奋战在618第一线的,不止在剁手的你,还有羊毛党。
又是一年618,今年也和往常一样,有高举“不买立省100%”大旗的勤俭持家党,杀到眼红的剁手党,临时抱佛脚的抄作业党,以及,绝对不会迟到的羊毛党。
“薅羊毛”通常是针对企业优惠活动的一场围剿,黑产团伙从实名手机号,到接收验证码,注册平台账号,通过一些作弊手段,在平台大规模活动薅取利润。
虽然咱们普通消费者去领商家优惠券之类的行为,也算是薅羊毛,但一次领一张优惠券,和一口气领几百张优惠券的团伙作案,还是有着本质上的差别。羊毛党的专业度和努力度,不容小觑。
有反欺诈专家和我们吐槽说,“我国黑产技术领先世界”,可见斗争形势依然严峻,黑产攻防战常打常新。那么羊毛党们在今年的618又搞了什么新花招?提前几个月就在养精蓄锐,黑产都为这桩“大买卖”做了什么准备?今天就给大家讲讲最新战况。
1
现在流行怎么薅羊毛?
道高一尺魔高一丈,羊毛党的手段自然是跟着业务走,“贴身盯防”电商们的一举一动。小盾安全解决方案总监Coolor就告诉雷锋网,这两年最流行的薅羊毛手段,就是基于裂变式营销的作案方式。
裂变式营销,高大上点就叫MGM(member get member),其实大家都已经非常熟悉,像是各种邀请、分享、拼团购都算是裂变,具体方式包括但不限于分享微信链接、二维码、邀请码等,本质都是靠老用户拉新,裂变之后可以获得一定奖励。
经常被吐槽的拼多多“砍一刀”,就属于拼团裂变的一种。
我们把邀请别人的老用户称为“师傅”,被拉来的新用户称为“徒弟”。假设这个优惠获取的方式是,一个“师傅”拉到100个“徒弟”就可获得100元,那么专业的黑产通常会注册几十、甚至上百个“徒弟账号”去扫“师傅”的邀请码,自导自演一场戏,最后提走现金奖励。
而对付黑产的办法之一,就是顺藤摸瓜。Coolor举例解释称,哪怕不能找出所有的“徒弟”,但只要找到了一部分异常账号,发现他们用了同一个邀请码,就能反向通过邀请码向上找到那个“师傅”,把这群“师徒”全部连根拔起。
看到这里你可能会问:我们平时也会找亲朋好友帮自己“砍一刀”啊,他们怎么区分我们和黑产?
这就要提到一个比较有意思的技术了:设备指纹。
黑产的一些老套路,养号、群控、多开,其实大家都已经很熟悉了。就算现在是一人一个手机号,但市面上仍然存在一些手机卡商,干着手机号倒卖的活儿,黑产拿到号之后通过群控和猫池这样的设备一次操控多台手机,以及通过多开工具把App“复制粘贴”(类似于一台手机有三四个淘宝),缩短操作时间,降低投入成本——一人即是千军万马。
如果没法通过手机号分辨出手机背后是人是“鬼”,设备指纹技术就是另一个甄别黑产、判断用户情况的重要方式了。
设备指纹,顾名思义,就是像指纹那样,可以确定这台设备的唯一性。
就像你走在路上,有时候会遇到警察叔叔查一下你的身份证,电商其实也会查一下你的手机的“身份证”,看看你是不是新用户,再决定要不要把新用户奖励给你。
Coolor提到,黑产可以通过一些改机工具,把手机的设备指纹“换掉”,比如把自己从小米改成华为,伪装成一台新手机的身份去继续薅羊毛。
又或者是伪造某些系统底层参数(地理位置,imei号等),绕过业务的限制——和多开一样,本质上都是在提高有限资源的复用性。
而成熟的设备指纹技术,可以针对性地揪出常见的黑产改机框架、改机软件、伪装软件等,识别出设备所在的系统环境是否异常。
维择科技的技术客户经理周君桢补充称,这种误伤的可能性有,但几率会小很多,风控团队也会考量可能存在误伤的比例。
他指出,团伙作案一般会有比较明显的行为一致或相似,比如是通过机器等一些作弊工具批量操作、同一种行为模式,“从技术角度来看,就是某些维度特征的存在一致性。”
总的来说,大家还是可以放心地继续骚扰亲朋好友,让他们帮你“砍一刀”,风控系统一般是不会阻拦咱们这些普通用户的。
除此以外,真人众包也是近年来的热门薅羊毛方式。
周君桢介绍称,这是在固定的群体里发布平台有利可图的消息和教程,然后很快就有大批羊毛党账号去平台薅取利润,羊毛党的头头就可以给他们回收、变现,而平台很难在短时间有个快速响应。
“一旦平台有所响应,羊毛党就消停下来,继续研究新的攻击方式避免被平台识别,灵活度非常高。”周君桢说。
2
猖獗一如既往,悄然绕道东南亚
那今年618的羊毛党,和往年相比,还是这么猖獗吗?
“其实今年4月份的时候,黑产们已经在准备各种物料了。”Coolor透露。
一个完全没有操作纪录、像白纸一张的手机号或账号,其实是很容易引起风控系统的怀疑的,和小区保安看到进门的生面孔要盘问一下,是同一个道理。所以黑产要提前做准备,给这些新号攒一点看起来可信的历史记录,“混个脸熟”,尽量不引起系统的注意。
但也同样是在今年4月份开始,第二季度左右,Coolor表示,他们明显感知到了“断卡行动”带来的变化,“国内的黑卡在日益减少。”
“断卡行动”是去年10月开始的一场打击电信网络新型违法犯罪的活动,主要针对的是手机卡和银行卡。
大量“实名不实人”的银行卡、电话卡被黑产购买后实施诈骗,给警方的追查和打击带来巨大困难。斩断电话卡、银行卡的买卖链条,就等于给黑产“断奶”,买不到号自然也就无从养号,从源头遏制黑产诞生。
或许有朋友注意到,今年以来银行们集中清理睡眠账户,这样的举措也是为了防范电信诈骗、黑产和反洗钱等违法犯罪行为。
“断卡行动”的打击力度有多严格?举个例子,很多卡商是去找农村用户来注册手机号,或者是用一些小恩小惠吸引普通人把手机号租借给他们使用。一经查出,不单是这些非法倒卖手机号的卡商要被法律制裁,号主、卡主本人可能也要受到惩处:录入征信、不能用手机号、不能开新账户等。
手机卡被公安机关认定为电信网络诈骗涉案电话号码,基础电信企业将按照公安机关要求关停名下登记的所有移动电话号码,且2年内限制办理新入网、过户业务。
银行卡对公安机关认定的出租、出借、出售银行账号或支付账户,实施5年内不得新开账户、暂停非柜面业务、支付账户所有业务的惩戒措施,同时纳入金融信用基础数据库管理,记录至个人征信。
插播:所以千万不要把电话卡、银行卡借/租给别人用!如果已经这么干了(……)请趁早主动去运营商、银行注销账户,以免酿成大祸被追责。
虽然“断卡行动”的严厉处罚确实给黑产带来不小的打击,但是,你有张良计,我有过墙梯。Coolor透露,黑产们已经盯上了东南亚这块未经开发的“宝地”。
因为不少电商也为自己定制了出海战略,目的地之一往往会有东南亚,金融和电商服务的低普及率意味着巨大的市场潜力。
但在黑产眼里,东南亚的法律法规限制并不完善,获取手机卡又不用实名,成本又低,所以黑产逐渐把手机卡的供货源挪向海外。“其实黑产还是同一批人,机器也是同一拨。”Coolor说。
他解释称,这些“新面孔”进来之后,反黑产的团队暂时是很难标记它们的,需要时间慢慢积累,等黑产拿这些新卡注册过几个网站,有了网络的踪迹,再联防联控布下天罗地网。
除此以外,也有海外电商被薅羊毛的案例。雷锋网去年就报道过,菲律宾排名第一的移动支付应用GCash,拿下了2000万注册用户和7.5万家商户,同样遭到了羊毛党的攻击,最后借助蚂蚁的反欺诈方案,将他们遭遇的营销作弊情况大幅降至1%以下。
3
风控与黑产们的“持久战”
设备指纹技术也好,断卡行动也罢,其实都只是庞大复杂的反欺诈流程中的一点细节。与黑产旷日持久的对攻战里,风控反欺诈团队们已经打造了一套行之有效的立体化“战术”。
我们从专家们那里了解到,打击羊毛党大致可以分为事前、事中和事后三大步骤。
1. 事前,一场情报战
Coolor透露,事前的准备,其实是以“情报获取”的运营工作为主。
例如深入到羊毛党的各大QQ群、论坛,国外的暗网和“飞机群”(即Telegram,无需实名的社交App)里“潜伏”,了解他们的一举一动。
其次就是“解密”,识别破解羊毛党的各种黑话,不然就算拿到情报也是枉然。比如用一手货、二手货来指代不同新鲜度的卡号,洗钱用“水房”来代替。
网上也有过不少羊毛党的黑话手册,通过拼音缩写、谐音和意会等方式生成黑话,大家可以测试看看自己的黑话了解程度:
砖行、小贱、老农、小昭、废行、猴子行、火鸡、葫芦娃、保护费
当然,这些黑话现在应该已经进化到了更高水平,需要更多的专家规则和经验在其中发挥识别作用。
情报指向的,很多是羊毛党的前期准备工作。
正如前文所述,这些羊毛党今年4月份就已经在着手准备,努力程度完全不输电商本商。电商们忙着做宣传物料、请明星办晚会、和品牌们谈优惠的时候,羊毛党在注册新号,逐步解决新号的实名认证和人脸核验等问题,和账号“供应商”交易。
基于这些情报,风控团队会针对性地收紧风控门槛,比如严防某些地区的IP,做到提前预防。
2. 事中,实时防护
实时防护的实时,可能是毫秒级的战斗,在那个注册键被按下的一瞬间,风控系统要在几十到几百毫秒内判断出账号的风险程度。
Coolor表示,这背后通常基于基础信息、终端状况和专家规则三个维度。
基础信息,一般是判断手机号和IP这些信息是否异常;
终端状况,即是感知手机、电脑等设备的风险,网络环境是否正常,判断有无使用群控、多开等工具;
专家规则,也包括AI的使用,通过一些算法和策略对用户行为进行评判。
例如:
该IP是否被多人使用过?
该手机号是否在不同设备上登录过?
该账户的注册和活跃时间是否异常?总在深夜和凌晨出现的账号,要不要定义为异常?
此前曾有一位风控公司高管和雷锋网提起过一些十分有趣的专家规则制定,例如一个账号经常在后半夜购物,ta很有可能被判断为一个“缺乏自制力”的用户,从而认为ta“还款能力和还款意愿不高”。
而风险程度会通过打分卡、黑白灰名单等形式呈现,实时决定要不要对这个账号“高抬贵手”。
3. 事后,复盘、迭代和再战
但实时防护程度再高,其实也有许多事情无法在电光火石之间完成,需要积累一定的数据量才能解决。
例如当时只分辨出了十分之一的黑产,事后可以把全部用户重新分析一遍,查出哪些账号哪些具有相似的可疑特征,揪出黑产团伙,同时也把这次战果提炼出来,特征提取、迭代优化风控模型和策略,完善识图谱,继续投入下一轮战斗。
4
结语
在与众多风控专家们的交流中,他们都提到一点:与羊毛党对抗的核心,其实是成本对抗。
某种程度上来说,这是门槛叠加的过程,让黑产认为这笔买卖不划算,放弃围攻,而不是试图交出一张“100%安全”的答卷,挡住所有风险。
反过来,对于电商们来说,有时也会为了业绩和流量,放松风控的标准。风控体系的建设,归根结底,仍然与企业自身的发展阶段绑定最深。
和羊毛党的斗争,永远不会停止。
END
本文由雷锋网原创,作者:周蕾,未经授权不得转载。