关于薅羊毛风控对抗的思考总结

本文主要根据《薅羊毛产业报告》内容和实际工做中的经验进行的一些思考。
首先思考一个问题，对于一个黑产来讲，要想经过薅羊毛获取必定的收益，至少知足如下一个或者几个点：

• 发现能够薅羊毛的羊；
• 有足够多的帐号；
• 能够进行自动化的操做；

羊毛出在羊身上，羊多是商家的推广活动(领劵，抽奖，满减，送话费，冲流量等等），若是这些活动存在业务或者安全上的漏洞，本来的薅羊毛行为可能会演变成放羊血的行为，羊甚至由于失血过多而死亡，此种示例也不鲜见。

通常状况下，一个帐号能薅到的羊毛有限，黑产能够经过注册大量的帐号来薅，而后经过汇聚，变现等手段积小成大。另外，不管是注册帐号，仍是后续的薅的行为都须要借助自动化的操做，才能在短期内薅足大量的羊毛。

薅羊毛行为已经从单人发展到群体化、规模化，造成了薅羊毛团伙和 一条完整的产业链。如今平台也开始愈来愈重视薅羊毛的危害性，每每会采起一些对应的防范措施。针对厂商的风控策略，羊毛党主要从如下几个方面展开对抗。

• 接口层面的对抗；
• 设备层面的对抗；
• 用户层面的对抗；

展开来讲明一下：

接口对抗

1. 自动化操做主要是程序来请求接口来模拟用户行为来实现的，在没有任何防御的状况下，黑产能够经过抓包来模拟用户请求，实现批量化操做。
2. 风控端能够经过加签，body加密对接口进行保护，在没有获取到加密算法的状况下，黑产就直接模拟用户请求了。（此时若是存在可重放攻击的漏洞，就不须要解密了）
3. 黑产经过逆向来获取加密算法来破解；此时接口保护，就变成逆向与反逆向，混淆与返混淆的对抗了。
4. 若是经过模拟接口这条路已经被封的很严，还能够经过群控设备，按键精灵等绕过模拟接口，进行自动化操做；

设备对抗

目前大量的风控规则都是针对于设备层面的，好比一个设备登录N多帐号就会被断定为异常行为，好比有些拉新的活动会识别是否为新设备。

那么黑产如何绕过呢？主要仍是经过改机工具，这样一个老设备就能够被识别成新设备了。

1. 经过劫持系统函数，来对设备信息进行篡改，很明显这须要root权限。依次来绕过设备指纹有关的风控策略。因此在平台上埋点的设备指纹，若是发现root的机器要提升警戒；
2. android：xposed框架；
3. IOS：cydia框架；
4. 模拟器：当前发展的高级形式，黑产逐步转向自制的ROMandroid模拟器。这些模拟器具备一键新机的功能，每次启动全部的系统参数都会随机发生变化，同时由于没有安装hook框架，因此比较难以识别；

用户对抗

上文已述，黑产须要掌握大量的帐号。目前大部分系统的注册都须要绑定手机号，并且注册接口须要手机验证码和滑块验证码等一系列验证手段.

1. 猫池：批量管理手机卡的软件，能够设置对应的手机号、自动读取短信、发送短信、拨打指定号码、批量设置呼叫转移等。好比酷卡软件收到的短信会放到mdb文件中，配合其余软件能够自动读取和识别短信验证码；
2. 卡商：大部分是从运营商内部流出来的，有的时效很短，只能收发短信等。
3. 接码平台：协助进行收集验证码消炎；能够提供API的方式，对接到自动化脚本和自动化工具中，实现批量化注册；
4. 打码平台：能够采用机器学习或者人肉打码，解决验证码验证问题；