一、黑灰产“打劫”电商购物节的主要过程
在补贴和价格战成为电商行业迎合消费者需求重要手段的背景下,优惠券、红包、满减、抵扣等形式多样的让利获客优惠也成为黑灰产觊觎的“蛋糕”。而以各类优惠井喷式分发为主要特点的电商大促时节自然也被黑灰产“紧盯”。为更好地了解电商平台大促的规则和特点,黑灰产一般会提前半年着手准备“攻击狂欢”,手段以黄牛、薅羊毛为主,具体包括以下三大过程:
1、潜伏准备:主要是针对平台优惠规则,发现平台漏洞,进行账号和作弊物料的储备;
2、平台漏洞试探:主要分为运营活动设计漏洞和风控漏洞两种。一方面,针对目标平台的运营活动设计,黑灰产会在大促前,用新手机号注册海量账号,领取平台的活动优惠券,集中购买某种产品,再寻找优惠券的规则漏洞。比如在“满100-20”的满减活动中,黑灰产通过先批量买货、退货、退款的方式,赚取平台20元的优惠券,进而通过批量卖券的方式赚取利益。另一方面,针对平台设置的风控漏洞,黑灰产会利用活动逻辑薅取优惠。如一些商家设置的大转盘活动在正常情况下一天可以玩三次。而黑产则可利用背后的逻辑漏洞,一个人玩了 40 多万次,从而把所有奖品薅走。
3、集中变现:在明晰规则逻辑和可利用漏洞的基础上,黑灰产将在大促开启时,展开集中领券的攻击行为,完成集中变现的操作。而电商平台如若发现注册用户突增且新用户活跃时间只有一秒或固定在某个时间活跃,那么就要拉响风控安全警报。
二、零售电商黑灰产“先进”手段有哪些?
新技术的探索发展和普及应用,在给零售电商行业带来更加广阔发展空间的同时,也给黑灰产的攻击升级提供了可能。黑灰产最早的运作方式是假机、假人、假行为,即通过在自己设备上安装模拟器,以模拟上万个设备频繁登陆完成攻击。
而现如今黑灰产的攻击招式已进化为“真人、真机、真行为”。通过欺诈或指向性引导骗取零售电商的实际用户进行非真实意愿的操作,已成为其赚取利益的工具。羊毛党、黄牛党、打码党以及小程序网赚党、网赚团队欺诈等就是这一方式的“熟练玩家”。以常见于手机、黄金和品牌酒抢购中的“黄牛党”为例,黑灰产通过从各个平台招募兼职的方式,汇集一批代购“肉牛”。“肉牛”通过专门分包网站从“牛头”处领取购买任务和购物规则漏洞(如故意更改收货地址等),帮助“牛头”抢购对应商品。“牛头”凭借任务奖金的方式控制“肉牛”行为,从而实现对货源的完全控制,扰乱商品销售市场秩序。
除此之外,大数据学习甚至AI算法运用已成为黑灰产的重要技术能力。借助新技术,零售电商黑灰产已能轻松绕过图形验证码、手机短信验证、账号限制和活动地区限制等传统防刷手段。自动打码平台、猫池、接码平台、大量养号和秒变位置等专业化、产业化的黑灰产招式已对新零售电商发起了新的挑战。根据腾讯安全天御的经验,以往黑灰产大部分都是采用 Android 设备作为攻击工具的,比如大量养号或通过植入木马等控制器挖矿,充当肉鸡。但随着 Android 设备指纹的大量普及,加之该类设备系统本身性能上的缺陷,黑灰产还将“黑手”伸向了 iOS 设备,从黑市收购 iOS 设备 root 后,利用其作为攻击工具,在攻击环境和效果上取得了更大的突破。
三、如何利用大数据+AI抗击电商“羊毛党”?
与不断进阶的营销黑灰产相比,处于转型升级的零售电商平台所表现的安全能力却面临着极大挑战。一方面,原有电商平台边界的持续拓展推动着安全能力的升级;另一方面,传统零售行业线上业务的延展,进一步加大了整个行业应对黑产攻击的压力。
相对于原有电商平台,因着业务环境的变化,传统零售商在线上营销风控方面大多经验不足。面对一个一个帐号、一串代码,无法有效的甄别真假用户。同时,在业务风控平台建设方面,没有专业的团队且普遍存在建设滞后的问题。一方面,一般的传统厂商缺乏构建庞大安全体系的能力和成本。另一方面,要有效应对网络黑产的变化速度,零售电商需要的是一支广而深的安全团队。以一个商超亲历的真实事件为例:从线下卖场到线上小程序,为吸引新客,商超开展新客户满减等促销活动的过程,被黑产盯上。黑产通过虚假手机号注册海量新帐号,集中购买易变现的产品,再通过线下渠道转卖,批量套取平台的优惠,给商超带来了巨额损失。由此,面对仍在不断进化中的黑灰产,如何应对成为零售电商行业寻求深化发展不得不正视的关键问题。零售电商行业可从如下方面着手,破解黑灰产的围攻。
注重威胁情报搜集:借助大数据技术对业务场景的各项信息进行实时搜集,从而为异常动向的觉察和预警提供依据;
重视用户历史行为分析:利用 AI 手段分析账户的历史行为,即通过与周边用户行为和商品购买记录的比较,找出“肉牛”等黑灰产集中的易变现产品上的异常操作。甚至可使用无监督学习技术进行用户真假的甄别。
更新对抗思路:放羊-不直接对抗-分化打击。也就是说,在与营销黑产对抗的过程中,不直接针对黑产当下的攻击点进行对抗,而是采取将其放过并从别的环节进行对抗的方式,完成对黑灰产的狙击,从而避免一次又一次的攻防升级。与此同时,针对不同体量的攻击,采取不同的对抗方式(如针对10%、40%、50%的坏流量分别制定不同对抗策略),逐步分化攻击,最终使黑灰产无法找到再次突破攻击的节点,实现高效防护。
拓展与专业安全厂商的合作:针对传统零售转型中遭遇的风控建设成本和能力问题,建议传统零售商在发展线上业务的同时,深化与专业安全厂商额合作,借助专业安全厂商的能力,确保线上业务的顺利开展。
基于上述思路,腾讯安全天御为零售电商行业的营销风控提供了全新思路。依托腾讯独特的风控建模能力,腾讯安全天御能够帮助电商平台构建一个端对端的整体风控方案,从底层决策引擎到顶层风险数据和建模,形成智能风控中台帮助解决业务安全的问题。
而对于大批“羊毛党”以“假设备+假注册+高科技”薅取优惠券和现金券的行为,腾讯安全从活动防刷、注册保护、登录保护、验证码、作弊器识别五大方面,基于腾讯安全天御独有的智能风控系统和能力,在180毫秒内精准识别羊毛党伪装,并协助零售电商企业根据预先设定的营销策略进行差异化处理,从而确保资金利用最大化,确保营销效果精确性。
此外,在接入方面,腾讯安全天御不仅提供API接口,还可以协同腾讯云等产品接入企业的营销风控系统,风控能力接入非常便捷,能帮助企业快速构建更坚实的营销风控防线。
四、零售电商需建立更完善安全防护体系
随着零售电商企业线上与线下业务融合的不断深化,零售电商线上平台衍生的利益点和业务场景愈见宽广。鉴于此,黑灰产对零售电商的觊觎也日趋体系化。目前,黑灰产已形成了包含软件开发与技术支持、账号注册与分销、盈利变现等环节在内的产业链。除抢券、拼团砍价以及来自以刷单为主要形式的网赚团伙欺诈和作弊引流的KOL作弊等营销黑产操作外,传统上针对基础安全系统的短信轰炸、DDoS攻击以及以黄赌毒晒单坑爹图为代表的内容风控也是当前零售电商行业安全防护不可绕过的威胁。
其中,在DDoS攻击方面,与多集中在游戏行业的DDoS 攻击不同,零售电商行业遭遇的DDoS主要来源于竞争对手的攻击。别有用心的商家利用这种简单粗暴的方式,直接对竞争对手的服务器发起DDoS攻击,导致剁手关键时刻竞争对手的用户无法正常买买买,最常见的现象则是业务停摆。而针对竞争对手的攻击则一般通过无监督学习等 AI 手段对购买者画像和行为画像两方面进行侦测,发现异常则采取对抗措施。同时,提升流量清洗防护能力和 BGP 接入线路性能,保证电商平台即使遭遇 DDoS 攻击,也不影响业务顺利进行。
针对零售电商遭遇的基础安全和内容安全问题,腾讯安全天御也提出对应的应对方案。基于流量巅峰的重大营销场景,推出重大节点定制化全程重保防护服务,通过渗透测试、资产核查、风险评估、修复指导以及7x24小时安全专家驻场值守与应急响应,确保业务流畅进行和核心数据防护。灵活配置网络安全、主机安全、数据安全、应用安全及安全管理等全栈式基础安全产品防护,让恶意攻击“无处遁形”,为企业构筑牢固的基础安全防护体系。
针对可能隐藏在视频直播、图片、音频、文本等多种内容形式中的违规内容风险,腾讯安全均提供内容安全风控服务,实时识别涉黄、违法违规、暴力、垃圾广告等内容,帮助企业构筑良好内容生态,准确率高达99%。全方位护航零售电商内容安全。
如需了解更多零售电商安全防护详情,可在本文末留言。
五、群内QA
Q :对之前bilibili主播薅死羊,这个案例如何见解呢?
A:这个应该属于定价错误,造成的营销事故(店主标错售卖单位,好像是1千克,写成了1000kg),不太属于营销风控防黑产薅羊毛的范围。这类情况属于交易纠纷,可以在平台方申诉,请平台做裁决。
追问:因为薅羊毛发展成主播带领一大群人,故不存在批量注册 号等于完全是一个正常真人的号。就是主播讲 这里有羊毛了 然后羊毛党蜂拥而上。对于薅羊毛的处理我感觉很难 不然要么成为刷单的工具 要么就是如上事件,集中式到分散式。
A:你说的很好,这个就是现在薅羊毛各种手段中,进化的比较高级的一种手段。“真人薅羊毛”,一般见于 茅台、黄金,首发手机等场景中。
追问:问题来了,这种场景的薅羊毛,如何发展和缓解呢?
A:我们天御 有专门的 【网赚团伙防护】,对这类欺诈有很好的压制作用。
Q :也就是说,在与营销黑产对抗的过程中,不直接针对黑产当下的攻击点进行对抗,而是采取将其放过并从别的环节进行对抗的方式,完成对黑灰产的狙击,从而避免一次又一次的攻防升级。 ——请问这个别的环节指什么,能否详细说一下?
A:举例,比如天御在登录注册环节发现了黑产批量注册,我们会对这批用户打标,而不是直接block。这个就是另外一种风险控制方式,随后天御对打标黑产实现分化打击。最终实现把黑产消化在风控系统中,而不直接产生黑产对抗。
Q :他们是怎么那么快的得到价格标错商品信息的?
A:这个情况,我只是推测,应该是某用户看到定价错误,把商品标价错误信息,放在某个公共社区里造成的。
Q :感觉薅羊毛和刷单很像是一波人在做,能不能在一个平台发现这一波人,然后各平台建立共享知识库,把这波人都拉黑?
A:可以使用我们腾讯天御的营销活动防护,对各种黑产有比较好的发现、压制、打击作用。用天御就可以把这波黑产发现打击识别率 99%。
Q :真人薅羊毛 是不是只能对收货人收获地址进行判断?
A:我们通过多种手段判断,地址只是其中很小的一部分,重点会使用AI的无监督学习能力,把真人羊毛党抓出来。因为黑产打击手段保密的原因,不方便说的太多,请大家谅解。
Q :如果只通过地址判断,把收获地址删除再重新建一次地址就可以重新下单啦,这种一般会怎么解决?
A:我们对黑产的打击是 事前、事中、事后的全栈式打击,不会特别依赖单点。地址也不是我们只要打击真人羊毛党的核心依赖。羊毛党换地址,对我们压制他们没有影响。
Q :这还是建立在自主搭建电商平台,绝大多数电商工作者貌似都选择了托管店铺,真正的云开放应该是要实现融合吧?
A:是的,平台方应该提供一些基础的风控能力,比如防恶意下单,防薅羊毛 等等。现在我知道很多大平台都有一些风控能力。
Q :防御的时候,会不会也会有误判,导致正常用户也收到影响呢?
A:是的,AI技术确实有误判率等问题,我们上线任何模型都经过灰度非常严苛的测试,在 召回率 准确率 都达到标准的情况下才上线。
Q :那种黑产通过平台发单让下线去薅羊毛的,有没有办法禁止?
A:这个就是我说的 真人羊毛党,这个确实比较难,因为传统的风控手段,对这类欺诈用处不大。我们在这种情况下比较多使用关联图谱,和无监督学习的AI算法。对这类欺诈行为做打击
Q :双券叠加的时候会如何处理,比如某电商平台有满今天有满199-100的优惠券可用,但是明天又有满199-100的活动,会存在一种券没过期,可是活动已经开始的情况,这种我借助脚本只处理0点那不到一秒的锁单行为~这种行为多了也会瞬间把店铺薅空~这种情况一般会如何避免?
A:这位同学有做黑产的潜质,想法挺新颖的。不过你如果用脚本下单,很容易被平台发现。零点下单,本来就是一个风控规则。
Q :5G时代,AI技术打击黑产这件事,会面临怎么样的挑战,是更加容易,还是更加困难?
A:暂时没有想到5G 对风控的影响,不知道未来会是更难还是更容易,应该都是螺旋上升的吧。
Q :这个服务是按量付费么?
A:是的