或购买的卡商资源，提供相应的api或者工具包，方便做弊工具自动获取手机号和验证码，做弊工具可以使用各类未经实名认证甚至实名认证的手机号码在各电商平台注册。打码平台的上游卡商实际掌握了大量手机卡，他们利用猫池等设备实现多手机号自动接收和解析短信验证码，并将手机号和短信验证码提供给打码平台，最终做弊工具可经过打码平台全自动获取手机号和短信。

 

                                                             图注：猫池

4.模拟器

模拟器一般是指安卓模拟器，安卓模拟器很是强大且种类繁多，基本能够模拟一个真实手机的所有功能，好比BlueStacks，GPS、MAC地址等信息均可模拟。

5.软件修改手机信息

通常的公司经过设备指纹或者IP高频限制去过滤羊毛党，但羊毛党有更高级的应对方式，好比经过软件控制多个手机，可使用软件修改手机信息，还能经过代理IP不断更换IP地址，这样薅羊毛的效率大大提高。

全部问题都解决以后，就是羊毛党的地下盛宴，羊毛狂欢。领到各类优惠券后，再经过各类渠道把优惠券销售出去。那么如何反击呢？

                                       技术反击：人工智能动态反做弊系统

网易云易盾的技术专家刘庆接受采访时表示，为了增长破解难度，提升做弊成本，如今很多企业会将客户端和服务端的通讯数据进行加密，这样作确实能够提升破解成本。但通常的数据加密方案，对于专业的黑客来讲，可能也就是多花几小时的破解时间而已。以他们多年来积累的防控经验，他们总结了下面一套方法。

动态数据保护

一种可让破解者退而却步的方案是：设计一个动态的加密算法，每套加密算法有本身的生命周期，即便黑客破解了这套算法，我们实际已经切换到下套算法，所以，黑客的破解也将毫无用武之地，必须从新破解才行。固然，这个方案还必须配合APP或SDK加固才能活得长久，至关因而给动态算法再加上一层保护壳。

设备指纹追踪做弊设备

据刘庆透露，设备指纹是防薅羊毛的重要手段，若是能准确标记薅羊毛的设备，实际上对羊毛党来讲是一个重大的打击。然而，目前市面上已经出现了各类改机软件和模拟器，能不断修改设备信息，让通常的设备指纹一无可取。但网易云易盾拥有一批专业的客户端安全团队，他们已经研究出了一系列的黑科技，能确保拿到底层的设备信息，能免疫目前存在的改机软件和模拟器。同时网易云易盾也沉淀了丰富的设备检测模型，能精确区分正常设备和做弊设备。

行为建模鉴别真假用户

人和机器是两类事物，机器的行为老是有规律可循的。能够经过人工智能对触摸、陀螺仪的数据，以及浏览器上的鼠标移动、点击等行为，结合设备指纹、业务场景等进行建模分析。网易云易盾已经积累了很是丰富的人和机器的样本数据，训练出了高准确率的行为模型，能有效识别机器行为。

IP画像防止误杀真实用户

若是简单依靠IP来制定规则，则可能会误杀正经常使用户，毕竟大公司的员工都是共用一个或几个出口IP，再加上移动基站、公共wifi等共用网络资源，简单的IP规则可能致使大量的误杀。而实际，专业的羊毛党都会使用代理IP池技术，一个IP可能就使用几回，直接绕过IP层面的规则。

但能够从另外个角度出发，就是对一个IP从网络层面和业务层面作画像，并经过评分模型，给每一个IP输出一个风险值，基于动态更新的风险值来创建各类业务规则，能够有效识别做弊IP，同时尽量的减小对正经常使用户的误杀。

机器学习识别羊毛党团伙做案

除了修好城墙以外，也须要主动出击。结合无监督学习+有监督学习方法来发掘羊毛党团伙做案的网络模型，下图是一个典型的关联网络图。

 

                            图注：关联模型图

首先，能够基于用户在一段时间内全部业务相关的数据创建关系链，这些关系链将构成一个总网络；而后，搜索网络中的全部子网络，进行连通图分割；其次，遍历每一个子网络，获取网络标签，挖掘网络特征；最后，经过机器学习构建识别羊毛党的网络模型。

风险名单库识别做弊用户快准狠

基于长期的业务数据和反做弊数据，能够积累出各种风险名单库，好比：手机号、设备、帐号等等。风险名单库主要包含黑名单和灰名单，网易云易盾经过多年和羊毛党的斗争，已经积累了千万级的风险名单库。

那么，从规则的角度来讲，又该如何防范？

运营反击：从内部配合到规则设定的建议

1、活动运营忌单打独斗 多与安全及技术部门沟通

网易云易盾运营专家建议说，不管产品拉新，仍是节日大促，其实搞活动的部门都须要和技术部门的同事以及安全运营部门联手，不少创业公司都没有这样的意识，你们都要尝到苦头，公司损失上百万以后才会意识到事态的严重性。一般，活动部门只从本身作活动可能会产生的热度、活跃度的角度考虑，而非从实际效果和风险角度去考虑。这对公司最后是很是不利的，可能热度是有了，但钱被羊毛党薅走了，真实用户活跃度没有提高，活跃的都是刷单用户。

建议作活动以前多跨部门沟通，或者找反做弊解决方案提供商，先评估帐号质量，作活动以前把全部名单先拉出来检测，若是企业并无作历史黑名单纪录，那么能够找反做弊解决方案提供商，他们会本身沉淀各个场景下的黑名单库。

2、产品设计漏洞排查

好比有的产品设置购买场景是这样的：1次购买金额达200元便可包邮，但平台方有不一样的仓库，一次购物会产生两个订单。那么这就给了羊毛党可乘之机，好比用户只想买100块钱的洗发水，还须要100就能免邮费。那么用户就会同时买这两件商品，但由于是在不一样仓库，因此分红了两个订单，那么用户就能够分开退掉不想要的货物，但包邮目的达到。这一漏洞一旦被大boss发现，就会批量操做。致使有的商品瞬间订单量上来，运营超级开心，不一下子发现，全都退货了，短期内实用户还买不到商品，基本就是属于这种状况。

3、活动规则兑换条件

在作活动以前，要设置好规则，好比对优惠券使用的次数上限进行了限制，对兑换规则进行设定。具体规则设置因具体活动而异，前期多思考活动规则，会让后期少了许多麻烦，不至于紧急扑火。在活动玩法上能够规避许多风险。不然极可能致使有的商品库存原本就不多，结果平台上的商品都被瞬间刷完了，真正想买的人买不到。对整个部门影响很大。

4、实时监控 及时发现异常

实时监控有什么好处呢？在这里给你们分享一个实际的案例。一个黄牛党某天去物流中心取尿不湿，一去就有种霸道总裁承包了所有尿不湿的架势，说“这些尿不湿通通都是我一我的的”，快递员很不屑，就说怎么可能这些都是你一我的的，地址和姓名都不同，你要出示一下身份证，证实都是你的，不然不能拿走别人的东西。那个黄牛党就比较不耐烦，说“我就是让人网上帮我刷的”。

如今黄牛党填的都是假地址，无需填写具体哪一个区，只要到了这个城市，他就有办法搞定这些货物，有人会和快递合谋拿到货物。

这个事情怎么发现的呢？就是网易云易盾实时监控的同事，发现物流的订单异常，告诉你们，因而发现了这群黄牛党。

写在最后

与羊毛党的战争是一个动态博弈的过程，不管从技术角度仍是运营角度，都须要及时更新，利用最新技术以及庞大的数据库去保障企业利益和真实用户利益。不断学习，升级打怪。

 

原文地址：http://mp.weixin.qq.com/s/aZZP1vHrq9PcA2kfQs175A

 

了解 网易云 ：
网易云官网：https://www.163yun.com/
新用户大礼包：https://www.163yun.com/gift
网易云社区：https://sq.163yun.com/