“消费即是心理战,零售更是与消费者面对面的心理肉搏战。”这是7-Eleven帝国的缔造者铃木敏文写在其自述《零售的哲学》封面上的话。
但在智慧零售时代,零售商除了要与消费者展开心理战,还有一场仗。对手不知是何模样、从何而来,甚至不知为何而来,却不能不打,因为一旦战败可能会面临数千万甚至毁灭性的损失——这就是零售商与黑产之间的战争。
刚向电子商务领域进军的家乐福,最近便经历了一场刀光剑影的“暗战”。
购物节前夕。
家乐福信息安全负责人老袁提高了警惕,经历过五次与DDoS、羊毛党和黄牛党的短兵相接的他,深知购物节前后是电商安全人员最紧绷的时候,大群“牛羊”们摩拳擦掌,等着收割各种优惠品、代金券,一场线上攻防战说来就来。
不出意料,购物节当天的早晨,他接到有关同事的消息,说遭遇了短信炸弹攻击,短信网关接近8点时并发量突然超过平时的十倍,一个小时后便恢复正常。这正好是家乐福从原来的WAF(Web应用防火墙)升级到了腾讯云WAF的第二天。
短信炸弹是羊毛党、黄牛党们最钟爱的武器之一,颇让他头疼。短信炸弹,简单来说就是利用网络中的第三方接口无限发送轰炸短信。
而对于电商而言,调用短信接口是要收取“买路财”的,多则一毛、两毛,少则几分,如果这个数量,在单个IP上变成了平常的十倍、百倍,再出现无数个这样的异常IP,企业就要为这些短信接口的滥用付出巨额“通道费”。
更可怕的是,如果用户在一天之内收到几十上百条来自“家乐福”的短信,分分钟会当场卸载这个APP。
战斗,一忌轻视对手,二忌经验不足,三忌战术单薄。
虽然只是短短一小时的异常,但凭借多年跟黑产交锋的职业嗅觉和历史教训——他的前东家曾在春节档被短信炸弹攻击到每天损失十几万——老袁还是察觉到了一丝诡异,这很可能是黑产对于对手战力“投石问路”式的试探,如果一时麻痹大意,很可能会引来更大规模的挑衅和进攻。
经过和腾讯云安全WAF团队确认和交流,老袁发现这是腾讯云WAF非常典型的业务场景,简单来说,就是黑产撞到了枪口上。腾讯云安全团队向老袁分享了类似攻击事件的防护经验,并且再次讲解了腾讯云WAF在BOT行为中的防护原理。
武器在手,军师在后,老袁决定上阵迎战。他登陆进腾讯云WAF去查看行为分析数据后,发现在当天凌晨和早上接近9点时,短信API接口的访问频次异常高,再展开细化日志分析,有多个IP以每分钟高达470-500次的速度进行访问——这显然不是正常人类的速度,看不到尽头的网线背后,可能是一个用心险恶的黑产军团。
一般搞电商的企业都熟悉且困扰于两类攻击。
一种是典型CC攻击,这是一种针对网页的攻击,原理是模拟多个用户正常访问目标网站,例如制造大量后台数据库的查询动作占用正常请求资源。它鸡贼之处在于,这种“访问”本身属于正常请求,但当这种“正常请求”达到一定程度的时候,服务器就会反应不过来直到宕机,也就是APP会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候,各大电商的机房灯火通明,程序员软件硬件都用上外加紧张观察,就是怕服务器崩掉了带来惨重损失。
这次的“短信炸弹”可以理解成一次CC攻击,老袁第一时间对遭攻击的短信接口做了腾讯云WAF的“前刹车”防护,也就是设置了CC防护的规则,把对短信接口访问上限定为每分钟150次,超过这个阈值的IP,腾讯云WAF会根据算法第一时间判断究竟是真人还是机器访问,被判断为机器的IP将会被封禁访问,这也是腾讯云WAF自带可选的惩罚机制。
但一场漂亮的战役,不应该只是城楼退敌,更应断其后路。
CC攻击往往只是敌人的先行兵,更可怕的是后续可能会出现的慢BOT攻击。这种战术更有耐心且隐蔽,敌人会仔细侦查对外开放的每一个接口,对开销较大的接口,以较慢的速度长时间“挂”在你家的网上,消耗大量资源。
举个例子,假设一个正常的客人访问家乐福网上商城,完整地经历了注册、登录、不小心忘记密码、支付等验证环节,他可能一天内接收不超过20次来自家乐福的短信,但他不会天天重复这些环节——可是黑产会,他会肆无忌惮地使用注册软件和随时号码反复调用接口,同时黑产会发动羊毛党把调用次数进行几何级放大,像一群虎视眈眈又极有耐心的秃鹫,终有一天你会扛不住,那就是我啄食的时机。这样对网站的损伤也非常大。
考虑到这种情况,老袁的团队开始启用之前和腾讯云WAF团队交流时重点关注的BOT管理功能,使用BOT行为管理进行安全策略定制,将每个用户每天访问短信端口次数超20次以上的会话统统拦截,相当于开启了“后刹车”。
懂行的人都知道,WAF的拦截属于“硬核杀伤”,当触发了它的阈值,用户IP就会被铁面无私地直接封掉;同时它又是一件可以动态调试的武器。腾讯云WAF采用自研基于概率图的威胁AI技术,一方面可以更精准地拦截攻击;同时通过行为分析和对具体业务场景设置动态防护策略,在不断对抗过程中,会摸清黑产的攻击策略,将其置之死地。整个过程,帮助客户梳理清楚业务逻辑,为业务调整优化提供依据,这就是腾讯云WAF使用策略中的第三道防线。
老袁在这个过程中也稍稍栽了下跟头——拦截CC和BOT攻击的时候,只考虑到拦截同一个IP的异常访问,却忽略掉在顾客在大卖场、在咖啡厅里使用公共WIFI访问网上商城的“共享式IP”场景。意识到这个问题后,他们迅速调整代码逻辑,对每个用户使用短信接口场景进行优化,这个小小的插曲很快被解决。
设下以上的“三道防线”后,家乐福网上商城当天几乎是立刻止血,不再出现短信接口的异常访问!
第一场交锋家乐福的轻松取胜,让本想挑衅的黑产团伙恼羞成怒,两天以后的早晨八点——看来这是这个黑产团伙颇为偏爱的时间点——家乐福的线下门店正在搞活动,老袁的手机再次被打爆,说是公司的APP严重卡死、白屏。黑产团伙开始对家乐福的特定几个URL,发起持续猛烈的攻击,访问量超过700万次,导致服务器压力增大,出口业务的带宽被打满,正常用户没办法访问APP和网页,用行话说,家乐福的网站被“核”了。
黑产主要从以下四条“小道”进行突击猛攻:首先是狂刷用户行为采集的接口,频率高达300-400次每秒,这个接口主要是记录用户访问家乐福APP的行为,再写入数据库;二是瞄准APP版本检查接口,也就是模仿一个过分焦虑的强迫症者,一遍遍刷新查询版本有没有更新,每天超过几百万次,导致APP带宽被恶意消耗掉;三和四分别是查看商品库存和查看购物车,派机器人一遍遍去看商品还剩多少、购物车里有啥,让数据库读写高到爆满。
可以说,为了在这个购物节里打垮家乐福,黑产团队也是倾巢而出,用上了最前沿的技术,大有不死不休的架势。
老袁再次用“三道防线”的策略迎战,而且这次,他跟他手上的武器已经培养出了默契。腾讯云WAF本身具备WAF的通用特性——硬核杀伤,而且更敏捷、更精准,忠实于“战士们”设定的CC防护规则和BOT策略,你让我拦谁我就不留情面地把符合条件的人统统拦截,反手还要送他们的IP一个查封。
但只要战术得当,这把硬核武器可以完成温柔的“杀戮”,把黑产拦在门外,同时保证正常用户访问,这也是家乐福最后赢下这场硬仗的制胜关键:设计CC防护和BOT防护规则的过程中,还要理顺代码逻辑,并且结合实际的业务场景进行针对性的规则调整,剩下的交给WAF,兵不血刃便已退敌千里。
值得一提的是,腾讯云WAF对于触犯规则被封禁的IP,也不是痛打落水狗式的一棍打死、彻底封禁,而是三天后自动解封——这么做的策略主要在于防止这些IP落到真实用户的手里,导致真正的金主爸爸无辜被挡在门外;而如果IP一直攥在黑客手里,那好办,一直封禁一直爽,这样的IP会被放入到腾讯云安全的威胁情报数据库,让黑客无法利用该IP为非作歹。
随着数字化转型的加快,越来越多的安全问题一一暴露,零售商和黑产之间的战争只会越发激烈。在这场斗争中,零售决策者们必须把对安全问题的关注提升到新的高度,因为这极有可能决定一个企业发展的天花板在哪里。刚刚转向电商的传统零售商们,在零售红海中迎着数字化转型大潮,面对着来势汹汹、弹药充足的黑产军团,或许要试着将自己的后背交给专业的安全厂商,才能将数量庞大的“牛马羊”黑产群体斩在马下。