文|赵晨希一夜损失“200亿”某电商平台被薅羊毛事件,让普通大众意识到原来“薅羊毛黑产”距离我们的日常生活如此近尽管,该电商平台并未对外公布损失的准确数字,但从向公安机关报案可以看出,事态的严重性,被薅的金额数量已经远远超过了平台自身的承受能力。
尤其对于一些创业企业、中小型企业而言,被薅羊毛黑产盯上,并成功“作案”可以说是致命的所以,网络上有传某某企业被羊毛党薅垮了,并不是一句玩笑话如今,羊毛党不只是某一个平台“头痛”的事情,只要企业业务涉及”营销“、活动优惠等等,都极有可能成为被薅目标。
薅羊毛黑灰产涉及移动互联网、P2P、电商、电信、金融、快消、出行等等,领域范围之广,属于全行业的公共安全问题据腾讯CSIG安全高级产品经理闫阳介绍,基础安全与水电煤类似,跟基础耦合非常深像病毒入侵、木马、网络攻击等一些安全措施,不会因为行业有所区别,只要有线上业务,就可能会有一些入侵的行为。
而业务安全与企业业务深度耦合比如,电商发优惠券,有羊毛党,金融可能有人借钱不还随着业务的发展,一些恶意方式有所区分一种灰度:边缘的对抗薅羊毛是一种人性的驱动行为,伴随着商品交易以及利益的产生,一直存在只是之前, 没有一个相对准确、通俗的词汇来定义这种贪图“小便宜”的行为。
直到1999年,赵本山、宋丹丹的小品《昨天今天明天》中,宋丹丹饰演的白云,用薅来的羊毛织了一件毛衣,成为全网笑梗的同时,也让“薅羊毛”的行为在互联网时代广为传播相信在生活中,大部分人都在不同程度上薅过羊毛。
比如,某出行平台推出返利活动,打车返券五到几十元不等与薅羊毛黑灰产不同的是,绝大多数的人都是在平台正常规则之下获得优惠而薅羊毛黑灰产则是利用平台规则漏洞,以及不同技术手段非法获得利益另一方面,国、内外移动互联网产业发展的路径不同,竞争异常激烈,也造成了羊毛党在国内市场尤为泛滥。
PC互联网时代,可薅的羊毛范围不大2013年以后,移动互联网爆炸式兴起,蓬勃发展,团购市场的“百团大战”,出行市场的补贴大混战,市场激烈竞争的刺激之下,补贴活动进行了一轮又一轮“到现在,智慧零售、新零售,所有的零售业往线上迁移,又来一轮补贴。
会发现只要有促销,只要有利益,羊毛党就一定会如影随形,刺激着羊毛党不断壮大”闫阳说这么多年,薅羊毛黑灰产难以根治有着多方面的原因尽管在法律上,对薅羊毛没有明确条款,但其具有一定的法律风险我国《民法总则》第122条规定“因他人没有法律根据,取得不当利益,受损失的人有权请求其返还不当利益”。
对不当得利方返还其不当利益,有所规定受损失的平台方有权利要求不当得利一方返还利益一旦牵扯金额数量巨大,则有可能触犯《中华人民共和国刑法》中的盗窃罪,指以非法占有为目的,盗窃公私财物数额较大或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃公私财物的行为。
根据情节轻重量刑,最高判处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产薅羊毛黑灰产抓取工作比较难,这种现象的背后闫阳认为,其实,更在于平台自身的意愿有很多平台,有时候会采取法律措施,关键看平台的受损程度。
不可否认,在涉案金额数量不大,或者平台活动设计有漏洞,但造成的损失不大时,一部分平台默默地承担了这部分损失前几年,亚马逊经常出现价格乌龙事件,比如,商品价格小数点标注错误,原价为1万3千多元的苹果笔记本,却以标价1千3百多元出售,相差巨大。
在平台未发现标价Bug时,一些用户已经下单为此,经常国内、国外出现相关纠纷案件一个典型的案例是,2012年国内图书类电商平台当当网,72小时抢购图书促销活动强行撤销订单纠纷案这种因“重大误解”订立的合同,在金额不大时,很多商家为了平台口碑、平台形象以及用户留存,自行承担了相关损失。
但平台损失金额过大,超出自身承担范围,就有可能以作废、撤单、拒绝发货等方式处理薅羊毛黑产对于平台来讲,是一把双刃剑,不排除某些行业的平台对这种行为的纵容,或者采取睁一只眼闭一只眼闫阳对笔者解释,“因为对于很多平台,羊毛党们在薅福利的同时,也在不同程度上,去壮大了这个平台的流量。
”这种“相爱相杀”、“又爱又恨”的事件在各个行业都存在为何很多平台深知薅羊毛产业的危害性,却没有太大的动力去治理羊毛党,举几个简单容易理解的例子互联网金融行业,2015年现金贷强势崛起,上千家企业都在争抢用户,每一家都在宣传自家平台的流量。
而一些电商平台在发展初期,为了上市、获得更好的估值,以及投资人的信任,明知水份的存在,但为冲击某个GMV交易量,会默许这些水份的存在又例如,银行行业本身有着办卡的业务需求,鼓励用户去消费,信用卡消费会产生积分。
前几年,银联没有规定POS机刷卡的费率,但有封顶机薅羊毛黑产马上嗅到了其中的“商机”,通过POS机套现一些羊头控制了上万张,甚至数十万张银行卡通过集中式刷卡,买各大行司的充值卡、石油卡、电商卡等硬通货再通过一定渠道,以九五折、九折折有损卖出。
看上去是有损出货,实际上是薅的是银行的羊毛,银行的损失远大于羊毛党的“损失”羊头最终可以通过平台规则漏洞和倒卖的方式获利上千万,将平台规则实现最大化利用4G时代末期,直播、短视频等行业兴起,薅羊毛黑产的表现形式又发生了变化,虚假流量泛滥。
腾讯CSIG安全高级研究员陈炳文介绍,根据腾讯安全统计、识别,电商行业黑产在3%-5%左右期间浮动根据第三方数据统计,从2016年至2018年,广告行业的虚假流量一直维持在28%-30%左右薅羊毛黑灰产业归根结底是产业双方共同促成、造就的,主要是平台需要把握好一些边界。
闫阳表示,“平台想用利益吸引用户做出一定的消费行为,可是在设计的时候,也必然会招来有些人,通过大量的帐号,来把利益扩大化”薅羊毛产业游走于平台规则与法律的灰度,甚至黑度地带,腾讯CSIG安全的一位工作人员告诉笔者,对于大公司而言,顶多损失一些营销的资金。
特别是对一些小公司而言,前期为了获客,需要进行比较大的优惠力度补贴羊毛党不管公司大与小,只要知道某平台风控防护逻辑系数不高时,大规模作案就能把一家公司刷死、“薅死”据陈炳文观察很多中小型游戏企业,深受其害。
“一个公司要活下来需要有用户,相当于要获客,这种情况下会投放各种广告,带来用户量,每个渠道给他带来的都可能是假的黑产带来的用户第一天可能还在活跃,后面就不活跃了,那企业的钱就浪费掉了在玩游戏情节中,用户需要充钱、购买虚拟道具等之类的东西,如果用户都是假的,肯定不会产生购买行为,企业的营销资金就这样被薅走了。
”两个维度:不断地变化随着互联网技术和通信技术的发展,从两个维度:薅羊毛黑产的作案手段、形式,以及对抗一侧的安全手段都在发生着变化身在“斗争”的漩涡之中,闫阳最大的感受是对抗越来越激烈,薅羊毛黑色产业也越来越隐蔽。
最开始的羊毛党非常简单,用一台设备批量发出信息请求,在对抗手段短信验证码、图形验证码、人脸识别加入之后,黑产变成了多台设备,分布式请求,即把请求分散了请求分散之后,平台一旦发现某些帐号的质量不高时,便提高了平台规则,于是黑产又出现了真人形式的众包模式。
薅羊毛黑产有团体作案,更有大量是分工协作的分布以经济发达地区为主,相关公开数据显示,每年全国从事薅羊毛黑产的人数,大概一百万人以上;每年造成的经济规模,大概在一千亿的级别闫阳称,“抓取的难度肯定在变大,随着技术的发展,道高一尺魔高一丈,大家都在不断进化,黑产也会越来越隐蔽。
”从薅羊毛黑产作案技术的角度来讲,近几年发生了很大的变化陈炳文告诉笔者,主要变化主要是从虚拟机,到群控式,再到群控+人工刷量第一阶段,是虚拟机方式,也就是羊毛党产业的初级阶段薅羊毛黑产属于有组织的产业链,有的提供手机、账号;有的提供自动化的工具平台;有的进行实际的刷量工作。
其中,虚拟有两种,一种,就是在PC服务器上直接模仿出手机的环境另外一种,是在手机的环境下装模拟器,模拟出很多手机出来在这种阶段的情况下,对于手机号、账号的维度,有的卡商提供手机号,比如,现在常用的物联网卡。
用猫池养手机号,模拟器、多开软件来挂机养账号而对于验证码等验证环节,则有自动识别字符、图片的技术,比如,很常用的CNN(卷积神经网络)技术,其开源代码的简单脚本,就能实现90%以上的识别通过率比较难通过的验证码,还可以通过人工打码平台来支撑。
对于电商等业务方常用的IP频控策略,有任我行、天下游等IP修改软件来支撑但是,针对这类手法,采用业务特征、一些规则体系(比如,全网活跃性等用户行为、特征多维度的聚集性等规则)、加上专家系统就能识别出来,不过,黑产也在随着技术对抗手段的演进进行着升级。
第二个阶段,群控方式,黑产通过购置廉价手机组成手机墙,采用改机工具来修改设备信息,如手机型号、MAC地址、IMEI码(手机串码)、GPS定位、甚至手机号,不断伪造生成新设备也有的直接刷入定制化ROM,同时采用群控软件来操纵手机,模仿真人自动完成相应的操作。
进行点击、APP下载、激活甚至使用同时,会伪造用户的分布、留存情况第三个阶段,群控+人工的方式,人肉羊毛党、真人羊毛党,或者叫网赚众包这种方式有点类似于黄牛,通过让真人点击、观看广告,并要求指定时间段内观看、并且停留时长大于一定秒数,来赚钱一定数量的积分,累加的积分可以换取红包提现。
在一些众包软件上,会罗列很多的项目任务,比如,用户帮助平台点击某些项目,就能赚到一定的积分,通过积分可以兑红包、领取红包当然,它的成本也会比较高显然,薅羊毛黑灰产是具有一个完整的、高度闭环式的产业链条在这个产业链的上游是黑产手机号码、帐号。
早期国内运营商并没有实施用户实名制,导致很多手机号码在黑市上倒卖,用于非法、黑产市场后期国内发展虚拟运营商,电信诈骗、电话推销一度泛滥成灾,成为电信行业的顽疾针对黑产手机号码,闫阳对笔者说,“黑产手机号码没有大众想象中的那么少,由各种各样的原因导致。
目前,国内黑产手机号在1亿个以上有历史的原因,有物联网卡的原因,也有信息泄漏的原因甚至现在这两年开始,市场进入了大量来自缅甸、越南等的各种境外电话号码”据笔者了解,近年来,三大运营商关于用户实名制的认证,以及改号软件、呼死你黑产等电话骚扰的管控不断趋严。
但随着5G建设提上日程,物联网产业的发展开始逐渐兴起物联网卡不同于人的电话卡,其有自己的专属号段在形态方面也有SIM卡、插入式mp卡、贴片式ms卡,三种不同的形态尽管物联网卡与普通人用的电话卡有着很多区别。
但物联网卡本身带有一些3C互联的功能,可以用来收发一些短信和指令由于是新兴事物,在监管方面,国内还没有明确的相关使用规定,在一定程度上处于灰色地带一旦获得大量的手机号,就会有猫池设备来养卡,猫池囤积了大量的手机、帐号。
等级不同,价格不同,明码标价,进行售卖有了帐号可以做各种各样的事情,薅羊毛、欺诈、刷流量……“其实就像一个金字塔结构,在最上端的羊头控制了绝大部分的资源和信息,不断分发所掌握的信息和资源,来获取一定的好处。
”闫阳说在参与优惠活动时,会遇到短信验证、图形验证码等问题,这时候接码平台、打码平台或者人工可以进行处理通过APP来领任务时,经常会有一些线下交流群陈炳文透露,通过QQ群、共享文档,有人在上面发布或写完一些任务,有些人会专门去看有哪些任务,把任务做完之后拿到积分。
而这种APP是不违法的,羊毛党有一个问题,其实是处于灰色地带除非是很严重、批量的,影响到平台的正常运营,或者侵犯到了共同利益的时候才触犯法律如闫阳所说,“互联网本身发生着深刻地变化,很多作恶慢慢地下沉、打散,不在一台设备上高频操作。
从行为异常上去分析会发现,帐号来自天南地北,不在同一台设备上,IP也不一样伪装的像完完全全的正常用户”薅羊毛黑产在从虚拟、群控、到人工三个阶段变化时,相应的,攻防对抗也有三个阶段的变化陈炳文介绍,第一个阶段。
没有任何的样本,所谓的样本就是建模、策略时所用到的标签信息比如,这个账号是不好的,那个账号是好的所以,只能通过一些观察来做简单的策略,通过不同的数据研究判断活跃度情况这种简单的模型,对于初级阶段来讲有一定的打击能力,简单的方法可以打击掉80%、90%。
第二阶段,薅羊毛黑产群控时,安全也在升级通过第一个阶段的对抗,收集到一些样本,因而有标签标签的数据越多,能力越强这种情况下,使用一些人工智能AI技术来建模通过监督学习,根据一些标签样特征的差异程度对不同类别、不同场景,建模识别出来。
在这个环节,通过有监督的学习,会达到不错的识别效果对于图片滑动的识别,嵌入js代码便可以检测出是机器滑动还是人为滑动第三阶段,最近几年出现的真人羊毛党,表现跟真人是一样的,或者就是真的人所以,他所有的网上行为、行文轨迹在其他业务上面的表现也是真实的。
这种情况下,主要采用对抗学习,同步生成一些恶意变种、样本变种,帮助平台识别、快速响应新出现的手段真人众包模式到来之后,难度更大薅羊毛黑灰产业不断的升级,相应的安全企业也在不断的进化发展云计算、人工智能AI技术浪潮的到来,也给安全对抗带来了诸多改变。
企业随着业务的发展,不但需要基础安全,也有云端安全的诉求基础安全包括企业办公环境的安全、内网安全、比如,拦截木马、病毒,查补漏洞、DDos(分布式拒绝服务攻击)防护、WAF(Web应用防护系统)等陈炳文称,“基础安全相对偏底层,薅羊毛黑产偏业务层方面。
”云服务分为IaaS层、PaaS层、SaaS层,基于云服务的业务安全,SaaS层也通过云平台接入,所以,云安全企业的业务发展越来越SaaS化企业只需要调用API接口,不论属于IaaS层还是SaaS层云安全服务厂商就近部署,就可以实现较短的时延。
在AI技术方面,陈炳文介绍,抛开原始数据、数据清理、特征层,模型层作为上层,有几块子模型子模型或者叫做基础模型,分不同维度有针对账号维度的;有针对IP维度的;有针对时间序列维度的通过不同的维度会建不同的模型,然后不同的模型会输出一些特征出来。
不同的行业会结合底层子模型的输出,做一些行业的定制化模型子模型会输出一些重要特征,然后每一个行业针对业务用不同子模型的输出,进而建立业务特征最开始采用人工经验,后来采用机器学习,比如,LR(逻辑回归)模型、决策数。
现在一些AI技术,比如,迁移学习(Transfer learning)、生成对抗网络(GAN)两个主要的技术谈及腾讯CSIG安全研究方向的变化,陈炳文透露,从正常流程角度,用户会先看广告,再登录平台,注册、浏览网页,最后下单。
中间过程可能有抢券等行为目前,营销风控主要针对注册、登录、抢券这几个环节越往前推,它的量级越大,也就是通过最上端广告环节的流量风控,把整个产业链条的风控实现闭环三类防范:有效的防御既然薅羊毛黑灰产业是人性的驱动,彻底根除的可能性很小。
对于平台而言,防御占据绝大部分首先,平台在设计活动规则逻辑方面,一定要完善,边界清晰像某电商平台被薅羊毛事件,设定无门槛优惠券,属于平台自身业务设计漏洞闫阳向笔者举例,比如,白酒行业某企业做优惠活动时,就应该将活动规则设计清楚,一个人最多可以获得几瓶白酒优惠券。
如果没有设定门槛,一个人刷到几千瓶白酒优惠券,显然是不合理的移动互联网高度发达的今天,有漏洞的营销活动更容易被薅羊毛黑产盯上除了帐号的频控,即限制一个账号一天能领多少次券,参加多少次活动此外,还有黑库,企业本身做业务对抗时能积累一些黑库,一旦进入黑名单就不能参加活动。
还有一种是IP频控,某一个IP突然之间有很多账号注册,或者很多账号都在领红包,可以直接把IP封掉最后是,地域的限制,经常作恶的几个城市或省就不做营销活动了陈炳文认为,对于一些中小型的客户来说,其风控能力还是不够强大的。
第二,对于不具备安全风控和管控能力的企业,可以找第三方安全公司帮助自己业务进行风控管理将API端口对接给提供SaaS服务的安全厂商,比如,一个抢优惠券的活动场景,用户在抢券的时候会把用户的账号、IP等信息通过接口发给安全服务方。
安全服务方会给企业业务方反馈帐号的恶意等级,企业业务方根据恶意等级,决定要不要给用户发放福利整个流程耗时100毫秒左右,在整个过程中,安全服务方做的只是辅助判断,最终的决策都在企业业务方一侧除了接入API端口的防护,安全企业在对抗黑产的过程中,也会结合黑产情报的打听,黑产具体的实施手段,有针对性的建模。
黑产情报有两块,一块是自动化爬数据,另一块是人工监控此外,不同的安全厂商之间,也有合作与信息沟通闫阳告诉笔者,和不同安全厂商的合作点主要在于,把防控从80%,做到95%,甚至99%简单地说,在某某平台上可能是好人,在另外一个平台上可能是坏人。
如何发现更多可疑帐号,触达更多业务是合作点最后,平台需要有鲜明的立场,平台在某些方面纵容了薅羊毛黑灰产业的壮大陈炳文表示,有时候对平台方而言,是愿意被刷的平台刚刚成立的时候没有流量,希望有人去帮它刷流量,带来活跃度;帮它刷榜,APP Store里面的排行榜就会往上提升,有时候,平台方自己也会找人去刷流量或者榜单。
今年4月25日,北京市第二法院对陈某利用商家收款和京东垫付退款的时间差疯狂薅羊毛,骗取京东885万元的资金,被判处有期徒刑11年。薅羊毛一时爽,一直薅不再一直爽。长期贪图“小利”法律风险不容忽视。
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。