3.2.1 电商风控
国内电商行业从创立之初到现在已经历十多个年头,谈到电商的风控不得不先说说电商业务面临的风险。根据对象不同,可将电商风险分为C端用户风险、B端商户风险、电商平台风险。这里介绍的电商风险主要是电商平台的风险,电商平台的风险根据电商业务流程分为下载与注册风险、内容风险、营销风险、交易风险、羊毛党风险、网络安全风险等,相应的核心风险控制类型主要有下载与注册风控、内容合规风控、营销风控、反欺诈风控,如图3-2所示。
图3-2 电商业务风控类型
电商行业的风控首要面对的是成熟的黑灰产风险,即羊毛党风险,以及虚假刷单风险。羊毛党风险会对营销活动造成严重的利润损失,刷单风险会影响平台的公平性,并且会影响消费者选择,危害网络环境。本节着重介绍羊毛党风控,先来了解下什么是羊毛党。
1.羊毛党
羊毛党是指通过批量注册新用户,以低成本或者零成本参与营销活动,获取丰厚利益的群体。随着互联网的发展,羊毛党已经渗透到各行各业,不仅电商行业遭受到严重的羊毛党风险挑战,而且互金、视频、游戏、出行等行业也同样面临严峻的羊毛党风险。
·电商行业羊毛党主要瞄准新手奖励、营销优惠券、超值商品秒杀、拼团;
·互金行业羊毛党主要瞄准注册认证奖励、投标返利、返积分;
·视频行业羊毛党主要瞄准薅平台礼物、刷直播间人气、刷排名、刷粉丝;
·游戏行业羊毛党主要瞄准薅虚拟资产、刷任务奖励、刷经验升级、账号托管;
·出行行业羊毛党主要瞄准恶意囤票、盗刷积分、流量作假、票务信息盗爬。
羊毛党产业已经形成完整的产业链,如图3-3所示。
图3-3 羊毛党产业链
羊毛党产业链分为上游、中游、下游三部分,上游包括黑卡运营商供卡、硬件设备以及软件工具批量养卡,中游提供接码平台、打码平台、改机软件、群控软件等黑灰产业务工具,下游包括羊毛党情报线索采集、变现套利实施。
(1)上游
互联网业务的发展改变了手机卡使用的本质,最开始的手机卡用于通信,随着三大运营商(电信、联通、移动)手机卡实名政策颁布,互联网业务将手机卡实名验证作为个人身份验证门槛运用到产品中,常用方法是手机接收验证码验证。黑卡运营商通常是与三大运营商代理存在业务关系的组织或者三大运营商代理本身,该运营商主要为黑灰产业务提供使用的手机卡,即羊毛党的作案身份ID。羊毛党使用的手机卡分为两类。一类是实名认证的手机卡,包含实名卡。这类实名卡主要是利用盗用的大量身份证信息并且通过黑卡运营商批量进行手机卡实名验证所得,成本都偏高,单卡成本在几十元左右。另一类是非实名认证的手机卡,包含虚拟卡、物联网卡、海外卡。虚拟卡主要是虚拟运营商提供的手机卡,虚拟运营商类似代理商,它们通过与三大运营商合作来获取大批量的手机卡,然后通过自己经营获取的手机卡对外提供通信服务;物联网卡由三大运营商提供类似SIM卡,用于满足万联网行业智能设备联网的需求,如GPS定位使用的卡很多就是物联网卡;海外卡指国外的一些手机卡,由于实名认证后黑卡运营商很难通过代理商获得手机卡,因此能在国内直接使用的国外手机卡开始大量流入国内。作为羊毛党卡源,非实名认证的卡的成本较实名认证卡的低,单卡成本在几元左右。
硬件设备批量养卡主要是指猫池和卡池。猫池(Modem Pool)就是将相当数量的Modem使用特殊的拨号请求接入设备连接在一起,可以同时接受多个用户拨号连接的设备。卡池是SIM卡管理设备(SID),是基于猫池的扩展机器,不能单独使用,必须配合猫池一起使用,能够实现自动换卡。
黑灰产用户利用猫池和卡池控制多张手机卡进行业务操作。
软件工具批量养卡有设备农场、手机模拟器等工具。
设备农场即群控平台,分为真机农场、虚拟农场。真机农场即线控,是指运用一台电脑和群控软件通过连线、支架批量控制本地的多台手机。真机农场需要自己搭建服务器,手机建设成本较高,但抗风控能力强,羊毛党运用真机农场再辅以刷机工具即可进行黑灰产业务操作。虚拟农场即云控,又分为虚拟云控、真机云控。虚拟云控是指运用虚拟移动设备结合云控软件,通过三方服务器控制多台虚拟设备,虚拟云控的手机也是虚拟的;真机云控是指运用云控软件通过三方服务器对真实手机进行无线远程操作,真机云控的手机是真的手机。羊毛党通过虚拟农场进行黑灰产业务操作,不需要自己搭建服务器,建设成本低,但抗风控能力较弱。手机模拟器是指能够在PC端模拟移动设备的软件,主要分为Android模拟器、iOS模拟器。模拟器最初是供系统研发人员测试使用的,但是却被羊毛党直接利用进行黑灰产业务操作,好在手机模拟器抗风控能力很弱,很容易被风控识别。
(2)中游
上游羊毛党批量养卡进行黑灰产业务操作赚取利润,但是随着羊毛党的滋生和规模的发展,很多平台意识到了羊毛党带来的严峻风险,开始研发、采用一些基础的风控规则,例如拉新活动、优惠券奖励活动等设备限制、验证码核验规则,这就使得羊毛党的黑灰产业务门槛升高,但是同时催生了支撑黑灰产业务破解平台简单风控的工具,黑灰产业务链中游核心是辅助黑灰产业务破解基础风控的工具,包含接码平台、打码平台、改机工具、群控设备。
手机卡是一种身份ID,大部分的平台注册、登录、活动促销时都会通过手机验证码来进行身份验证。接码平台应用于需要通过手机卡注册和登录平台、接收大批量验证码的业务环节,负责手机卡的验证码批量接收,然后通过软件客户端或者API的形式输出给羊毛党。
随着接码平台的迭代升级,接码平台不仅提供验证码的批量接收,还支持批量识别、自动化分发,例如短信验证码接码平台收到、识别、处理完成后会分发给羊毛党提前设置好的接收工具,再辅以自动化软件就可以实现批量的注册、登录。接码平台的运用大大地提升了羊毛党对验证码的收发效率。
随着风控升级,验证码技术也在不断升级,验证码的形式也发生了改变,从最初的短信文本类验证码发展出声音、图像等验证码。声音、图像验证码的创造给接码平台提出了更高的技术要求,导致大量接码平台验证码自动识别功能失效,进一步提高了羊毛党从事黑灰产业务的门槛,但也催生了更多应对声音、图像验证的软件工具,即打码平台。打码平台主要负责把接码平台接收的验证码分发给羊毛党的设备,由于声音、图片的验证码很难自动识别,因此羊毛党不得不采用众包的形式通过人肉识别上传验证码进行验证码高效获取。初期的打码平台就采用众包模式对技术无法获取的验证码进行人工打码。
打码工作人员通过打码客户端抓取验证码图片,然后根据验证码图片输入验证码。随着技术的发展,现在的部分打码平台已经具备了人工智能自动识别能力,能够自动有效地识别图片、声音等验证码,高技术的打码平台结合接码平台一起使用能够快速破解验证码,大幅提升验证码的收发效率。
许多平台不仅使用验证码防控羊毛党,还会设置设备限制规则防控羊毛党,但是简单的设备限制已经被羊毛党所破解,他们通过改机软件快速破解平台的设备限制规则。改机软件通过对平台获取设备信息的接口进行劫持,篡改设备型号、IMEI编号、GPS定位、电池电量、MAC地址、重力感应等设备信息,模拟伪造成其他全新设备,欺骗平台对设备的限制。
改机软件是一款安装在移动设备上的App,通过伪造模拟移动设备的设备信息,不断创造新的设备指纹,以此蒙蔽平台的设备指纹检测风控规则,目前市场上主要有iOS和Android系统的改机软件。羊毛党通过一部手机加一个改机软件可以创造出许多部手机,移动设备成本很低。
猫池、卡池、设备农场、接码平台、打码平台、改机软件全部准备齐全,黑灰产业务核心要素——成千上万的身份ID——就基本集齐,羊毛党从事的黑灰产业务形态已经初现,剩余需要解决的就是羊毛党实施黑灰产业务时的人力投入。想要批量高效进行黑灰产业务,必须通过机器自动化进行注册、登录、领取等业务流程操作,因此模拟人工控制批量设备的软件——群控软件被创造了出来。
群控软件是指安装在一台电脑上批量控制设备农场中虚拟或者真实的移动设备的控制管理软件,通过群控软件可以实现一个软件控制多部手机的目的,以及通过群控软件编码内置业务操作流程,实现多部手机自动化黑灰产业务操作。
群控软件主要分为两类。
1)简版的按键精灵和脚本的结合,通过对平台产品业务流程脚本化,然后利用按键精灵模拟真人进行移动设备的仿真操作。羊毛党以此完全实现全自动化黑灰产业务流程操作,提升了羊毛党实施黑灰产业务的效率,降低了操作成本。
2)随着风控的再次升级,风控检测从设备指纹识别升级到生物探针检测,风险的控制不仅检测移动设备的指纹,还会检测移动设备的操作行为特征。羊毛党为了对抗风控,引入了仿真生物模拟器,实现行为特征仿真模拟,以此欺骗生物特征识别。
此时的群控软件更应该叫作模拟精灵,它除了具备按键精灵的基础功能,还拥有一键导入真实行为操作特征以及智能学习行为操作特征。模拟精灵通过机器学习等技术不仅能够实现平台业务流程全自动操作,而且能够实现几乎接近真人的全自动操作。
群控软件的加入,使羊毛党从事黑灰产业务的工具全部准备齐全,一个高效、批量作业的产业链也逐步形成,最后仅剩下游线索采集、变现套利。
(3)下游
下游主要是线索采集、变现套利,也是羊毛党产业链最靠近用户的环节。
线索采集是羊毛党产业链的开始,也是羊毛党产业链的核心,易破解、优质、高效的目标决定羊毛党在有限的时间里能够获取的利益。线索采集组织发展到现在已经是一个高度军事化管理、传播性极强、受众面极广的社群,主要分为活动线报搜集、活动线报承接、活动线报分发,负责线报收集、分发、承接的角色最终都汇集到黑灰产论坛、微信群、QQ群、社交媒体等线报论坛以及线报群。
线报收集主要来源于爬虫软件爬取和羊毛党人员自己参与活动发现奖励漏洞或者业务漏洞后的分享。线报被爬虫软件爬取后,专门的线报人员会对爬取的活动进行人工测试,挖掘活动漏洞或者业务漏洞,确定漏洞后会快速输出详细的黑灰产操作攻略,然后提报给线报承接人员(主要是这些论坛的负责人以及群主等),最后群主把这些黑灰产线报分发到论坛或者群里。既然有线报收集论坛和群肯定就有羊毛党的实施论坛和群,实施论坛和群就是最后羊毛党发起黑灰产业务攻击的聚集地,至此羊毛党线索采集的工作基本完成。
变现套利是羊毛党产业链的尾端,也是羊毛党直接获利的最后关卡,羊毛党欺诈后的主要价值标的很多都不是直接的现金收入,此时就需要末端变现套利的组织对价值标的进行变现处理。羊毛党直接获取的价值标的的种类繁多,如新手奖励获取的奖品、秒杀的商品、盗刷的积分、领取的优惠券、流量型任务获得的任务金等,最终这些价值标的会再经过变现套利群体变为现金。羊毛党产业链中变现套利群体是不可缺少的角色,变现套利群体手中握取的平台、人脉等资源决定着羊毛党的利润收入。
黑卡运营商、硬件设备、软件工具、接码平台、打码平台、改机软件、群控软件、线索采集、变现套利综合组成羊毛党产业链,再串联起黑灰产工具,就构成了羊毛党作案实施流程,如图3-4所示。
图3-4 羊毛党作案流程列举
借助黑灰产工具,羊毛党整个产业链的效率提高很多,羊毛党的危害也从最开始的电商业务不断向其他的互联网业务蔓延,羊毛党风险也成为互联网风控业务重点关注的风险。
2.羊毛党风控
当前,仅仅使用传统的黑灰名单机制已经不能对抗不断升级的羊毛党风险,需要依靠融合人工智能、机器学习的大数据风控,通过实时检测抵御羊毛党的攻击。
羊毛党从事的黑灰产业务风险要有迹可循,所以需要着重关注设备、账号、行为三个点,羊毛党风险的对抗也主要是围绕设备、账号、行为进行风险的预防控制以及应急控制,不同场景下的羊毛党风控策略还会存在许多差别。常用的羊毛党风控策略如表3-1所示。
表3-1 羊毛党风控策略
羊毛党风险防控围绕设备、账号、行为,主要面向设备信息、设备环境、账号信息、个人信息、用户行为建立风险规则,同时利用大数据风控技术深入挖掘潜在隐藏风险,如基于设备、账号、行为的风控建模,利用多维变量建模输出黑灰产风险等级,通过等级制定自动差异化拦截。高风险直接拦截参与拉新、优惠奖励等活动;中风险依据风险类型调整业务核验方式,如新增实名验证、活体检验等;弱风险可以增加额外防控措施,如根据风险类型推送短信、语音、图片等不同的验证方式,并且对疑似风险账号适当减少奖励。
羊毛党风控以提高羊毛党作恶门槛,拦截确切羊毛党风险,快速修补羊毛党风险漏洞为目标,包括升级风控技术、改进策略、增加羊毛党的作案成本和伪装难度,同时对识别的羊毛党风险进行快速拦截响应,以最快速度堵住风险漏洞。