freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

双十一将近,黑产压境电商平台应该何去何从
2018-11-10 23:00:31

前言

双十一强势来袭,一年一度的剁手季我们怎能放过,结果打开各大电商APP,emmmmmmm……这些不都是中文吗,为什么我有点看不懂?规则越来越复杂,商家看不懂,买家看不懂,万万没想到“厉害”的羊毛党还能从中“爽”到……

你有你的张良计,我有我的过墙梯

首先回顾一下过去,从2009年淘宝开展“双十一购物狂欢节”之后,国内电商一年一度的盛会惯例逐渐形成。发展到今天,玩的花样越来越多,参与其中的消费者也越来越多,其消费规模也在不断扩大,2017年双十一全网交易额竟然高达2539.7亿元。

双十一购物狂欢节

但是在这样的巨大的流量背后,“羊毛党”很可能成为各个平台方最为头疼的一群人。 从曾经的疯抢优惠券到后来的 “垄断0元抢购”,在这些背后,都是一场黑产与平台方的安全对抗。

优惠券: “羊毛党”,大多采用群控软件+改码软件的手段,不断刷新移动设备的Mac地址,imei等手段,把已有的设备伪造成很多新的设备,从而绕过平台的监控,以此方式薅取电商平台的优惠。

这种情况给店家带来的伤害是巨大的,比如很多优惠券、满减活动一经展出,在“羊毛党的努力”下,不到半小时就会被哄抢一空。

“0元抢购”:当我们在迷思“为啥我总是抢不到”时,羊毛党们早就稳操胜券抢到手。他们背后大多借助机器批量操作,“人机大战”下普通用户自然难以招架。目前来说,薅羊毛中的技术思路大体一致,和之前差异不大。

薅羊毛

羊毛党一次次的“擦边”,而各个商家、平台也不断解决,并且努力的尝试完善活动规则,提高平台的风控能力。比如在优惠券的设置上限定个人只能使用一张、再比如对于领取环节也适当增加了门槛……

但是攻防之路不会如此轻松就结束,在利益的驱使下,这些“羊毛党”似乎总是有空可钻。

蠢蠢欲动,黑产见缝插针

而今年的双十一的规则更加细(fu)化(za),别怪消费者数学不好了,现在是就连商家都一脸懵……

连商家都一脸懵

万万没想到的是“羊毛党”不仅看懂了,还能薅钱!

薅钱

以淘宝为例,今年开展“集能量瓜分红包”的活动,主要被包装为以下三种玩法:

① 签到:10月20日到11月9日期间,去预设的各个店铺签到获得能量值。

关键词:除天猫店铺以外,其他数个阿里系平台均可获得能量。

② 组队PK人气:邀请好友,最多组成5人战队。并在10月20日到10月31日期间开启PK。 邀请好友助力,每个用户每天最多可以给3个非自己所在战队的其他战队助力;胜方队伍可以获得能量池中的能量;Top11队伍获得清空购物车大奖。

③ 挑战奇迹:11月1日到11月9日期间,完成系统分配的任务,拉好友助力,将其历史双十一购买情况和淘气值计入战队任务,最终队员瓜分能量。

(关键词:无历史双十一购买记录或淘气值的用户无被邀请价值。)

简单来说,活动的基本逻辑就是是通过各种方式赚取能量值,最后支持100能量值兑换1元现金的游戏。特别的是,平台方在多个环节引入了“好友助力”。 一时之间,我们的生活变成了这样……

生活变成了这样

与此同时,羊毛党也坐不住了,各种互赞群群应运而生。

互赞群

当然也由于平台方规则限制,一个账号每天最多只能为3支队伍助力。但是你懂得,除了想薅点羊毛之外,有些时候我们组队可是为了尊严而战。

为了尊严而战

于是,卖赞的行当黑产也没有放过,十点之后2元一个赞。这黑产未免有些黑了(黑产有点黑没毛病…),毕竟100能量=1元,而每天赞数最高的能量也不过288元起,很可能劳累一圈仅换来300能量=3元……

卖赞

还不算完,还有各种引申出来的乱象软件,所谓的“双十一点赞神器”只有0KB……

只有0KB

黑产大军压境,电商平台何去何从

我们知道,近年来“羊毛党”的不断发展,我们不能将其定义为简单“占小便宜”的群体,而应该认识到其已经逐渐形成了一条庞大的利益链条。

而这其中,除了存在巨大的利益空间之外,更多在于他们不断的“擦边球行为”——难以划分的灰色地带。如何看待“羊毛党”的具体行为是否越界,可以从以下两个角度参考:

① 他们的交易行为是否属于虚假消费;

② 他们是否作弊,即有没有大规模恶意研发、使用相关软件、工具进行批量操作的行为。

比如后者,在法律层面已经给出了参考,2017年11月底,山西法院通报一起制作、销售黄牛抢购软件案件,3名犯罪嫌疑人分别被判2年、3年、3年有期徒刑,并处罚金3万元。这成为国内首起“薅羊毛”领域的入刑案件。

入刑案件

除了法律层面存在难点,在聊到“羊毛党”时,绝大部分企业也同样是苦不堪言的。虽然羊毛党会在短期交出一个“流量数据”相对好看的答卷。但是这样以投机心理为出发点的“用户”,难以留存;并且一定程度上损害了正常用户的权益;如不加以管理很可能出现“良币驱逐劣币”的现象,与活动初心相悖。更有甚者,很可能被“薅死”……

良币驱逐劣币

而未来到底该何去何从,在这场博弈中,平台方注定需要投入更多。为此,我们专门邀请到极验深知产品负责人王文达。

他指出,首先我们必须要认识到,对抗“薅羊毛”乃至所有的黑产,这都不是一件一蹴而就的事情。正如我们常说的“安全的本质是对抗”。也就注定与黑产的对抗将在一个持续的过程中进行,这世间不存在一劳永逸的安全解决方案。

就像我们此次讨论的“薅羊毛”,传统思维会单纯依靠在一个“登录/注册”一劳永逸解决所有问题,但效果或许并不如人意。因为黑产除了从比较有技术含量的纯代码及数据逻辑角度出发,还有一大批手工薅羊毛者,其中集合“工具+大量人工”的方式,并且近年来产业链日趋成熟,不仅攻击手法是多样化的,攻击群体也不断变化。

所以重要的是除了纯粹的技术方案,还要构建起一种系统性工程。“尽可能的提高黑产成本,损失最小的业务资源”,这种思路看似“鸡肋”,但却是在注定长期的“消耗战”中最应当持有的态度。

一方面,我们注重当下的识别和判断,另一方面也要让安全策略拥有更长的生命周期。这意味着,简单的拦截不再是我们的最优方案了,因为这不仅白白浪费提高黑产成本的机会,更可能使黑产利用风控来“训练”技术。所以,建立长期的防御体系更为可取,在察觉异常时,做好长期的监控与分析,采取不同的处理方法,甚至尝试“迷惑”黑产,最终让黑产疲于应付不同的处理手法,消耗成本。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# 黑产 # 薅羊毛 # 双11
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者