电子商务中的——作弊与反作弊（上）

前言

2019年1月20日凌晨，黑灰产羊毛党利用电商平台拼多多“无门槛100元券”存在的bug薅羊毛，导致拼多多巨额资金损失。这个事件震惊网络。

今天我们就分以下几个部分来聊一下电子商务的作弊与反作弊。

一、电子商务欺诈现状

二、黑产欺诈态势分析

三、电子商务反欺诈方案

四、反欺诈的技术与效果评估

五、反欺诈的挑战及展望

一、电子商务欺诈现状

1.1电子商务欺诈概述

从以下数据可以看出，黑产每年造成损失在580亿美元，从业人员超过500万。今天我们就来看一下电子商务中的作弊与反作弊。

1.1.1羊毛党和黑产

羊毛党

羊毛党是利用电商平台提供的各种优惠活动，以套取代金券或现金为目的，操纵大量账号仿冒新用户，参与营销活动，获取优惠券奖励。或者通过收取费用代人下单，从而获取利益。

黑产

利用非法手段窃取数据、伪造身份、恶意攻击平台数据库，将“薅羊毛”变成一门“生意”。操纵大量账号参与营销活动，购买活动资格，购买后，高价卖给其他用户，从而获取利益。对于比较稀缺的、价值比较高的商品，会出现黑产。

1.2电子商务欺诈场景

1.2.1 营销活动欺诈

营销活动欺诈指，在企业进行新用户获客及老用户唤醒时所采取的如红包、优惠券等运营成本，被黑灰产利用技术手段不正当获利，导致营销活动失败的场景。

1.2.2 虚假用户裂变欺诈

虚假用户裂变欺诈是指App 采用“用户裂变”的方式来进行推广获客时，黑产通过控制大量假账号，骗取平台拉新补贴的场景。

虚假用户裂变反欺诈示例

1.2.3 恶意交易欺诈

恶意交易欺诈指，黑灰产利用移动互联网交易的便利性，在交易中的货到付款、退、换货政策等环节中，利用漏洞进行牟利。

1.3电子商务反欺诈场景

1.3.1 移动用户的身份判断

现在绝大部份app和网站在注册时都是需要利用手机号、IP 等基础资源。大部分欺诈行为也是首先囤积虚假账号然后进行后续的针对不同场景的欺诈行为。虚假账号的识别是反欺诈场景的基础，也是企业对抗黑灰产的基础。

1.3.2 移动欺诈的状况评估

而反欺诈场景下的安全更多关注的不是企业是否存在容易被攻击的漏洞，而是企业的业务逻辑是否容易被黑灰产利用，黑灰产在企业各个场景下的欺诈成本有多少。

例如，最开始黑灰产赚取100元只用消耗1元的成本，在企业上线了很多策略后，黑灰产仍然能投入1元赚取100元的话，那说明这些策略的堆积并没有发挥作用。

因此在移动欺诈场景下的状况评估，是通过对黑灰产攻防成本的监测和企业业务逻辑漏洞及流程缺陷进行监测，了解企业的移动欺诈的状况。

可以从以下几个维度去判断：

1.3.3 移动欺诈的行为判断

黑灰产在进行欺诈行为时，都会有一定的规律行为，而为了投入产出比的最大化，往往会利用自动化工具和脚本去运行这些固定的操作行为，让其看起来更像一个正常人的操作，避开企业的风控策略。

从以上整个流程来看，黑灰产进行刷单欺诈时其模仿正常用户的行为非常细致，并且所使用的电商账号大多跟正常买家无异，所以电商平台需要通过多维度特征加行为分析才能够有效识别出刷单的欺诈行为。

除此之外，还可以通过设备维度判定欺诈行为，可借助反欺诈工具，如“可信ID”，判定移动设备唯一性。若设备是真实的，其背后的用户可能是真实的；若设备是虚假的，其背后的用户则存在一定的风险。

1.4电商欺诈模型和规模

从这个角度来看，是一种欺诈也可以看作是一种“反应—扩散”模型。反应扩散模型是一个同时考虑扩散、迁移和增长的模型。具体而言，构成移动互联网服务欺诈的组成部分如图所示：

二、黑产欺诈态势分析

2.1 黑产欺诈问题当前态势

2.1.1黑产作恶多端，手段多样

黑产手法多种多样，包括伪基站、猫池、卡池、设备农场、打码平台、积分墙等。

2.1.2黑产灵活多变，进化神速

黑产7*24 小时实时盯守，发现漏洞及时行动，发现被拦截后及时更改策略，进化神速；同时黑产并且遍布全球，全球协同进化，技术全球范围转播，升级速度快。

2.1.3 黑产链条完备，分工明确

黑产链条完备，分工明确黑产上下游分工明确，形成了产业链。

黑产全链条

2.1.3.1 黑产情报

黑产团伙中会有专门角色负责欺诈线报收集，把相关活动的时间范围、收益变现形式等信息准确、及时地在团伙内传达清楚，线报人员获取情报的来源通常包含黑灰产论坛、信息分享QQ/微信群、电报群等。

信息获取后，就会有专门的业务渗透人员和脚本人员，了解分析清楚产品逻辑、必需资源和必要工具/脚本，厘清活动性质。如：是新账号首单还是老账号拉活，是否涉及地域性，是否涉及绑卡等。进而基于前期分析后做出相关操作决策，如充钱，屯号等，以确保在活动开始前，做好准备。

2.1.3.2 核心资源获取与基础工具

巧妇难为无米之炊，单个账号能薅的羊毛通常会有产品限制，且IP 和设备相关限制也是企业做风控的基础依据，所以为了能有批量收益，提前准备好海量资源是重中之重。

（1）账号

欺诈账号的来源有两个，一个是注册，一个是盗号。

注册：批量恶意注册需要批量手机号短信验证码，此类黑产分为几代。

盗号：第二个号码来源是盗号，此类黑产同样也在不断变迁。

（2）设备

用户设备是承载账号的硬件载体，模拟/更换设备是黑灰产的基本方法，分为以下几代：

（3） IP

用户IP是网络接入载体，更换IP也是黑灰产必修课，手法分为以下几代。

2.1.3.3 黑产业务工具

打码平台

打码平台，验证码是人机识别的标配，那么自动破解验证码的打码平台服务也成了必需品，从人工打码到深度学习自动识别破解验证码，效率和收益都在不断提升。

脚本

按键精灵+脚本，看似简单，但实际上是流程控制的核心，根据产品业务流程，设计脚本，通过按键精灵来模拟用户操作，成本低又能加入各种随机因素保证模拟质量。

工具

资源与基础工具，组成各作恶场景的业务工具，如撞库工具、引流脚本、羊毛软件，把所有核心资源串联起来，提升作恶效率。

模拟器

模拟器是能在电脑上模拟手机操作系统，并能安装、使用、卸载手机应用的软件，它能让你在电脑上模拟手机整个操作的过程。

改机软件

改机软件是一种可以安装在移动端设备上的app，能够修改包括手机型号、串码、IMEI、GPS定位、MAC地址、无线名称、手机号等在内的设备信息，通过不断刷新伪造设备指纹，可以达成欺骗厂商设备检测的目的，使一部手机可以虚拟裂变为多部手机，极大地降低了黑灰产在移动端设备上的成本。

猫池

猫池是将相当数量的Modem使用特殊的拨号请求接入设备连接在一起，可以同时接受多个用户拨号连接的设备。恶意用户可以利用一台猫池使用多张手机号进行业务操作。

2.1.3.4 变现及套利

通过提现和各种实物或虚拟价值套利方式，进行变现，黑产团队里的“变现师傅”是不可或缺的重要角色，有多少资源人脉，能找到多高价格收的平台渠道，决定了黑产团队的经济命脉。

今天我们就先写到这里了~