最近《三十而已》特别火爆,剧中独立女性顾佳靠提鞋混进太太圈获取资源的事情备受争议,我恰好知道一个凭自己本事 25 岁就混进亿万身价圈层的年轻人,这是他的故事…

最近《三十而已》特别火爆,剧中独立女性顾佳靠提鞋混进太太圈获取资源的事情备受争议,我恰好知道一个凭自己本事 25 岁就混进亿万身价圈层的年轻人,这是他的故事…

薅羊毛是从业者众多的一项黑灰产业,并且根生于各大互联网行业中,是企业风控管理的重要对象。极验着力于与黑灰产的对抗已有多年,这篇报告主要是根据我们在风控行业长期的观察和实践,输出一些观点和结论。

背景与现状

电商行业背景

据国家统计局公布的数据显示, 2019 年全国网上零售额 106,324 亿元,同比增长16.5%。2019 年全国网购用户数量突破 7 万亿,淘宝、京东作为传统电商的两大巨头占据着一半以上的市场规模,同时也涌现出了像拼多多、京喜等社交类电商。

如今的格局是线下商超并未被挤走,线上购物虽然是巨头独大,但也有众多平台瓜分市场。激烈竞争使得各种优惠活动、引流招数层出不穷。很多商家平台甚至不惜血本,使出大手笔。但是平台和商铺给消费者的回馈却成就了羊毛党的发家致富,各种购物狂欢节也成了羊毛党的盛宴。优惠券抢不到,秒杀根本没戏,让普通用户日渐失去参与活动的热情。

2018 – 2020 年电商薅羊毛大事件

2018 年 9 月,某通信公司自营电商平台的电子优惠券被薅羊毛,羊毛党利用虚假信息实现200 万元的优惠券变现。

2018 年 12 月星巴克营销活动,遭受黑灰产大规模攻击,损失可能达1000 万元。

2019 年 1 月某支付公司网上商城推出“每周五消费满 100 元立减 30 元”活动被恶意薅羊毛,涉案金额达2000 余万元。

2019 年 1 月拼多多遭遇黑产团伙盗取优惠券,涉案总金额达数千万元。

2019 年 2 月郎酒集团为回馈消费者开展了微信扫码派送红包活动,却有大量未出售的郎酒二维码红包被盗刷,盗刷金额累计达30 余万元,涉及销售客户 10 万名,销售营业额近千万元。

2019 年 11 月天猫“果小云旗舰店”被恶意薅羊毛,总计被下单700 万元,10 万元保证金被扣,店铺倒闭。

2020 年 1 月京东家电优惠券设置漏洞被恶意利用,羊毛党在极短的时间里,出现了24 万笔低价订单,涉及商品金额7000 万。

2020 年 5 月,各地发放消费券,昆明大额消费券被挂上二手交易平台转让。

2018 年 – 2020 年间出现多起电商活动恶意薅羊毛大案,涉及金额几百万甚至数千万元。

恶意薅羊毛简介

“薅羊毛”指的是消费者盯着线上电商平台或线下商铺店家做促销活动的时候,利用各种途径和平台优惠券、积分,使自己购买商品、服务的价格是最便宜的,得到的赠品、礼品是最多的,实现利益的最大化。因为消费者得到的优惠其实是平台或商家让出的利润,故而将消费者获取优惠的行为称为“薅羊毛”。

因为有利可图,于是有人便利用大量账号和自动化软件,绕过平台设定的限制规则,大量的囤积实物或优惠券。然后再以较高的价格倒手赚取差价,这种行为我们叫做恶意薅羊毛,也是本文讨论的薅羊毛黑灰产业。

商家让利搞活动本身是互惠双赢的事情,因为大批恶意羊毛党的涌入,使得电商平台的运营生态遭到破坏,商家及平台的优惠并没有到达有效用户的手中,更出现了诸多恶意攻击或者寻找漏洞致使商家蒙受巨额损失的情况。

薅羊毛黑灰产分析

薅羊毛黑灰产业发展已久,业内估计薅羊毛从业者超过百万,市场规模逾 1000 亿。在最近的两年里爆发了不少大规模的恶意薅羊毛事件,让人唏嘘的同时也应反思该产业链到底在如何发展,我们又有什么应对方法?近两年我们对薅羊毛黑灰产的观察:

1. 薅羊毛黑产账号交易市场完备

中国电商行业发展已有十五年,形成了以淘宝、京东为首的综合型电商平台长青,垂直类移动电商互相撕拼,拼购类社交电商后来居上瓜分下沉市场的多头格局,竞争异常激烈。为了抢占市场,平台联合商家推出大量的优惠活动,带来了羊毛党的滋生。

一般情况下优惠券、秒杀商品都会有风控限制,一个账号只能领取一张或者限购一件。想要大批量的薅取资源,就需要大量的账号。作为黑产的核心资源市场,账号买卖异常活跃并且交易流程化、规范化。集中体现在两个方面:账号类型齐全、账号买卖等级分类和价格体系完善。

1.1 账号类型齐全

在黑产市场上,有专门做各大电商平台账号买卖的平台。账号买卖平台众多,账号类型极其丰富。购物类账号几乎涵盖了各种类型的电商平台,应有尽有。

1.2 账号买卖等级分类,价格体系完善

账号买卖平台提供的账号分门别类,不同等级的账号价格不同,用途也不尽相同。比如淘宝的账号:包括实名和未实名,实名账号按照其等级价格逐渐增加,未实名的白号主要用于发布广告,价格相对便宜。实名账号中等级越高价格也越贵,比如实名 1 钻账号可以卖到 50~90 元一个。京东账号则按照京享值或者账号等级来计算价格,其中钻石账号最贵,可以卖到 15~30 元一个。其他的电商平台账号的等级分类并不多,主要是新号和老号。

还有一些年份久远或者淘气值高的淘宝账号卖价会更高(不同的平台卖价会有偏差):

这些账号的来源包括三方面:养号、盗取和收购。

养号:利用卡商提供的手机号和黑客提供的注册机批量注册,这种号一般是未实名白号,量大价格便宜。实名号则还需要从资料商处获得“四件套”进行实名认证,然后再慢慢进行等级号的培养。

盗取:这也是黑产账户的一大来源。曾在 2016 年,浙江警方破获一起大案,犯罪嫌疑人利用手中已有的信息对淘宝进行撞库,经过 9900 万次对比之后获得了 2059 个淘宝真实账户。而这些账户的去向是被犯罪嫌疑人用于刷单、抢单以及售卖给黑产团伙。(来源:2016 年京华时报)

收购:购买一些真实用户的高等级号,这种类型较少。

2. 软件供应市场已经形成专业的 BAAS 服务

SAAS 服务即按需为用户提供软件服务。同样在黑灰产业中,也形成了非常专业的 BAAS服务( Black production-as-a-Service)。目前黑产的软件市场主要包括三大类型的软件:提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。

在该领域内存在很多的技术服务公司,他们有专业的销售、研发工程师和售后工程师。黑产近两年软件服务方面的变化主要包括以下两个方面:

2.1自动化软件不断集成新的功能,形成具有规模的一体化软件服务

早期的黑产软件是一些黑客或者技术从业人员根据自身需求研发的,比如注册账号需要批量注册机,抢优惠券就编写个自动抢券插件,抢购商品就研发一个抢购软件。随着各大平台的风控手段越来越多,包括增加验证码、设置风控规则、利用技术检测风险账号等,使得简单的自动化脚本很容易被识别进而封号。

因此,现如今的黑产软件服务提供方一般都会提供一整套的服务。比如一款抢购软件,会集成账号供给、自动打码、秒换IP、自动支付等多项功能。

某下单软件研究

简介:专门做一元购项目

功能:软件是脚本全程自动化运行,无需人工,一台电脑挂机即可。主要包括:自动换号登录、查找商品、识别验证码、更换 IP、下单、支付。

软件价格:包含电脑的价格 3980 元;无需电脑只有软件 2980 元(提供远程安装和售后服务,并赠送 200 个小号)

软件完成下单支付后会生成一个数据记录,从这份数据记录中可以发现,该软件的下单完成率较高,仅有几单显示无效-违规订单。

该软件的销售人员介绍,这是他们公司的主打产品,销量非常好。一般一个京东白号可以做 3-7 单,一天下来可以实现 250-400 单,每单的利润在 5-10 之间,也可能会更多,一天1000 的营收不成问题。他们不仅提供软件服务,也提供账号,白账号 4 毛钱一个。

黑灰产市场上专业的技术服务不断集成和软件各项功能的不断完善,一方面使得黑产的准入门槛不断降低,完全不懂技术的人群也能很快参与其中;另一方面,技术的复杂化使得黑产市场的分工更加细致,懂技术的一部分人可以规避触碰法律红线的风险,将这些风险转嫁到更多人的身上。黑产市场分工使得专业的人只做专业的事情也给风控带来了新的挑战,未来更将是技术与技术的赤裸对抗。

2.2 移动平台占据主流,改机软件成为黑产必备神器

现在各大平台的主要战场是移动端,近两年移动端的作弊成了黑产技术突破的重要阵地,因此改机工具在黑灰产市场成了炙手可热的神器。

改机工具是指能够在安卓或者 iOS 设备上运行的 app,能够修改包括 Android_Id、IMEI、手机序列号、WIFI-MAC、WIFI-Name、安卓系统版本、ROS 固件、手机号码、手机型号、手机品牌、CPU 型号、手机制造商、GPS 定位、通话记录模拟、手机短信模拟等各类手机系统信息的修改功能。通过不断刷新伪造设备指纹,让一台手机在信息上呈现多台设备的信息,极大的降低黑产的硬件成本。

一款改机软件的功能列表

在我们发现的异常用户中,最常见的改机神器包括 Xposed 、 supersu 和 Magisk 。Xposed 在圈内家喻户晓,很多改机 app(应用变量、深海等)都要在 Xposed 框架下才能安装使用。

Xposed 框架是一款可以在不修改 APK 的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。在这个框架下,手机可以加载很多插件 App,这些插件 App 可以直接或间接劫持、篡改、伪造一些信息。有了 Xposed 后,理论上插件 APP 可以 hook 到系统任意一个Java 进程 zygote。但是随着安卓系统的更新,Android 8.0 以上的 Xposed 官方版本没有再更新,于是 magisk 成为了后起之秀,在改机神器中脱颖而出。

Magisk 和 Xposed 都是改机平台,具体改机功能需要单独模块实现。由于开放性,这两个平台模块生态丰富,被黑产用来非法牟利。除了上述我们提到的对手机各种信息的修改,还有可以实现微信自动抢红包、撤回信息、远程打卡、修改 UI 设计。

安卓手机由于其系统更加开放而受到羊毛党们的青睐:

由于改机工具的存在,这些环境信息基本上都可以更改,变得不再可信。在我们的分析中,还发现有的甚至将安卓品牌的手机系统信息改为 iOS 。

要通过伪造设备信息,使得在一台手机上呈现多台手机信息,黑灰产大概率篡改的信息前十:

在我们检测到的异常流量中,显示的手机品牌厂商的分布如下:

总的来说用于作弊的设备大部分是主流安卓手机品牌,并且是中低端机型。黑灰产批量修改安卓信息的时候,会有一个信息库,根据安卓系统、手机型号、手机品牌、cpu 等信息随机匹配出一个看起来正常的手机信息。如果一些很老的手机型号,系统版本却很新,就不符合逻辑;还有像 cpu 信息和手机品牌不匹配也很容易被发现。

改机工具的存在主要是伪造设备信息,降低硬件成本。目前已经有手段可以应对设备信息造假,通过数据分析,结合环境指纹和行为信息,即使黑产全部数据都是伪造的,也同样可以识别。

3. 羊毛党群体数量十分庞大,职业带领业余群体

根据极验黑产研究专家估计,全国羊圈活跃人群百万以上。羊毛党分为职业羊毛党和业余羊毛党,职业羊毛党专职从事薅羊毛活动,业务内容包括寻找漏洞、搜集各种线报信息、培训业余羊毛党赚取学费等。业余羊毛党则是一些学生、宝妈或者一些想赚点外快的人员,主要是在群里跟随职业羊毛党赚取一些辛苦费。

3.1 职业羊毛党吃肉

项目羊毛:这类职业羊毛党多是懂技术,精通破解脱壳卡 bug 的人。他们往往管理着几个甚至十几个薅羊毛群,并不断在网络上寻找风控薄弱的产品或者活动。找到漏洞和 bug 后,就写脚本测试,最后将信息以及软件还有教程统统发布到群里(羊毛界不贪独食)。

培训收费:网络上有很多黑灰产论坛、贴吧都有大量的羊毛广告,吸引一些小白人员进群。而很多群的管理员会向大家兜售薅羊毛技能。不同的项目收费不同,有的比较小的项目远程视频授课 50 元一次,有的则 188,有的 588,当然也有一千、两千的。而愿意出钱的人还不在少数。

某在校大学生向我们透露,他刚开始是在贴吧看到的广告,便加入一个群,交了 288 的拜师费,跟着撸货撸券。后来加的人和群越来越多,对这个行当了解越多,自己也学习了一些脚本技术,便开始建自己的微信群,每天把自己在其他 QQ 群拿到的消息转发过去,然后写一些简单的教程,收费 50 元一人,收徒加上薅羊毛月入 5000 不是问题。

3.2 业余羊毛党喝汤

剩下的就是业余羊毛党,他们的主要目的是赚点外快。业余羊毛党混迹在各大 QQ 群和微信群,等待羊头的信息,发现有合适的项目便会行动起来。除了一些大 bug,业余羊毛党们平时都是赚点小钱。

秒杀活动免费拿商品:群里会时不时发布一些秒杀或者优惠活动信息,业余羊毛党们可以通过非常低廉的价格买到商品,然后低价转手赚钱。

代下单拿佣金:还有一种是代下单,一单的佣金大概在 3-15 块钱不等。这种模式需要自己先垫付资金,然后等收货方收到货品后返回佣金和实际付款。

总的来说,业余羊毛党所能赚到的钱就要少很多了,还有拜师费、软件钱、购买账号等成本。

根据一位宝妈的反馈,她通常能购买一些廉价的商品然后在闲鱼或者朋友圈出售(包括一些纸巾、洗衣液等生活用品),还有代下单赚点佣金。每个月多的时候能赚几百块,少的时候几十块。

4. 收货销货渠道丰富,利润空间很大

变现为王,收销货是整个产业链中最重要的一环。薅羊毛黑产的收销货渠道十分成熟,销货渠道也很丰富,涵盖了各种实物和非实物商品种类,价格体系健全,为上游撸货羊毛党的变现提供了流动性支撑。

4.1 实物销货渠道众多,各大 QQ 群实时报价

经过长时间的沉淀和积累,实物销货的体系可以说已经非常成熟了,并且这种货物的转手几乎是无风险。

实物种类很多,在羊圈比较火爆的就是日用品、电子产品、酒水、护肤化妆品。日用品的利润空间不大,主要是走量,每天能够薅到的数量相当可观。而电子产品、酒水以及护肤品等则是利润很大的暴利商品。比如 iPhone 11 ,撸货羊毛党的利润在 150-200 元之间,而收货商的利润则可以在 200-300 之间。部分销货报价:

以上只是部分价格,还有一些撸货量非常大的群里,收货群主每天生活用品的量能到几百上千件,为了能够销出去会按照统一的价格,比3块统统卖出去。而像苹果手机、酒水、纪念币等物品,收货商一般会提供动态的报价,甚至一天之中上午和下午的报价都会不同,也会按照实时的报价给撸货羊毛党结算。

4.2非实物销货 C2C 网络平台

非实物包括优惠券、购物卡、话费等资源,这些也是黑产薅羊毛非常受欢迎的一类物资。

非实物资产的交易需求催生了一批交易网站。这些网站优惠券种类非常丰富,涵盖了商超购物、影视下载、游戏点卡、甜品饮品、生活服务、美食生鲜、话费油卡、运动出行等方方面面。优惠券买卖平台相当于一个 C2C 平台,用户可以在该平台买券,也可以卖券。买券的方式很简单,就像我们平时在淘宝购物一般。卖券则需要上传可以验证优惠券的二维码、券号或者是兑换码。

作为平台方,每单基本上是赚取一元左右的差价。而卖券方的利润则很大,基本上是赚取一张优惠券三分之二以上的利润。真正想要购物的消费者,买这些优惠券实际的优惠力度少了很多,平台的让利大部分都被羊毛党赚取了。

各种货品从平台经过羊毛党、销货商最后到消费者手中,灰色资产得以洗白,商家的让利和平台的补贴就这样一层一层的流入到羊毛灰色产业链的各色人手中。

对抗技术实践

当然,各大电商平台也都在积极的应对恶意薅羊毛。2015 年之后,很明显的可以感受到,各大平台包括像淘宝、京东、拼多多等越来越重视自身的风控建设。随着投入的加大和技术的进步,与会黑产的对抗日益激烈,转变较为突出的技术实践包括:

1. 全面监控,梯度防御

过去的风控思路倾向于通过某一规则或者策略拦截所有黑产,这其实是难以实现并且被攻破的风险系数很大。现在的风控思路则更加倾向于全面监控,有梯度的防御。在腾讯云的安全分享会上,京东的风控安全人员表示:目前京东有 2000 多个不同维度的数据指标去做安全评估。一批订单过来之后可以在 30 到 50 毫秒的时间内通过规则的模式去做实时的识别,如果有问题的话会过滤掉,到下一批大概在 10 分钟到 1 小时之间再做识别。

这是目前较为有效的防御策略,极验业务安全研究专家认为可以对流量进行分区,最底层要做好业务底线,防止业务熔断;然后是常规观察,将可疑流量分离出来做进一步的精准分析;对可以确定的黑产流量直接进行封禁。

2. 多维度联控,精准防御

传统风控更专注于通用性,利用很多规则识别可能有异常表现的账户,然后利用策略引擎对这些账户进行封禁。比如,有的风控策略是对改机软件进行检测,一旦账号有改机现象,就会标记为异常进而封禁。这种一刀切的做法在很大程度上确实可以打击黑灰产用户,但是也会造成误封。因为一个用户出现改机,他也有可能是想修改手机的系统模板或者为了玩游戏等情况。

所以传统风控很明显的硬伤就是用户体验。互联网产品有一个很大的特点是必须注重用户体验,误封会极大的伤害用户体验,尤其是在大流量的互联网时代。所以新的风控思维应该由通用性转向精准性,也就是我们深知 Pro 提出的流量识别。流量识别不仅仅是发现可能异常账号,还会结合包括业务行为、业务逻辑以及账户的关联数据等多个维度来分析,精准识别不同类型的流量。比如在一批改机流量中,可以定位到哪些是竞争对手恶意请求,哪些是无恶意行为用户,哪些是渠道假量,哪些是恶意攻击。然后再针对不同类型的流量实施不同策略的风控方案。在必须兼顾用户体验和安全性的未来,精准性是风控发展的必然。

3. 引入多种AI技术,智能防御

近两年,风控与黑产的对抗已经转入 AI 战场,各种 AI 算法在风控中的应用成了新兴的研究热点。AI 技术在风控中的应用有很成熟的,也有在不断探索的。AI 技术的引入为风控带来了很大的提升。

提高了风控运行效率:

AI 模型的引入可以迅速提取怀疑样本,缩小后续的观测范围。比如一些基础模型可以直接过滤掉自动化脚本简单粗暴的作弊,并且准确率很高。这也是近年来,自动化脚本成本逐渐增加的一大原因。

加速了精准策略的产出:

过去由专家根据经验、数据分析提取规则,设置策略。黑产在对抗过程中不断试探风控规则,一旦黑产发现规律,策略就很可能失效,那么又需要再想新的防御策略,这其实是很难的。有了 AI 模型,它也可以输出学习到的规则策略,或者辅助专家进行规则的提取,这给防御带来了很大的产出提升。

提升风控系统自检能力:

一个完备的风控系统有很多规则策略,比如某天出现了异常流量,那排查是什么策略失效其实非常依赖风控人员丰富的经验和风险感知能力,这是很被动的。AI 模型独立于人工经验之外,可以利用 AI 模型建立一套有效的参考机制,比如规则筛选和模型筛选异常比例,这种自检能力能够帮助我们快速排查问题,及时找到应对策略。

未来趋势分析

电商平台乃至全互联网行业与网络黑产的斗争正在逐步升级,黑产也在对我们不断改进的风控措施实施更加有针对性、智能化的攻击。并且随着黑产市场从业人员以及分工细化的进程,我们仍将面临巨大的黑灰产防控压力。

1. 薅羊毛黑灰产业

从前面的报告内容可以发现,电商薅羊毛黑灰产业规模巨大,从业人员基数广,并且有技术能力不弱的一部分中间力量,在未来几年我们认为该黑灰产业有以下三点发展趋势。

人肉众包是黑产发展的最大趋势

因为自动化脚本的成本日益高昂,甚至无法通过自动化脚本绕过一些风控环节,黑灰产逐渐转向了人肉众包模式。最早的是对抗验证技术的打码平台,前两年兴起的众包刷量,还有薅羊毛也开始有众包模式了。我们所在的一些羊毛群便是由收货商发布商品链接和代下单佣金,由群里的兼职散客代下单。而这些都是真实用户,他们有着真实的信息、真实的设备、全国各地不同的 IP 地址,甚至还会表现一些正常的行为,这种模式给我们风控带来了新的挑战。

黑灰产也会利用AI技术作弊

技术的发展是一把双刃剑,我们可以利用AI提高风控能力,黑灰产也会引入AI技术用以作弊。比如,较为典型的是对传统验证码的识别,随着计算机视觉技术的突破,识别传统的字符型验证码变得非常容易。也有黑产尝试利用AI技术实现更加拟人化的自动化攻击。这也是未来对抗中我们要重点关注的方向。

利用规则漏洞或者技术漏洞类的薅羊毛仍然不可避免

最近两年发生的重大薅羊毛事件均是由平台方的规则或者技术漏洞造成的,这种漏洞具有相当的偶然性,并且仍不能百分之百避免。还有相当的一部分具备技术能力的黑灰产从业人员,可能制造漏洞,给平台带来损失。

2. 监管趋势

面对上述未来趋势,企业首先可以解决的问题是严格把握活动规则、底层安全,避免出现失误被黑灰产所利用,带来巨大的经济损失。其他战场上,对抗还将升级。未来也有两个方向可期:

法律监管力度不断增加,未来犯罪成本提升

2018 年,全国首起抢购软件开发案判决结果公布。案件是 2014 年、2015 年间三人开发了抢购小米、魅族手机、天猫商品的软件,并在官方网站上大量销售。法院认为,其中2名被告人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节特别严重;1 名被告人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其二人提供程序、工具,情节严重。据此,判处前者有期徒刑 3 年,缓刑 4 年,二人均并处罚金***3 万元;判处后者有期徒刑 2 年,缓刑 3 年,并处罚金*** 1 万元。

2019 年也有较多相关案例出现:

相关律师表示:薅羊毛可能涉嫌诈骗罪。这两年国家对网络环境的监管力度不断加大,对此类网络黑灰产也会不断通过法律法规监管完善。

由技术分析向多维度、关联数据分析转变

未来的风控将面临巨大的挑战,一方面是黑产人肉众包的模式加大风控的难度,另一方面国家对隐私监管的范围不断收紧,有利于普通用户保护隐私的同时,也让黑产更容易伪装自己。所以,风控必须从传统的技术分析转向多维度、关联数据分析转变。也就是说,分析用户的手机是否有改机、分析黑产软件脚本代码这样的技术分析将逐渐变得不实用,从用户业务行为出发结合多维度数据(设备、IP、账号关联、团伙数据等)发现黑产将越来越重要。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

 “刷单”(Click farming)指由买家提供购买费用,帮指定的网店卖家购买商品从而提高销量和信用度,并填写虚假好评的行为。

刷单现状

大多数人印象中的刷单还是网赚中「动动手指,月入千元」。根据艾瑞网数据,在2016年仅淘宝单个平台,刷单产业规模已经突破6000亿。

一切的原始驱动是电商平台的炒信需求。

2019年上半年,中国的网络零售总额已达到195209.7亿元,占社会零售总额的24.7%。而截止2020年4月6日,仅淘宝平台店铺就超过100万家。

数据来源:艾媒数据中心

繁荣的市场下是无数卖家的竞争洪流。

并不是所有店铺和商品都能被消费者看见。根据各个平台不同的规则,店铺露出展现的情况并不相同。但有几个共通的基础指标:成交量、店铺信誉、评价,这三样正是目前刷单任务中比重最大的需求。

竞争与压力之间,刷单成为官方之外门槛最低、最快速的店铺成长方式。

以淘宝平台为例,店铺升级到皇冠是以信用积分的数量来衡量的:“好评”加一分,“中评”不加分,“差评”扣一分,4~10分升级为一颗心,250分升级为一颗蓝钻,500001分(也就是50W+1个好评)能到一个金皇冠。

除开某些店铺组织的超大型营销活动,正常的经营之下等级提升是需要一定过程的。从一个新店到皇冠店,至少需要一年半到两年的时间。

但是在刷单的支撑下,短时间内等级突升不再是难事。前几年刷单爆发期时,就有央视记者潜入刷单群,花费一千元实现三天内新店铺升钻(至少完成251个好评)。

图源 | 央视财经

刷单流程

最基础的刷单流程是卖家发布刷单需求——刷单组织召集刷手进行派单——刷手按照要求完成刷单。针对平台的监控规则,刷手大多需要经过查找宝贝——对比产品——浏览收藏——假聊天——提交订单(垫付)——好评——获取佣金(退换垫付费用)这样的流程完成一次刷单。

刷单产业链

电商飞速发展的这几十年,刷单的流程和相关产业链也不断发展。

机器刷单

在刷单刚刚兴起的那几年,最主要的模式是店铺互刷和机器刷单

 电商平台发展初期着眼于流量聚集,相关防御策略较少,机刷几乎畅通无阻的在进行。2012年双十一战绩超过181亿元的天猫,被扒出不少店铺存在刷单:某服饰专营店双十一销售次数26,销售额却达到1088万,其中用户“周**雷”多次消费,仅他一人就给该店铺带来了近800万的销售额;某家纺店铺,多个异常买家一次性购买500条6000元的被子。

 机刷的基本原理和薅羊毛类似,养号、自动化脚本、接码、群控。2012年到2016年间,电商刷单的平均价格在3~6元/单。除了平时基础炒信之外,在双十一、618等重大电商狂欢节日中也用到的非常多。

某机刷软件 | 师爷自刷平台

之后,电商平台对刷单打击越来越猛。据统计,2016年共有4.6万家因刷单违规的店铺被阿里关店处理。随着监管力度的增强,这一数字在2017年下降到2.6万家。机刷的风险增大,人工刷单开始成为更受宠的刷单方式。

人工刷单

人工刷单最突出的好处是更真实的模拟普通消费者的下单消费行为,更好的避开平台对于炒信的监测。但需要更多真实账号,所以价格也有了明显的增加,目前平均市场价格在12~30元/单,根据账号等级、产品价格定价以及代理等级不等。

从最初的店家互刷,到如今的刷单组织、渠道宣传、层级代理以及数以万计的底层刷手,逐渐衍生出一条刷单产业链条。

刷单组织

刷单组织通过联系店铺卖家和众多刷手,进行中间信息的传达和分配,牟取利益。有一些刷单团队是大店自建专为自己服务,更多的刷单组织活跃在电商市场上,每年的电商节前后也是其业务量最大的时候。

2014年号称“刷单第一人”的葛峰曾在网络上公开宣称刷单是暴富行业,称双十一一天就刷出了一台法拉利。2017年接受采访解释「一天一台法拉利」夸张了,不过双十一一天的确可以赚十几万。

葛峰接受采访 | 微博

刷单招募者

1. 代理招募

刷单行业的另一个获利方式是招募代理,2018年被爆出有60万刷手待命的「握手网」、「X宝刷单网」,商家在平台发布任务,刷手在线抢单,单人代理费150元到300元不等,平台仅代理费就获益百万。

某刷单团队代理费用

2.刷手招募

对于刷手的招募主要聚集在相关电商运营网站、网赚论坛和社群中。2018年,阿里巴巴共监控到2800多个炒信平台,包括刷单 QQ 群2384个,空包交易平台290个,刷单交易平台237个。

部分活跃刷单平台

对于更多普通刷单的人来说,开始接触刷单可能只是因为一个微博、朋友圈或者网赚帖子的广告。在广大社交平台上不乏出现「刷单」宣传的身影。


底层刷手

刷手分为专业全职刷手和普通零散玩家。如今占大比重的是零散刷手,这些分布在各个网赚平台和刷单社群的人,通过闲暇时间完成刷单赚取佣金。

某平台刷单佣金

零散刷手主要分布在一、二线城市,除了专业刷手之外,大部分是各城市的大学生、宝妈和中、低收入者。

刷手地域分布

性别分布上男女比例相当,男性占比43%,女性占比57%。

刷手性别分布

而在年龄分布上,90后占比超过60%,其次是00后、80后。

刷手年龄分布

对于许多时间充裕的大学生、宝妈而言,刷单是投入较少回报直接的兼职。2018年「握手网」最活跃的时期,会员超过60万人,完成订单后可以迅速退还垫付保证金并支付佣金。

「握手网」在2018年左右十分活跃 | 知乎

空包物流

在刷单的最后环节,刷单店铺大多选择空包物流,价格大多0.6~3元。在电商平台的物流信息中,这些空包的单号和其他真实交易订单中的物流信息无差别,有一些是实发的包裹里面没有任何物品,还有一些只是快递公司数据库中的一条数据。

某空包代发网站价格 | 1元价

利益分配

刷单、代理

从高层组织者、层层代理者到底层刷单者,牟取的利益也是漏斗型往下。一个30元的单子,到最底层的刷单者手上可能只剩下5~8元。

2016年国内电商刷单产业规模突破6000亿,其中除了正常的刷单,还有不少代理费。甚至发展到今天,许多所谓的刷单团队获利点不在于刷单本身,而是招募更多的代理者,获取代理费,和金字塔模式下的「直销团队」十分相似。

诈骗

伴随刷单而来的还有刷单诈骗。大部分参与刷单的刷手只是兼职,门槛低、收益快、投入少等优点迅速吸引许多大学生和宝妈,但是这类人群也是对网络诈骗敏感度较低的人群,很容易被套路。

如今的刷单诈骗是盗骗结合的方式。除了利用前几次刷单成功诱骗刷手扫二维码主动转账的方式,还有组成型诈骗方式。受害人第一次转账被骗后,骗子还会发来伪装成”退款链接“的木马,受害人点击填写***账户、密码、验证码等关键信息后,账户被盗;随后,在网络上通过伪装成网警或投诉渠道客服吸引受害者,谎称有能力追回钱款,但需要”保证金“,受害人转账后再次被骗。

根据2017年蚂蚁金服发布的《2017中国反通讯网络诈骗报告》,兼职刷单诈骗案件量占整体通讯网络案件量的占比为27.77%,是当年的第一大案件类型。

其中,88%的骗子通过微信/QQ与受害者沟通交流,诱导受害者进行转账等,其次是兼职网站。

刷单诈骗的受害者以女性为主,女性的比例达到了63%,且女性受害者的案均的资损比男性高出了42.4%。

刷单难以根除

平台粗放式发展

1998年,京东成立;隔年,阿里巴巴在杭州成立。2003年5月10日,淘宝网成立,当年成交总额3400万元。由此开启了中国的电子商务的大门。

有意思的是,刷单是攀附着电商平台即刻产生的。第一位刷单的淘宝刷单祖师爷——马云,他回忆淘宝网刚刚创立时的境遇调侃道:“由于没有人到淘宝上卖东西,我们就让十几个创始人每个人从家里拿出十件东西放到网上交易,结果有的人连10件东西凑不出来。开始时也没有人在淘宝上买东西,我们这十几个人就互相之间买来买去。”

图源 | 经济观察报

这在某种程度上也映射出如今刷单难以根治的原因——结构性矛盾。平台初期对于流量聚集的需求与刷单造成的虚假繁荣之间的矛盾。2019年我国电子商务交易额为34.81万亿元,比上年增长6.7%。

对于所有电商平台而言,交易额和活跃度是象征平台生气最重要的指标。但走过了市场开拓阶段,刷单对于市场的腐蚀就会逐渐显露出来。处于不同发展时期的电商平台,对于刷单的态度也存在些许不同。

阿里:

2015年,淘宝推出「千人千面」推荐算法

2016年“315”前后,淘宝针对22万多个卖家进行刷单的降权处罚,6000多个刷单卖家被封店

2016年12月,阿里巴巴集团状告傻推网(简式公司)涉嫌严重危害市场竞争秩序,索赔216万元***。此案也成为“全国首例电商平台状告刷单平台案”。

2018年1-9月,阿里巴巴共监控到2800多个炒信平台,包括刷单QQ群2384个,空包交易平台290个,刷单交易平台237个。

2018年3月推出「反刷单3.0」,利用算法模型辅助监测刷单账号

……

在2018年7月上市的拼多多,同年曾多次爆出平台纵容刷单的投诉。不少质疑声音控诉其为了平台GMV选择野蛮式发展。在刷单市场上,淘宝人刷为主,搜索、假聊、收藏等要求也反映出平台对于刷单的打击,但是同期对于拼多多,刷单的流程就更为简单,佣金和风险都更小。

图源 | 网络

消费心理引起的恶性循环

对于消费者来说,网络消费是在有限的信息中对比找到更靠谱的那一个商品,于是销量和好评注定成为重要的参考指标。而在电商平台的搜索展示规则中,店铺信用、销量也同样是重要的筛选指标。这促使了小部分的商家开始刷单作弊,进而开拓出整个刷单市场。

越来越多的商家吃到了刷单红利,不公平的市场现象导致越来越多卖家选择刷单。不少真实销量不错的商家也被拉下水:“2017年上半年我一单没有刷,后来实在被这个趋势搞得你不刷你就要倒闭。就这样子,只能跟着形势走”,还有部分自嘲“刷单找死,不刷单等死”

这样的恶性循环下,消费者更难买到真实好用的产品;卖家也承担着越来越高的刷单费用,苦不堪言;而平台和黑产纠缠下,防控打击成本也在不断增强;面对越来越多衍生出的诈骗事件,也增加了社会的压力。

最后,在利益链条上获利最多的还是黑灰产。

多角度解决方案

当然,对于如今发展成熟的各大电商平台来讲,刷单已经成为一颗「毒瘤」。

技术对抗

阿里近些年在反刷单上已经有比较成熟的措施。除了常见的IP、机器码、支付数据等维度进行监测,还会通过消费图谱和用户模型进行分析。2018年上线DeepFraud、DeepSeq、DeepGraph三大通用算法模型,配合129套风控模型,搭建了一整套立体式智能风控系统,严厉打击刷单。

京东的打造的反刷单系统——“天网”系统,识别准确率已达99%以上。该系统从订单、商品、用户、物流等多个维度进行分析,分别计算每个维度下面的不同特征值,可以精准识别刷单相关的恶意行为。

拼多多在去年4月建立“反作弊系统”,推出自有电子面单打击虚假发货等措施,打击刷单行为。

业务优化

为了从根本上解决刷单问题,各大平台还在推荐算法上作出努力。如今「千人千面」的推荐机制会导致某些店铺越刷单销量越低,系统会根据你和你标签类似的人的的购买记录,给你推荐类似商品。因为刷手大多消费能力不高的人群,一个卖高端家具的店铺也就很难被系统推荐到高消费能力用户的首页。

解决方案

通过设备标识、IP、订单、评价、商品、店铺、用户行为等多维信息建模分析,分析多个典型刷单模式,并利用GCN进行精准识别。

下面介绍三种典型的刷单模式:

1.二部图

基于大量数据,通过Graph构建用户与店铺商品之间的模型。不难发现,大量刷单用户和某些店铺商品之间存在很强的关联性,其中表现为大量刷单商品购买背后是相同的一批刷单用户,商品背后的好评(+)、差评(-)也是来自于这些聚集的刷单用户。

账户&购买目标关系图

2.行为序列异常

极验通过对用户行为模式的分析,总结刷单用户典型的行为特点。人工刷单的大量刷手会按照刷单组织要求进行商品搜索、浏览、购买等,这些行为在大量数据分析之下会呈现明显的异常聚集。

行为序列异常

3.时序分类聚集

和行为序列类似,刷手以完成任务为导向,在浏览、购买商品等行为上会有更突出的时序特点。最快的可能直接搜索关键词,进入店铺完成刷单。但随着平台规则的不断升级,如今大多会提出“搜索商品后浏览10秒以上”、“商品详情页逗留不少于15秒”等硬性要求。

无论要求如何变化,刷手和普通用户区别在于真实消费者的时序特点会存在更多随机性。消费者A可能会在观看淘宝直播后2秒内下单,也可能在凌晨三点浏览商品信息40分钟却什么也没有购买。

异常时序聚集

除上述模式之外,刷单群体的特点还可以通过地理位置聚集、支付特点、物流系统等其他维度进行监测和分析。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

马克思在《资本论》里提到:资本会逃避动乱和纷争,是胆怯的。但一有适当的利润,资本就会非常胆壮起来。

有50%的利润,就会引起积极的冒险;有 100%,就会使人不顾一切法律;有 300%,就会使人不怕犯罪,甚至不怕绞首的危险。

这句话通俗点说就是,「暴利」是一切黑产的原罪。

诈骗、传销、套路贷…这些法不容忍的黑产屡禁不止,唯一的原因就是「暴利」。

而黑产中的战斗机——游戏黑产,则自诞生起就从不缺少一夜暴富的传奇故事。

2012 年的“骑士小组”案件陈某,通过私服广告代理,10 个月赚了上亿,手下员工也能每月拿 5 万工资,轰动一时。

一个小小的黑产广告代理,用一年不到的时间,赚到了一个亿的小目标。在这些案例口口相传中,游戏黑产显的更加神秘和暴利。

目前坊间关于游戏黑产的传说,包括:私服暴利堪比贩毒,DDoS 勒索躺着收钱,倒卖外挂月入百万。

这些传说当真如此么?游戏黑产具体如何赚钱?他们又是如何躲避追捕?

本篇开始,就从外挂说起,还原一个真实的游戏黑产江湖。

一、

外挂产业有多赚钱?

2018 年 4 月,一位隐居在深山老林、足不出户的男子,突然被警方抓捕。

警方的到访揭开了男子的****——某平台绝地求生外挂的销售负责人,而他的手下竟有3万多名员工正在帮他卖挂。

3 万多人的销售团队,这种上市公司都难见的员工规模,我们却在卖挂产业中见到了。

这么多人卖挂,做外挂真的赚钱么?还是从众效应?

为了解外挂的盈利情况,可以从 3 个基本要素着手分析:成本,收益,风险。

而就外挂而言,确实是一个暴利产业。

从成本角度,外挂只有研发成本。 

相较于实业,外挂不需任何设备、资金投入,唯一的门槛就是代码。而现在的外挂多用易语言编写难度低,甚至很多挂都不用写,直接抄海外现成的。

在人力投入上,一个团队理论上只需要两个人,一个研发一个卖;而更夸张的情况下,整个团队只需一个人,自己开发自己卖。

全国首例《王者荣耀》外挂案里,主犯谢某就是一人身兼数职。高中都没毕业的他,凭着对王者峡谷的一腔热血,从2017年开始自学外挂编程,一年后他完成了自己的外挂作品,自己拉QQ群测试、售卖。

而人数多的外挂团队,他们则会通过丰富产品种类、强大的销售渠道,吸引最多的玩家购买,利益也更为惊人。

从收益角度, 高低端挂都能赚钱。

高端挂定价高,俄罗斯游戏《逃离塔科夫》的外挂,在最夸张的时候可以一个卖 1300 元/月,每卖一单就是赚到;

低端挂靠走量,比如《跳一跳》外挂,每个均价才 10 元/月,但销量都可以达到每月上千。

如果你定价高、销量也高,那就是暴利!

2019 年 7 月,绝地求生外挂团队“XYZ”被警方抓捕。他们生产的外挂,35 元只能使用 24 小时,虽然定价高,但这款外挂还是深受玩家喜欢。于是,在半年时间就获利达到了惊人的 5000 多万。

此外,还有专门为外挂网站提供配套设备(支付、下单系统)的发卡平台,他们通过吃流水抽成,赚的更是盆满钵满。

从风险角度,打击难度大。 

由于外挂案件量刑低,作案者又隐蔽,让外挂的抓捕更耗时耗力。

通常情况是,游戏官方花一年时间收集证据开庭,结果判了一年又都放了。

如果黑产选择做国外游戏的挂,那就更安全,运营者山高皇帝远,根本管不着你。这也是为什么《逃离塔科夫》、《APEX》等一大批国外游戏,被中国外挂攻占。

需求存在,成本可控,收益可观,风险有限。

然后自然就是大量黑产进入外挂行业。

二、

当黑产萌生想法,到入行成为职业卖挂者,也没有任何门槛。

打开国内最大的外挂论坛——挂海论坛,满屏的招聘卖挂代理、招聘外挂作者的信息,都会让你有种工厂招工的错觉。

中国外挂产业,已然形成了一股流水线式的生产链条。

整个外挂产业链从上至下:上游负责产品研发,中游负责营销售卖,下游负责各类买家,分工明确,各司其职。

上游:论一个优秀外挂的修养

在产业链中,产品研发是一切的基础。只有产品过硬,才有营销商追随,玩家才会买账。

在精益求精的路上,他们有一套自己的优秀外挂标准。

首先,外挂功能得爆炸!

吸星大法,可以吸 50 米距离的人瞬间拉到面前。

还可以飞天入地,实现空中作战。

在著名的战地系列外挂中:还有魔法**,**随便拐弯,还可以**吸血。

玩家想赢,外挂不光让他赢,还让他赢到肆意妄为。

一个优秀的外挂,对维护也有要求。

外挂多按月充值,要想保证续费率,得确保在官方封堵后,快速升级,绕过检测。

外挂作者和游戏安全部门,此时就会不断交锋,你封我破,精彩程度不亚于竞技比赛:

如果游戏检测武器异常伤害了,就修改药品属性;原来一刀 999 点血伤害,结果官方检测人物单次伤害了,外挂就用加速器一秒 999 刀,单次伤害还是不触发检测。

如果封禁策略太强,团队解决不了,还可以花钱解封。

黑客里有专门的反-反外挂研究人员,甚至不少白帽子都会暗中接这种活儿,没有什么是钱解决不了的。

三、

中游:论卖挂的高效率方式

产品做好后,接下来的问题就是售卖。

怎么样卖挂即安全又高效?黑产有一套专属的卖挂方式。

常见的卖挂方式和传销一样,总代、一级、二级代理,分级代理发展下线。

其中,总代是最大受益者。身为牵头人,总代向上联系作者写挂,向下招收代理卖挂。

而我们日常接触的网吧老板、QQ群叫卖的、淘宝商家,都是某一层的销售代理。

更高效的卖挂方式,类似应用商城,直接将玩家和开发者连接起来。

开发者研发外挂后上传平台,玩家在平台上自行选购,典型的如 XX 助手、蜂窝、光环等,主要业务是是跑脚本和加速。

更魔幻的是,为了抢占市场,外挂商还搞起了营销活动。

2018 年上半年,一场名为「诸神之战」的《绝地求生》外挂比赛吸睛无数。该比赛邀请作弊者使用外挂工具前来斗法,并拒绝普通玩家参赛。后面由于热度过高,还需要付费进群观看。

而这个比赛的主办方就是一位卡盟总代,结果也毫不意外,由该卡盟的外挂使用者获得冠军。

这在某种程度上,已经算是品牌营销了。

四、

下游:普通玩家、主播、工作室和卧底

无论研发还是售卖,所有的一切,都是服务买方。

但同样是买挂,不同身份动机大不相同。这些多元的买家群体,也让外挂行业变得更加复杂。

普通游戏玩家 

他们动机是最单纯的买家,但也是人群最大的买家,是支撑整个产业的主要需求方。

而中国到底有多少人开挂?

根据吃鸡制作人在采访中的说辞,中国拥有世界最庞大的作弊人数,开挂者占到了全球开挂用户的 99%。

为了最大程度的挖掘市场,卖挂方根据付费能力,推出了日付、包月、包年不同付款方式,还专门为白嫖党提供了免费挂,当然,这些挂大都暗中植入一些木马暗门,会被盗号。

卧底,也隐藏在这些普通玩家中。

游戏官方为了获取外挂特征样本,往往会伪装成普通玩家混入群里。如何识别卧底,保护外挂?在QQ群的暗处,上演着一场场的谍海风云。

工作室 

同为黑产,工作室是卖挂人最喜欢的买家,他们需求量大,且稳定。

刷金工作室不用说,本来就是用外挂脚本刷金币的,外挂就是他的生产工具。

随着王者荣耀的大火,近来还出现了大量代打、陪练工作室,这些工作室为了提高游戏胜率,帮助老板上星,也会选择采购外挂。

主播  

随着卢本伟、魔音糯米这些主播的开挂事件,让主播挂站在了风口浪尖。

都说「十个主播九个挂,还有一个在下载」,由于直播时的游戏胜率是和收入直接挂钩,这使得主播开挂的理由更充分。

虽然至今没有一个主播承认自己开挂,但市场的需求和销量不会说慌。

为了满足主播的特殊要求,各类游戏都出现了专门的主播定制版外挂。

游戏界面分屏处理,给观众看的是一个画面,自己看的是透视画面。**瞄不准?帮你自动纠正。普通外挂每月最贵几百一千,主播挂则每个月收费达到 6000 元。

还有专门的主播卖挂群,一个群里全是各平台主播,大家组队买挂,谁也不比谁好。

你看的直播,可能都只是演技。

五、

封不尽的外挂

外挂对游戏的伤害毋庸置疑,影响游戏体验,游戏收入被拦截,最严重的直接让游戏死掉。

那为什么官方不封禁呢?

因为想要完全封禁外挂,几乎不可能。

针对自动挂机类外挂,验证码是目前最常用的防作弊工具。

在游戏过程中,通过设置验证码,可以来识别你是不是机器人,但是,外挂团队也会想尽办法获取验证码。

一些游戏现在还使用最简单的字符验证码,但这种验证对外挂团队而言,早已是个摆设,轻松自动识别,构不成任何威胁。

还有一些是干扰线和更奇特的图片,肉眼都很难答对的那种。虽然自动识别难,但还有一种办法的是,获取到验证码图片然后发送给打码平台,人工识别完成。

到 2012 年,以极验为首的团队推出了行为验证,拖动滑块完成验证,这在当时成功的挡住了大批进攻者。

但面对黑产的猛烈进攻,仅改变验证方式还是不够。极验又在轨迹背后,加入了机器学习算法预判,让城墙更稳固。

针对挂机脚本在操作行为上的重复性、规律性特征,极验风控团队会利用游戏内的操作打点数据,使用时序、聚类等模型来抓出外挂用户。

但此举也并不是一劳永逸,攻防之战从来不曾停歇。

对于吃鸡、LOL 这类fps游戏外挂,先天缺陷导致外挂极难防范。

所谓先天缺陷,就是游戏运行的原理问题。

现在的网游运行的方式,是不断让本地客户端和服务端发生数据通讯。而外挂工具则可以在通讯过程中,通过拦截、修改信息从而改变游戏中武器属性、用户属性等。

比如,在游戏中“你用亚瑟砍了对方一刀,对手被扣了五分之一血”,其中「五分之一血」的伤害这一数据是先由客户端本地计算,再传输给服务器的;通过外挂,我们可以对客户端计算过程动手,将伤害的数据提升,导致服务器得到“你用亚瑟砍了它一刀,它当场去世”的计算结果。

以前在电脑端的时候,会进行一些后台检测来识别异常外挂插件;但进入手游时代,游戏访问权限越来越小,而外挂方却可以通过 root 来获得最高权限。

在防范此类外挂时,如今,最重要的手段就是提高黑客分析客户端代码的成本。比如对游戏脚本进行加密处理,对于解密游戏脚本的核心代码逻辑进行代码混淆、加固。

但有加密就有解密,虽然这是治标不治本,但不做就等于直接跟黑产投降。

目前,最有效的外挂封禁方式,还是只有法律。

六、

最后,我想我们所有人都应该反思下,为什么唯独我国开挂人数这么夸张,一说封区一定是中国区?

如果原因是我们强烈的胜负欲。那么,难道只有胜利才能给我们快乐么?

我认为不是的。

所有人玩游戏的出发点,都只为了单纯的娱乐,打发下一个人的时间,或者暂时忘掉生活中的不如意。

可通过外挂,我们逐渐将公平的游戏环境毁掉,慢慢的眼里只有排名、人头数和输赢,让游戏变成另一个名利场。

我们本是想用游戏逃离规则,却用外挂亲手打造了一个功利社会。

这样真的很累。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

只需要一部手机,就可以轻松实现日入 2000。

从网赚说起

打开浏览器,输入“网赚”二字,再随便点进一家网站,都能看到这样的广告。

网赚可以说是历史“悠久”。参考百度百科,网赚萌芽于1992年,发酵于1995年,1997年开始在网民中爆发增长。在互联网的不断演进中,网赚也通过不断的进化,仍然活跃在我们的网络生活中。原因很简单,每个人都希望躺着就能把钱挣了。

网赚的吸引力

小编在百度指数上将“网赚”和“工作”两个关键词,在 2019 年下半年的热度进行了比较:

很明显,工作不如网赚。

在 QQ 中搜索关于“网赚”的群,发现包含网赚关键词的 2000 人的大群不下 200个,还有很多500人,200人的群。

一些相关的统计数据:

百度知道过去一年关于网赚的问题 96909
网赚导航收录网站 804
知乎网赚话题关注数 27268
微博#网赚#话题 11.8万讨论 1784万阅读

传统老牌网赚网站“赚客吧”网站数据:

这些都说明,网赚的吸引力很大。

网赚的类型

小编花了一天时间,浏览了大大小小将近 50 个网赚网站论坛,发现网赚真是海纳百川,花样层出不穷。广义的说开淘宝店,写公众号也可以叫做网赚,这种类型的网赚不在讨论范围之类。我们要说的是那些有点灰的网赚,具体可以将网赚做如下分类:

网上有很多帖子将网赚项目说得天花乱坠,比如“零风险高收益”、“月入百万不是梦”、“同事两月屌丝逆袭开奥迪”。

image.png

那到底是不是真的赚钱呢?我可以明确的告诉大家,这些项目要么是违反犯罪,要么是骗你钱财,剩下的就只能赚一点喝水钱。

网赚骗局

网络诈骗一直是网络生态环境中的一大毒瘤,并且有野火烧不尽,春风吹又生之势。常见的网赚骗局包括:

教你如何赚大钱

很多打着卖网赚项目旗号的骗局,保证可以赚大钱的项目,手把手教你如何赚钱,甚至可以保障你先赚3000,5000 之后再收学费。项目是什么呢?黑彩,玩股票,可以骗得你倾家荡产。

https://www.*******.com/watch?v=LpS-8piBvRI

全自动挂机

挂机由来已久,而且有相当一部分的人都对挂机赚钱心存妄念。挂机骗局一般包括两种,一种是卖挂机软件骗钱,或者交会员费,交钱之后就再无后续,软件当然也是不能用的。另外一种就是给你一点小钱,套路你的支付宝、***账户密码。

网络传销

网上以拉人入伙,赚提成风靡一时的平台不在少数。还记得那些年割过韭菜的火牛视频、趣步APP 吗?类似的这种拉下线,特别是让你先投资多少钱,然后要拉多少人入伙的,基本上就是骗子了。而且更重要的是,你拉的人多了,就成了传销共犯。

虽然有很多的骗局披着不一样的外衣,不过内里逻辑都差不多,小编希望大家擦亮眼睛,不要被虚无的成功蒙蔽了双眼。

其实不是骗局的网赚,也就只剩下苦力型网赚了。

苦力型网赚

从网赚诞生之初,挂机就一直是网赚中重要的组成部分。挂机在互联网兴起的时候,很多网站主为了赚取广告商的广告费(CPA 按用户行为付费),想出了让普通用户挂机牟取广告费的办法。

比如早期的挂机项目——沙丁鱼流量联盟。主要原理是利用软件互刷网站流量,增加各自网站博客的流量,以此来吸引广告主投放广告。没有网站的用户可以通过这个软件来挂机,也就是用自己的ip、网络去访问别人的网站从而获得积分,攒够了积分就兑换成现金。

传统的挂机模式

这种形式现在仍然在延续,而且衍生出了很多的新花样。

挂机平台

挂机平台可以算一个B2C的平台,主要是连接需求商和广大的网赚用户。平台接下任务再分发给注册了平台的用户,平台赚取中间差价。小编研究了几个这样的挂机平台,比如号称国内知名的挂机打码平台——挂机邦。

要通过该平台赚钱需要:

然后平台会记录工号信息和任务完成信息:

平台的挂机任务主要包括四类:

监测类挂机

网络监测型挂机,是以监测互联网速度为目的,为大中型互联网企业服务,提高网民的用户体验度而生的。软件利用大众网民的电脑执行网络监测任务,并给与会员一定的积分提成。

流量类挂机

就是刷网站或淘宝访问量

调查类挂机

主要是完成网络上的一些调研任务

手机挂机

新兴起的挂机,种类也有很多,后面我们会继续提到。

初步统计了平台提供的一些挂机软件:

网站结算方式是邦币,10000邦币=1元***。流量类挂机任务的价格:

在平台的《正确看待挂机》一文中提到,如有有给力的任务,普通群众一天赚两块钱不成问题。

其实通过对挂机项目的介绍,我们也差不多嗅到一点味儿了,这些网赚项目不就是我们所熟悉的刷量吗?无论是网站的访问量,广告流量、点击量,投票刷票,刷阅读量,刷好评,这些我们一点都不陌生啊。

流量欺诈

在流量的争夺中,少不了刷量的存在。刷量包括机器刷量和人工刷量。随着各大平台风控能力的不断提高,机器刷量越来越难,所以人工刷量成了市面上喊得上价的网赚项目,拥有大量的从业者。

小龙虾挂机

2020 年网赚界出现了一款很火的挂机软件——小龙虾挂机。几乎在每个网赚网站都能见到它的身影。

这款小龙虾上线已有三个月,主营业务是刷微信公众号的阅读量。用户下载该软件后,登录自己的小号,就可以自动阅读文章了。

根据网赚平台的描述挂机一天的收益是5~20元。这个月,小龙虾又新增了抖音的点赞刷量任务。

通过营销截图我们可以看到,完成一个抖音点赞任务的收益是 0.014元。

移动社交媒体重灾区

除了微信阅读刷量,抖音快手也成为了重灾区。网络上有很多抖音快手的挂机软件。比如有刷乐app,主要是快手和抖音的关注任务。

任务单价是360个元宝也就是0.036元一单。

也有做垂直抖音任务的试玩平台APP,包括了各种不同类型的抖音任务(评论、点赞、关注以及全家桶套餐)。不得不说一句真会玩,价格在 0.05元到 0.13元之间不等。

一款叫喵喵试看的软件则有更加丰富的任务,覆盖了抖音、快手、火山、小红书、头条等,不过主要还是以抖音快手为主要阵营。

这个平台的任务单价倒是不低,可以到一毛以上,不过有博主吐槽说,提现有可能提不出来。

小编粗略的搜索了一下,做这种移动社交媒体刷量的软件不下几十款。还有一些是专门在微信群或者 QQ 群进行传播的。这些软件多是存活时间不长,但是往往没过多久又会换一个马甲重新出现在市面上。

给刷量算个账

软件方肯定是要赚钱的,而想通过刷量获利的人也很多。比如通过刷赞,刷评论,刷人气以获得平台的推荐;通过刷粉丝量获得广告代理;通过刷人气卖产品。透过去年抖音的风控的数据,可见需求量的巨大。

来源:光明网

小编查了一些乙方接单的报价,各种平台各种规格套餐是应有尽有。一款叫做“蚂蚁刷量”的平台报价如下:

现在的报价基本上都号称是真人粉丝、真人点赞了。像抖音的点赞、评论、关注基本上是 19元/100个。

根据前面的任务价格可以做一个对比。抖音点赞任务最低价格是 0.014 元一个,也就是1.4元/100个,相当于软件方每一百个可以赚17.6元。当然,也有价格比较高的,0.15元一个,也就是15元/100个,软件方也是有的赚的。

其他一些平台的报价更是惊人:

基本上可以发现移动社交媒体的刷量在传统挂机的模式上又有了新的升级和发展:

根据抖音的风控封禁数据,我们可以大致的估计一下该平台的刷量的资金规模。

这里是按照较低的报价,并且是根据拦截数据计算的。

根据腾讯安全部门的数据,大概 300 万人从事刷量工作,并且根据他们追踪到的一个刷量平台数据,我们也可以简单估算一下单个微信刷量软件的月流水:

image.png

可想而知,整个移动社交媒体流量欺诈利润相当可观。

流量欺诈的危害

总的来说,虚假流量于平台业务,还是于广告金主,都有着相当的危害,主要包括:

浪费大量推广费

为如此大规模的流量欺诈买单最多的人,无疑是广告金主们。砸下的巨额广告费,被黑产各利益链条分而食之,广告效益低下。根据腾讯的估算,19年作弊KOL的年收入规模就将近100亿。更遑论新兴起来的抖音、快手等视频媒体KOL。

2019年7月抖音部分KOL报价

流量红利消失,推广成本越来越高,据统计整个行业平均掺水在 20%-40% 之间。

破坏平台业务运行规则

对于平台而言,大规模的刷量账户严重影响了平台赖以生存的内容环境。去年各大移动社交媒体平台纷纷被勒令下架整顿,如果不能建立健康、有活力的内容生态,平台的最终归宿将是无限期的消失在人们的视野中。

提升业务运行成本

除了增加平台的风控成本之外,平台的各种营销推广活动成本也被推高。比如一些平台的老用户推荐新用户可以获得佣金的活动,很有可能变成流量欺诈的狂欢。

流量的价值与风控

互联网发展到如今,已经不再是重量不重质的草莽年代,流量的价值不仅在多,还在精。不管是平台,还是广告金主,关心的问题是如何让真正的目标用户产生价值。发现目标用户,打击虚假流量必不可少。

各个平台近两年也是下了非常大的决心,频频重拳,毫不手软。

平台 时间 封禁账户数量 拦截请求次数
抖音 2019年10月~2019年12月 203万 5.5亿
小红书 2019年 2128万 14.23亿
头条号 2019年4月-2019年11月 1000+

越来越多的平台在风控方面的投入逐渐增大,通过机器注册僵尸账户,或者通过机器模拟刷量容易被风控团队侦查、监测出来,用户是否活跃、IP 是否正常、设备是否正常……都能在后台显示出来。

在风控的对抗过程中,黑产也变得越来越狡猾。像这种「真人+群控+挂机」的模式是目前市面上含金量最高的模式。因为是“真人”所以难以被风控平台识别出来。特别的,像一些挂机软件还会给用户一些防止封号的攻略,比如在抖音要改昵称和头像,要至少上传三个视频,评论任务必须要走心,不能带有“小姐姐真好看、抢沙发、点赞”这些不走心的言论等等。

在这样的伪装之下,传统的风控系统想要识别作弊用户就十分困难了。

流量欺诈的防控

极验深知负责人表示,虚假流量掩盖在真实的流量之下,想要一刀切是不可能的。现有的风控体系应该既能有效控制虚假流量,同时还要保障正常用户的良好体验。

虽然「真人+群控+挂机」的模式给风控带来了难度,但是深知在传统的风控技术上,发展了深度学习、图神经网络等多种前沿的技术手段,可以根据用户行为进行多角度,多关联的分析,挖掘出刷量用户的行为模式,进而准确识别作弊账户。

同时,防控结合是我们在长期的风控对抗中总结出来的重要经验,不仅要发现异常的攻击者,还要防范未知的黑产攻击者,做好业务的防御体系。

极验深知产品可以灵活配置的各类风控工具,协助不同类型的企业在不同的场景良好搭配,合理识别并处理业务中的虚假流量。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

疫情期间,极验时刻关注黑产动向并发布《疫情下2020 线上流量迁移 与黑产攻击趋势报告》。如报告介绍,此次新冠疫情期间,黑产异常活跃。随着疫情逐渐蔓延,我们发现,境外黑产也开始忙碌起来……

暗网热词:「新冠病毒」

随着国内疫情逐渐控制,大家目光开始转向全球。据英国安全厂商Digital Shadows提供的监测数据,仅在过去的三个月,暗网与COVID-19相关的内容就增加了738%,这一数据与Google搜索量激增相一致。

紫色为「新冠病毒」谷歌趋势,绿色为Digital Shadows暗网监测数据

已经被疫情搞的焦头烂额的各国,根本无暇顾及黑产团伙。而面对疫情带来的变数,全球的黑产们嗅到了「商机」,某些团伙甚至打起了WHO的主意……

无孔不入的黑产:暗网卖口罩,推特卖厕纸

在疫情流量报告里面我们曾提到过流量暴增与短期停滞、隐私泄露,谣言以及电商批量注册养号等问题。这些问题,已在疫情前后逐渐暴露出来并逐渐被政府、企业与个人所重视。而在境外,黑产早已渗透,并随着各国防控政策的收紧,黑产造成的破坏将逐渐放大。

疫情防控与隐私泄露

隐私安全,一直是国外互联网企业的红线。但在疫情下,当权衡挽救生命时,人们的态度产生了转变。作为业务安全类媒体,Threatpost在安全圈内做了一项调查。对隐私安全格外重视的安全圈内的人群,当面对疫情威胁的时候,大约71%的人表示,隐私和数据保护法不应妨碍挽救生命。

与此同时,为了更高效的控制疫情的传播,各国政府开始收集公民的个人信息:

被全世界视为新冠疫情防控范例的韩国,虽然《个人信息保护法》(PIPA)有着严格的合规要求,但在这次疫情防控工作中,政府可以不受PIPA约束,收集和使用公民数据。通过对公民***交易数据,手机位置数据以及城市监控,政府可以快速的对个人信息进行详细的重建。以色列上周通过了一项法案,将政府为打击恐怖主义而收集的手机位置数据,以识别和追踪携带新冠病毒的人群据《*****》报道,白宫一直在与包括谷歌和Facebook在内的主要技术公司进行谈判,商讨是否可能通过智能手机收集公众的位置数据。

在各国政府还在争取收集公民隐私信息的时候,一些国家收集的公民信息已被黑产盯上:

2020年3月14日,位于伦敦的HMR(全球知名著名疫苗测试中心)遭受黑客攻击。该中心已经成功测试埃博拉疫苗,准备投入新冠病毒疫苗的医学试验。黑客窃取了中心大量参加疫苗试验的人员隐私信息以及样本文件,并挂在暗网,勒索机构交付赎金。2020年3月16日,美国卫生署遭遇黑客攻击。虽然黑客组织并未从HHS系统中获取任何数据,但就在事发前的星期日,美国国家安全委员会发布了一条推文警告,存在未知发件人通过电子邮件和社交媒体传播「伪造」的行政命令。2020年3月26日,印度喀拉拉邦官员PB Nooh对外表示,用于储存辖区内新冠肺炎患者和被隔离人员数据库的电脑被黑客入侵,并通过社交媒体渠道进行流通与分发。而就在两周前,印度国家卫生部门户网站曾遭到了一个名为「 GhostSquadHackers」的黑客组织攻击;

暗网上的「疫情生意」

与国内抢口罩略有不同,谷歌趋势显示,随着疫情扩散,相对口罩而言,人们对厕纸的关注度更高。在过去的三个月里,口罩与厕纸成为不折不扣的硬通货。

相对于口罩,大家更热衷于厕纸

由于各大商超厕纸被抢购一空,人们不得不通过其他渠道获取厕纸。比如在荷兰,黑市上两提厕纸卖到了60欧,这几乎是平时价格的10倍……

与厕纸的而在暗网上,口罩的价格则相对低很多。Empire(英语黑暗网络市场)上,卖家增设了COVID-19的标签,2,000盒外科口罩,白菜价6,500美元。

新冠患者激增,暗网卖家挂出了耳温*、额温*等检测设备……

新冠病毒试剂盒紧缺,卖家又挂出了新冠病毒咽喉拭子……

总之,万能的暗网,缺啥卖啥。

被盗的推特与钓鱼站

除了暗网黑市,推特上黑产也借着疫情自由发挥。3月24日,一名纽约的科技专栏记者Todd Feathers发现自己的账号显示异常登录,40分钟前有人登录了他的推特账号,并向他的1,700名好友发送了钓鱼网站推广信息。

虽然他很快反馈给了官方,并修改了密码,但是还是有数十个好友向他了解出售口罩与厕纸的事情。像Feathers一样遭遇账号被盗的人还有很多,随后的几天,Twitter上出现大量帐户发布钓鱼网站的推广信息。

对此Twitter官方并没有太好的办法,只是表示将加强多账户发布违规推广链接的管理。但是,黑产手上还有大批僵尸账户,其中大部分帐户创建时间都在2012年4月。跟国内黑产团伙囤号养号一样,低等级的号往往是「三无」号,没有头像没有好友没有发言,但是质量最高的账号,往往跟正常用户无异。通过这些账号,发布钓鱼站广告。推文都指向一个名为“ Masks 2 U”的网站,网站声称拥有包括口罩,呼呼吸机,厕纸等稀缺物资,但是该站在3月23日才刚刚创建。

如何防控「疫情流量」中的恶意流量

当前,推特跟脸书都在寻求积极的解决方案。用户可以通过标记与举报非法帖子,同时通过第三方组织协助,鉴别与COVID-19相关的网络谣言。另外,推特,脸书与INS重点放在检索预警上,当用户搜索新冠相关的词语,系统会提示用户从官方来源获取信息。通过主动引导,帮助用户规避风险。

Google进行了手动干预,以防止谣言的传播。搜索与COVID-19相关的术语时,平台会提示“ SOS警报”,其中包括来自合法,经过审查的媒体的新闻报道以及来自以下机构的官方资源的链接,比如: CDC和WHO。

据调查,在所有安全漏洞中,95%是因人为疏漏而造成的。而作为个人,我们可以通过下面几个简单的操作来保护个人的隐私安全:

警惕任何要求提供个人敏感信息或财务信息的邮件及文本内容对未知超链接不要轻易点击使用多重身份验证来保护账户安全尽量遵守密码的唯一性。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

这个特殊的时期,企业不仅受到疫情的影响,还有线上的网络安全问题,重灾之一就是恶意爬虫攻击。

疫情期间,大家不能出门,只能宅在家里。为了让宅家生活更加丰富多彩,许多企业开放了有期限的免费服务。最为典型的是教育资源和娱乐内容。

学术资源类有:

不完全统计

网课类平台:

教育部组织的 22 个在线课程平台免费开放。包括爱课程、学堂在线、智慧树、学银在线、优客联盟、好大学在线等等。

还有来自五十家优秀内容平台的电子资源:

图片来源:每日经济新闻

疫情期间各大企业响应国家号召,为全民打赢这场战争助一臂之力,是企业肩负并承担起社会责任的表现,我们应该为这样的行动鼓掌。

但是,疫情期间不仅有人性的光辉,还有人性的丑恶。在各大企业机构免费开放资源的同时,黑产伺机而动。

机械工业出版社爬虫分析

2020年2月,机械工业出版社宣布免费开放 6000 余种电子书,其中包括很多专业书籍。不久之后,官方接口陷入崩溃状态,搜索引擎出现其他相关入口。这很有可能是遭遇了大量恶意爬虫攻击。

通过追踪,目前找到了两个机械工业出版社的爬虫,两个都是脚本爬虫,一个爬取的 web 端的数据,另一个爬取的是机械工业出版社 H5 端的数据。

web 端 python 爬虫

爬虫主要使用 requests 进行爬取,通过获取所有的图书连接最终到亚马逊的 CDN 上面去下载内容。

获取所有的书籍分类,所有的分类是提前保存到项目里面的,做了目录和中文名称 的对应关系,猜测是为了后续保存 PDF 名称使用的,也是为了从中文分类到 CDN 链接做一个映射使用,部分示例如下:

获取该分类下的所有图书,下面使用伪代码说明:

最后保存所有的下载链接,项目中并没有给出所有图书批量下载的代码,但是从仓库的描述来看,之前提供了分片下载的代码。从 github 的 commit 历史里面找到了之前的多线程下载代码,本来以为就是一个简单的爬虫,但是到这里我发现并不那么简单。

代码的实际用途是从 AWS 下载 PDF,这个地方为了防止 AWS 拦截,还做了一些伪装。

伪装 HTTP header

模拟浏览器添加了 http header,并且增加了分段下载的支持。

多线程支持

为了加速下载仓库使用了多线程下载,但是作者为了防止 AWS 封禁,使用信号量控制同时只能运行三个线程。

H5 端爬虫

移动端的爬虫稍微比 web 端复杂一些,经过一番 review 我发现主要是获取书籍的链接更加复杂了,并且移动端不能直接获取PDF,只能获取到HTML,爬虫这里使用的主要手段是通过获取每个章节的HTML,最终通过将HTML转换成PDF完称书籍的爬取。

H5 端爬取的大致思路:

枚举的方式获取所有的图书 ID (作者猜测总共图书不超过 10000)

因为前端有 cookie 的校验,无法获取 token 所以在前端直接发起请求, 并保存内容,后续处理(类似模拟器的方式)

最终通过 HTML 转 PDF 的形式保存图书

整个过程中比较难处理的是 token 的获取方法,因为作者没有找到破解办法,最终使用类似模拟器的形式获取所有的HTML连接内容。

截止到目前,官方的入口还在升级维护中。想来是有些心寒,为众人抱薪者,却冻毙于风雪之中。

来自爬虫的威胁

爬虫,是一种自动化抓取网络资源和信息程序或者脚本。爬虫有好有坏,好的爬虫为我们提供便捷的服务,比如搜索引擎。恶意爬虫会盗取企业核心资源信息,比如上文中提到的内容资源;高频的访问侵占服务器资源,导致企业服务崩溃,这无疑是在给企业增加运营的成本。

除了上文提到的出版社,清华大学出版社文泉学堂免费为用户提供近三万种正版电子书,同样遭到了大量恶意爬虫的攻击,导致网站服务器处于崩溃的边缘,不得不进行系统升级和维护,暂停为广大读者服务。

2019年8月,警方破获鼎阅公司侵犯著作权案,该公司软件工程师通过爬虫软件在网上搜取其他公司 APP 上电子书籍的数据,进行再编辑后发布。调查统计数据显示,该企业:

数据来源:中国扫黄打非网

2020 年了,内容付费于我们而言不再是陌生的词,大家都乐于为好的内容买单。我们清楚的知道,好的内容和资源对于一家企业而言意味着什么。

除了内容平台,还有很多核心数据资产也受到恶意爬虫的威胁。在某论坛上就有某企业数据公司被爬案例:

部分爬虫代码,可以看到获取的内容包括公司名称、标签、法定法人、邮箱、电话等等。

某招聘公司数据被爬案例:

上述数据作为企业的核心资产,被爬取并公布在论坛上。爬虫发布人说:“这些数据,对于知道怎么用的人,价值是巨大的”。当然,被爬企业的损失也将是巨大的。

而简单的反爬技术很容易被破解绕过。爬虫与反爬虫的对抗历时久远,很多企业也都会尝试保护自己的核心资源内容。但是简单的反爬虫机制已经无法抵挡住恶意爬虫的攻击。比如在某公开技术论坛中,就有人共享某二手车网站的反爬技术分析。

分析称:该网站反爬机制过于简单,只检测是否有cookie。如果有的话,就返回正常的数据,没有的话,先添加到cookie中,然后在跳转到正常数据。

传统的反爬虫技术包括:

IP黑白名单

UA 检查

频率控制

但是这些早已经不能有效的防住恶意爬虫了。

极验反爬虫技术建议

上述的一些内容平台遭遇爬虫侧面反映了其 WEB 端防御薄弱,H5 端采用了 cookie 和 token 的校验对爬虫起到一定的抑制作用,反观亚马逊 CDN 使用了部分拦截手段,但是仍然没有很好的防御低频爬虫。

针对疫情期间大量的恶意爬虫,极验反爬团队为企业提供以下几点建议,可以尽量保障自己的内容安全,并降低运维成本:

1、在 H5 端新增内容反爬,比如字体、CSS 反爬手段;

2、WEB 端增加脚本检测、模拟器检测、频次检测等;

3、H5 和 WEB 端均使用加密的 JS 。

同时,在后期的内容以及资源保护上,我们的建议是:

内容型网站增加内容防盗链,访问频率限制

通过账号权限控制可访问内容边界

增加内容反爬,比如字体反爬,样式反爬

更高级的可以增加脚本检测,模拟器检测等手段

API 接口数据参数加密传输,并添加一致性校验

因为反爬虫的范畴比较大,而且安全对抗是一个长期持续的行为,如果有条件可以采购此类的反爬虫产品,防御会更加的系统、全面,使安全对抗更加简单化、实时性更高,减少对业务的干扰和开发人员的持续投入。

*本文作者:极验交互安全实验室,转载请注明来自FreeBuf.COM

3月9日,中科院武汉病毒所石正丽主任面对媒体采访表示,出现下个“新”冠状病毒将是大概率事件。与疫情防控工作一样,复工并不意味着疫情冲击的结束,即使熬过了疫情,对风险疏于防范的企业,仍将被淘汰。

作为疫区中心企业,我们从最开始就格外关注疫情线上动态。经过长达2个月的追踪,我们发现,疫情严重打乱人们线下生活秩序的同时,整个线上生活正在发生着更为剧烈的改变……

通过本篇报告,我们将揭示疫情下,互联网毛细血管中,「疫情流量」的来龙去脉:

疫情下,各行业线上流量的巨大改变

流量平衡、产业链循环被打破后,引发的行业困局

疫情防控,网络公共秩序与安全存在的隐患与风险

攻击预测,企业正在面临以及即将遭受的黑产攻击预测与分析

“受新冠肺炎疫情的影响,2020年春节至今,我们的线下生活秩序被严重打乱,工厂停工、企业在线办公、学校推迟开学、社区网格化管理。而在毫无察觉的情况下,我们的线上生活正在发生着更为剧烈的改变……”

线上流量的改变

受新型冠状病毒疫情影响,线上整体流量正在发生改变,并对行业线上秩序造成巨大影响。

影响一:扰乱整体流量秩序

从1月20日开始,因疫情限制,线下流量全部转移到线上,导致流量较往日突增 114.94%,疫情期间流量是同期流量的 1.4 倍线上整体流量的异常波动,势必引发行业间的骨牌效应。

1月20日后,疫情期间流量较同期增长 1.4 倍

影响二:扰乱行业间流量平衡

各行业线上流量先后出现剧烈变化,其中三成的行业,诸如:生鲜电商、在线医疗等相继出现爆发式增长。剩下七成流量开始下滑,诸如:出行、旅游、餐饮等。个别行业降幅甚至超过同期 80%,诸如:餐饮、电影院线。

行业间流量平衡被打乱,流量快速转移至线上

受流量无预期的暴增与骤降影响,众多企业原有计划被打乱,而这种大幅改变都将徒增企业成本。

为应对数亿的全国在校学生,钉钉加紧扩容

影响三:产业供应链循环被打破

疫情对产业供应链的影响是结构性的,区域性的封锁造成的阻隔,产业供应链的所有循环被打破从而带来的是结构性的影响。

以旅游业为例,根据携程《2020春节“中国人旅游过年”趋势预测报告》显示,春节长假将有 4.5 亿人次出游,并将产生 5,139 亿元的市场消费。而受疫情影响,包括:酒店餐饮、大型景区、航空客运等相关产业全部停摆,超 6,000 万从业人员受影响,直接和间接损失近千亿。

澎湃新闻报道,受疫情影响,民航损失近 200亿

影响四:打破扰乱网络公共秩序与安全

为了防控,从政府机构到地方社区,从企业到学校都在搜集每一个家庭的详尽信息,人手一个健康码,每人一份健康表。这些详尽的个人三要素信息如果不能妥善管理,一旦产生泄露,互联网稳定秩序必将被打乱,从而造成更为严重的影响。第一现场报道,****遭泄露

疫情管控搜集个人隐私信息信息泄露问题逐渐凸显

爬虫充斥着互联网错误的信息影响着整体舆论导向

黑产蓄势待发

当企业还在疲于应对流量改变造成的冲击时,潜伏在疫情流量之中的黑产已完成攻击部署……

短期攻击:

流量激增行业,黑产垄断稀缺资源,快速变现,牟取暴利。

短期攻击的目标,黑产将锁定在疫情线上流量激增的行业,例如:医疗、电商、线上教育等。面对激增的行业流量,企业资源投入同比增长200%以上。潜入疫情流量之中的黑产团伙,快速获取资源,下游变现,疫情期间,黑产活跃度也是平日的数倍。

电商平台口罩遭遇黑产攻击,最快1秒抢光黑灰产产通过自动程序占用资产并通过网络渠道变现

爬虫热点侦查 · 口罩爬虫演变

中期攻击:

囤积账号,暗中潜伏,乘其不备,猛然突袭

中期攻击的目标,黑产将锁定在疫情线上流量停滞的行业,例如:出行、OTA、票务等。这些行业因为当前流量停滞,更加聚焦于业务本身而疏忽安全。近期黑产囤积了大量“正常用户”的账号,这类账号占当前新增账号比例近 30%。一旦流量出现回升,黑产将利用这些潜伏账号一次性对企业展开攻击,这对刚恢复生产的企业而言,将是措手不及的二次打击。

这种潜伏方式,黑产已经屡试不爽,每年双十一或618以及世界杯前都会提前准备,流量高爆发时展开一波攻击,获取暴利。

长期攻击:

釜底抽薪,企业服务将面临黑产威胁

受疫情影响,企业服务行业线下复工时间平均延长 21 天,大部分企业被迫选择远程办公。然而藏匿在互联网幕后的黑产非但不受影响,反而变得异常活跃。

据观察,疫情期间,大部分攻击工具都做了至少三个版本更新迭代。借疫情期间养精蓄锐的黑产,正在谋划更为猛烈的攻击,这将对行业线上服务的稳定性、可用性与安全性势造成极大威胁。

某黑产工具近期版本迭代情况

随着疫情逐渐被控制,生活生产秩序也将逐步恢复。但对于整个线上而言,疫情的影响仍将持续。企业逐渐复工,黑产摩拳擦掌,一场线上资产的博弈即将到来。病毒和黑产的可怕之处不仅在于人们对其的未知,更在于人们的疏忽大意。如同疫情防控一样,机会稍纵即逝,如不提前做好防控部署,黑产势力一旦蔓延,企业将受到二次冲击。

疫情终将过去,静待春暖花开。

受篇幅所限,针对流量迁移、流量滞后、产业链影响以及黑产的短中长期攻击的详尽分析并未全部展现。大家有想了解具体哪个部分的内容,可在评论区留言。我们将在后续,优先推出方向的详尽报告,敬请期待!

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

2019 年已经过去,在过去的一年,经济下行对各个行业带来地冲击有目共睹,以数字货币带动的整个区块链行业昙花一现之后几乎销声匿迹;资本从狂热到保守,前几年频繁曝光的投融资消息,2019 寥寥无几;曾经大肆铺张烧钱的运营拉新活动也屈指可数。

寒冬已至,即使如履薄冰也需要稳步前行,不论是大的经济趋势还是国内政策导向,都需要我们更加注重设计合理的业务流程、严格把控内容安全的红线、减少不必要的运营支出。

我们回顾 2019 全年的业务安全问题,从多个角度剖析了业务安全所面临的挑战,并给出了建议的处理方式。

这篇报告主要聚焦于 OSI 第七层的业务层,极验交互安全实验室通过 2019 年全年对国内近数十万个域名、数千亿次的网络请求分析,尽可能地还原 2019 年国内整个互联网的业务安全状况。

前言

世界经济论坛发布的《2019 年全球风险报告》从影响力和发生概率的视角呈现了 2019 全球风险格局,其中网络攻击、数据欺诈或窃取都位于前列。互联网发展到今天,每一次地技术革命都给人类带来极大的便捷。社会资产、交易行为和人们的时间不断地从线下转移到线上,随之而来的灰黑产业链也越来越专业化、产业化,利用业务漏洞或者网络攻击从中渔利,业务安全已经成为当前全球化的问题。

数据来源《2019年全球风险报告》

机器流量的定义

Good Bot :通过脚本自动执行简单且重复的任务,提升工作效率。

搜索引擎爬虫

自动交易程序

网站监控软件

自动订阅机器人

自动聊天机器人

Bad Bot:为您的网站带来虚假流量,其恶意可能涉及:爬取有价值的数据(文章内容、商品价格、评论信息等)、发布垃圾评论和网络钓鱼链接,影响网络分析和搜索引擎优化,甚至导致DDoS攻击。

整体趋势

随着业务安全逐渐被企业重视,与2018年相比,2019年恶意机器流量占比降低了2.1个百分点。这也是自2016年以来,恶意机器流量占比出现首次下降。

Bad Bot 行业分布

解读:以票务和政府公共服务为例

票务领域的恶意流量流向包括飞机票、演唱会门票、电影票、火车票等多个行业,但是近3/4 都在火车票领域,而在火车票中几乎所有的流量都指向了某著名火车票售卖网站或者 App,节假日出行高峰期,火车票一票难求问题依然严峻,不平等的供求关系滋生出得巨大利益空间使恶意机器流量不断增加。在恶意机器流量占比不断攀升的背景下,机器与人本身效率的不平等性被进一步拉大,直接导致目前抢票软件肆虐,普通用户需要支付更高额的成本来获取车票。

近年来越来越多的公司,利用国家公共平台的信息作为其商业化产品的重要数据来源(大数据征信产品,企业信息查询,车辆信息查询产品等),辅助以良好地交互体验、产品包装,实现其商业化的目的。这样大规模的数据来源需要大量的机器爬虫来提升入库的效率,而像失信人员名单查询系统、中国裁判文书网、失信被执行人查询、中国及多国专利审查信息查询、商标查询、车辆违章信息查询系统、国家企业信用信息公示系统、全国组织机构代码管理中心等网站则成为机器流量重灾区。

Bad Bot 场景分布

解读:

查询场景占 29.4% 的恶意机器流量正面说明了目前整个互联网爬虫肆虐的现状,包括国家公共政务平台、医院挂号系统、火车票务网站、演唱会票务网站、机票/酒店价格查询等众多行业都饱受恶意爬虫地危害,给企业带来巨大不必要的带宽成本。

登录、注册场景都是重中之重的账户安全环节,也是所有黑产攻击的入口。随着近几年整个行业对于账户安全地认知不断提高,大多数企业都在入口做了一定程度安全措施,近两年占比相对稳中有降。

下单场景则主要集中于电商行业,随着电商行业的 GMV 不断刷新,以抢购、刷单为目的的黑色产业链也逐渐走向成熟,在每年“双十一”、“618”、“年货节”等大促时间段内,下单场景的恶意流量都会出现激增。

IP 分布 – 区域分布

解读:

机器流量当前主要分布在东亚、北美、欧洲等区域。其中,我国以 62.98% 的占比,位居全球之首。而韩国、中国台湾则超越美国,位列前三。

IP 分布 – 省份分布

解读:

机器流量当前在国内地分布,并未出现在传统的北上广深等互联网发展较快的区域。吉林、江西、福建、山东等地区甚至超越上海,进入前十。而吉林省,更是超越北京,占据全国机器流量分布榜单次席。

团伙

何为团伙

黑产团伙,作为恶意机器流量背后的势力,是全球业务安全事件背后的始作俑者。在业务安全的范畴内,黑产团伙特指通过复用相同的资源(IP 池、UA 池、手机卡、身份信息等)或使用相似地攻击手法在时间维度呈现一定的聚集性对业务方有目的地攻击行为发起方。

国内团伙现状

团伙风险分布

极验交互安全实验室对国内黑产主要工具进行长期持续地监控,对主流黑产工具更新迭代持续跟踪,在电商业务高发的双十一、双十二等时间段,十天的时间内就监测到 7 个版本的更新,一个月更新了 25 个版本,除了修复简单 bug 之外,更多的是攻击策略地不断变化更新,从侧面体现的就是黑产与业务方安全团队对抗的不断升级。

极验交互安全实验室通过对 2019 年全年Top20 黑产工具跟踪分析,并与涵盖了电商、航空、区块链等多个行业的数十家一线互联网公司风控部门交流,2019 安全行业单个业务规则平均有效寿命为 92 小时,1 月、10 月、11 月、12 月几个业务高发期寿命低于 75 小时。

2019年典型业务安全场景

业务安全必须立足于业务,而场景则是业务最直接的体现。极验交互安全实验室汇总了2019年全年数十家企业的业务问题,并针对部分典型场景展开分析。

裂变师徒

裂变师徒类业务模式也被业内称作“趣头条”模式。

通过微信、QQ、短信、面对面扫码、邀请码等媒介直接分享邀请 H5 页面或者带链接的文本,达到老用户拉新用户的拉新目的,每邀请一位新用户,老用户获得一定金额的现金奖励。

目前常见的业务模式里面“一度师徒关系”的模式最多,也就是邀请奖励只存在于一级师徒之间。此模式的作案变现手法为:黑产通过一个或者多个“师傅账号”的邀请链接注册大量“徒弟账号”,利用业务规则从“师傅端”获取大量现金奖励,从而变现。

解决方案:

在整个环节里面最容易被识别的就是徒弟端风险账户,在准确识别“徒弟账户”后可以通过邀请码找到提现的出口“师傅账户”和其他也使用此邀请码的其他“徒弟账户”。同时根据已知风险账户复用资源和作案手法的聚类找到其他团伙,整个解决方案中邀请码是核心串联点。

简历爬虫

ATS 简历爬虫问题,ATS 全称叫 Applicant Tracking System,就是求职者跟踪系统,帮助各个公司 HR 统一管理各个招聘平台的账户,提供整个候选人流程和简历智能处理筛选等其他服务,其中有一点就是需要用户在 ATS 平台上统一授权登录各大招聘网站的账户,存在 ATS 爬取留存用户简历问题。

房东房客刷量问题

平台内部内容刷量问题

总结

2019 年是一个令安全圈欣慰的一年,我们看到越来越多的企业开始重视业务安全地建设与完善。更让人振奋的是,大家逐渐意识到业务安全地建设,不再只是安全部门的工作,而是需要从安全、产品与运营三个方向共同协同发力。

随着 5G、人工智能等技术的快速发展,企业面临的安全形势愈加严峻。黑产团伙已经开始通过给模型输入恶意样本数据,训练出强大的“机器人”。黑产团伙不再是混迹于暗网黑市地小打小闹,拥有雄厚财力,创新技术加持的黑产团伙,其市场规模、技术创新以及破坏性,已到达互联网有史以来的巅峰。

未来的业务安全,一定是交互场景与安全的紧密结合。随着人工智能技术在安全领域地应用与创新,人类与恶意机器流量地博弈将更加得复杂与多变。未来企业网络安全攻防,也将更具挑战。

添加小助手@Eva 微信(geetest1024),获取《极验2019交互安全行业研究报告》

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM