前言
黑产指用户或黑客通过网络攻击或恶意薅羊毛获取不正当利益。
网络黑产:
黑产,是黑色产业的简称,而网络黑产是指通过网络利用非法手段获取利益的行业,比如利用互联网商业行为的漏洞实施攻击以牟利。“与黑产类似的,还有灰色产业,它主要是游走在法律法规等规定不明确的边缘地带,通过打‘擦边球’等方式不当获利。”
网络黑产与网络攻防技术密切相关。利用网络漏洞实现网络攻击是形成黑产的基本前提,而具体形式演化至今,已经有非法获取隐私信息、渗透攻击、利用恶意代码、流量劫持、分布式拒绝服务攻击等。
真实案例
- 价格欺诈
iPhone6上市不久,市场标准售价5488。有一天,剁手价运营同学设置了一个促销价5288。后台计算5288/5488=0.96355685...,于是系统计算后四舍五入,在前台自动打标“9.6折”。
不久,我们接到了工商局的通知,有位顾客从剁手价频道下单买了10台iPhone,随后截屏投诉1号店价格欺诈,要求一赔三(退一赔二),共计赔偿十万元!
一脸懵逼的我和对接工商局的同事聊了一下,原来,顾客投诉的理由是,系统说是九六折,那么5488*0.96=5268.48,可我店平台卖5288,贵了将近20块钱,所以是价格欺诈……
于是,懵逼变成了愤怒,我们尝试跟工商局争取,然而工商局老师在反复审视了本案后,最终结论价格欺诈成立,在对我们表示同情的同时,强调必须要赔。
- 投影仪“虚假宣传”事件
有一次客服部门反馈,有个顾客投诉该投影仪“虚假宣传”,因为在商品详情介绍中,有该投影仪“……色彩最鲜艳……”的文案。根据最新颁布的《广告法》,不可以使用“最,第一,国家级”之类的词汇。该顾客购买了三台这款投影仪,每台售价1.6万元,要求一赔三,共计赔偿约15万元。
黑产分类
黑产,全称是黑色产业,也有叫“灰产”的,即灰色产业。我理解这里面有三个类型:
- 职业羊毛党
如果只是平时喜欢到处逛逛,搜罗一些券,签个到玩儿下游戏弄些积分,领领红包,薅些便宜商品的顾客,不属此列。我这里所说的黑产级别的职业羊毛党是以薅羊毛为职业,通过系统化的技术手段和数以万计的账号,利用自动化的脚本程序,来批量抓取电商平台提供的券、补贴、积分等权益,并通过直接转卖、代下单等方式套利,以此获取不法营收的类黑客的角色。
- 职业打假人
这个职业我也把它纳入黑产,但依据行为性质要有所区分。如果是真正对商品质量和真伪进行监督,比如央视315记者或真正的打假团队,或者消费者真正的维权索赔,不在黑产之列。本文特指的是寻找法规漏洞或模糊地带,寻找并不损害消费者利益的平台疏漏进行讹诈,并以此为职业的团伙。客观上完善了监督机制,帮助了消费者,让售假的企业有所顾忌和收敛,其结果是造福社会的。
然而,这种形态一旦被滥用,就发生了性质转移。目前这批所谓“职业打假人”,其实更贴切的说法是“职业讹诈人”。他们利用《广告法》、《消费者权益保护法》等相关监管法规的空间和漏洞,使用人工或技术手段来寻找电商平台的各种漏洞(比如文案中有没有出现“最”字),一旦发现瑕疵,就多件购买并投诉索赔,以此来讹诈谋利。
- 诈骗团伙
这就是最恶劣的犯罪团伙了,他们往往利用少数网站泄漏的海量用户密码数据进行撞库(就是在各个网站用泄漏的用户名和密码进行登录),一旦攻破,就通过账户内操作的各种技俩,或设计钓鱼网站,或通过流量劫持,引导用户到特定网页,获取银行卡信息并对用户进行诈骗。
黑产常见玩儿法
- 刷券
互联网公司通常会划拨一笔可观的费用补贴给用户,用于拉新、提升活跃度、打造忠诚度、改善体验、引导消费方向、促进转化,或在大促阶段聚集流量。这些补贴常见的发放形式为,
- 抵用券
- 新人红包(大多也是抵用券,往往实际权益较高,但只有新人可以使用)
- 小额购物津贴(常通过签到、红包雨、小游戏等形式发放)
- 平台权益单位(如京豆、淘金币等)
- 积分
- 有条件的返现
这些补贴,自然也就成为了黑产的猎取对象。
第一步:自动领券
第二步:券变现
一种就是简单地把刷到的券直接在淘宝售卖
另外一种,就是直接低价进货,再进行转卖。
刷红包、刷游戏、刷补贴、刷积分
刷单量/成交金额(比如某购物平台刷单,商家作弊亦或公司自己就需要刷单提升估值或者市值)
刷评论、刷排名 (网购评论)
流量
联合物流公司骗取正逆向物流费用
这个玩儿法本质上是骗取电商公司的正向和逆向物流费用。
针对平台包邮的可无理由退换的商品,黑产与物流公司或快递员联合,通过控制的大批账户直接生成多个订单,指定系列虚假地址。电商公司向物流公司申请发货后,物流公司或其快递员暂存这批货物,随后,黑产通过控制的账号再操作批量退货,于是在交易并未成功的情况下凭空产生了由电商公司支付的正向和逆向的物流费用,由黑产和物流公司瓜分。
恶意锁库存
这个常常是恶意竞争中使用的手段,商家可以自己干,也可以联合黑产来做。
在大促的时候,很多商家会准备好一些大促爆款商品,并申请到平台的黄金运营资源位来投放商品,为店铺引流。当大促开始的时候,比如双11零点,商品促销价格生效,大量消费者涌入。
此时为了达到恶意竞争打击竞争对手的目的,某些商家可能会联合黑产,零点一过,针对特定商家的特定商品,同时生成大量未支付订单,每张订单把可购买商品调到上限。
按电商系统规则,当订单生成后,会有一个等待支付的时效,比如24小时,在此期间待支付订单相应的商品库存数量会被暂时锁定(不可售)。当支付时效结束时如果仍未支付,订单自动取消,库存释放。
我们看到,用这种方法,可以暂时性使竞争对手进入“无货”状态。在大促的高峰期,比如双11的零点到1点之间,可以极大损害竞争对手的销售机会,并且为自己带来更多的销售。如果支付等待的时效不够长,希望更长时间锁定对手库存,甚至可以循环下单。
价格扫描,捕捉价格错误或促销规则漏洞
曾经发生过这么一件事,一个著名的互联网服装品牌,忽然报告服装大量被0元购买,损失惨重。技术团队立刻调查问题原因,发现是因为运营在发该品牌店铺满减券的时候,没有勾选“不可叠加”选项,导致用户可以批量领券,叠加用券,最后把订单价格打到0元。更有甚者,有人把该漏洞发布到专门报告互联网安全问题的“乌云平台”,导致批量黑产涌入,瞬间产生巨大销量。
** 流量劫持与钓鱼网站**
大家有没有过这样的经验,就是打开某个app,在app的某个页面,如首页或个人中心上,看见悬浮了一个小窗口,比如“抽奖”,点击后,进入一个抽奖页面,用户可能会在该页面上获得一个券,需要去和该app毫无关系的网站使用,或者获得一个奖品,需要出邮费领取,或者进入一个钓鱼网站,输入用户名密码登录?这种情况往往集中发生在某个特定地区的特定ISP的用户。这通常是互联网服务提供商内部人员与黑产的联合作案。在ISP的DNS端,对于特定网站的访问请求,在特定页面上配置叠加该悬浮窗,以达到截取流量,诈骗等特定目的。这种行为我们称之为流量劫持。在把传输协议改为加密的https后,该现象消失。
常见风控手段
1. 数据传输加密
上面的刷券、刷红包、流量劫持这些操作,往往出在数据格式被破解,权益领取或网络访问请求被模拟的情况下。此时通过改为https协议,或者数字签名的方式对数据传输进行加密,即可大幅减轻该问题。当然家贼难防,如果是内部程序员联合作案,编译出“特制”的虚假客户端或在服务器端留下后门,是无法完全避免这种情况的。
2. 登录验证码
为了防止黑产利用技术自动登录,在登录中过程加入机器无法自动识别的特殊验证码,以确保是实际的人在做登录操作,也是个常见的基本风控手段。
3. 风控体系
很多时候黑产或者专业占便宜的用户的行为模式是有迹可循的。比如,高频访问领券抽奖页面,订单高比例出现退货,账户存在大量异常订单(金额、收货地址等),频繁不支付,大量账户的IP地址相同或来源于同一个内网,等等。
于是,不难想到,针对每一种黑产的行为,总结其行为特征,并建立对应的欺诈行为模板,或称之为欺诈特征体系。并通过实际的模式训练过程,不断优化该模板,使其准确度不断提升。在准确度相对可靠的情况下,通过对行为模板的行为匹配,可以高概率识别出异常账号。
一旦识别了某账号很可能是黑产,于是根据系统中定义的处置策略进行应对。典型的常见操作是,一是把该账号立刻加入黑名单库,二是把系统页面做某种处理,比如前面提到到价格变为“999999”,或者把加车、结算等按钮变为灰色不可点,三是进行订单拦截,下单失败,处理为无效订单。
对于黑名单库中的账号,下次再登录时,根据处置策略进行应对,或禁止其登录,或在登录后对某些行为进行屏蔽,如领券、下单等。黑名单库也可以进行人为维护,释放误伤的用户
此外,对访问设备的识别也是一个重要手段。模拟器往往与真实手机在系统版本、内存使用率、可用存储空间、电池电量、进程数量、移动网络码等方面具有明显的差异,可以通过此类参数进行设备判别,并屏蔽高风险的客户端。
这整套体系,就是风控体系,其中的核心是规则引擎、欺诈特征模板、黑名单、处置策略,以及大数据训练模型。
References:
