互联网平台黑产解密(下)

简介: 互联网平台黑产解密(下)

通过上一篇文章的介绍,我们对黑产及其产业链有了一定认识。黑产范围广大,产业链涉及诸多利益方,这些角色在欺诈链条中是如何配合运作的呢?


孙子云,知彼知己,百战不殆。只有摸清黑产的运作才能制订正确的风控方案。实际上,在不同的领域中,实施欺诈的差异很大,很难统一而论,但从采用的伎俩上看并无明显区别,不论是电商和O2O 领域的刷单,还是广告领域的欺诈,作案的手法都是一致的,因此这给我们研究黑产运作和欺诈相关的风控减少了不少成本。


本文将从 O2O 外卖行业中的欺诈切入,阐述黑产链条的运作过程。


1、黑产运作


1●外卖领域的黑产运作

1) 外卖业务流程

黑产难以防范的原因有很多,其中一个是它伴随正常业务流程,产生于其中的细枝末节,也正因如此,实施风险控制往往需要非常熟悉业务,一则要了解业务中的风险所在,二则避免风控措施误伤正常流程。这是做好风控工作的首要前提。


大家对外卖的业务流程应该不会陌生,但实际上据调查发现,绝大部分人熟悉的只是在线上点一份外卖的流程,除此之外并不了解太多。


01 用户熟悉的外卖业务流程

一般来讲,打开手机上的外卖 App,会看到一个附近的商家列表,用户选择自己喜欢的商家,进而选择适合自己口味的菜品加入购物车,确认下单,下单前会填写收餐人姓名、联系电话以及收餐地址,而后在线支付即可完成下单操作,如图13 所示。这个过程与在电商平台上购物并无明显区别,是任何一个有过点外卖或者网上购物经验的人都很熟悉的流程。

image.png

图13 用户视角的外卖业务简易流程


商家收到用户的下单请求后,根据实际情况确认订单,然后开始备餐(准备发货),外卖平台的后台调度系统会把订单任务分配给某个骑士(物流),骑士赶至商家处取到餐,最后送到收餐地址处的收餐人手中(配送)。虽然与电商在物流调度环节稍有不同,但不影响整体过程的一致性。


02 用户视野之外的角色—BD

到这里,都是普通用户比较熟悉的流程,但这个流程已经涉及了三个角色:用户、商家、骑士。习惯成自然后往往容易忽略两点,一个是平台中的商家是怎么入驻到平台中来的,另一个是下单的用户是怎么来到平台的。这就引出了另外一个角色,我们称之为 BD(Business Developer,业务拓展人员,下文会把商务、销售、业务等人员统称BD)。BD 的职责主要包括:签约商家入驻到平台、市场营销、拉新(此处更多指线下拉新,线上拉新一般由运营人员负责),具体介绍如下。


商家入驻平台是需要通过一套信息系统录入很多信息的,包括商家的门脸照、后厨照、营业执照、卫生许可证、身份证、结算使用的银行账号、商家地址、名称、联系方式、线上营业时间等几十项信息,考虑到大部分商家不擅于使用信息系统,加之很多信息填写不规范等情况,为了方便快捷,信息录入一般由 BD 协助完成。


■  市场营销是指在业务发展过程中,为了提高市场占有率,针对商家和用户开展的一系列营销活动,比如经常看到的满减活动。BD 有权限进行活动的配置。

■  拉新是指为了吸引源源不断的新用户,BD 开展的地面推广活动。例如,在路边、校园、商场或者商家门口,撑起易拉宝(海报架),拉几张桌子,通过送小礼物的方式吸引用户下载 App 然后下单。


我们注意到,因为骑士的工作时间往往集中在午高峰和晚高峰,其余时间段相对空闲,因此曾经出现过骑士拉新的做法,具体执行形式不限,这倒是一个不错的思路,只可惜由于执行原因,收益甚微且风险较多。


针对线上拉新,除了运营人员的策划和推广,还有付费形式的推广合作,即买量,比如资讯类 App 中的广告投放,在使用这类 App 时,信息流中会掺有一定数量的广告,点击广告后会让用户下载另一个 App。


从以上流程中不难看出,外卖的线上业务虽然简单,但背后的运作过程还是很复杂的,涉及了用户、商家、骑士、BD 等角色,这也正是 O2O 的特点。


2)暗涌

用户在平台上向商家下单,这一正常行为在黑产这里变得很有意思。以“满 50 元减20 元”的优惠活动为例,当用户购物车中的菜品满 50 元时,不考虑配送费和打包费的情况下,用户只需要支付 30 元。而此时商家收到的是多少呢?实际上,商家收到的依然是 50 元,给用户减免的 20 元则由平台补贴给了商家(即平台烧钱)。此处便是黑产的焦点所在,我们来看这个过程,如下。


如果下单用户与商家串通,那么商家不需要备餐,并返还用户支付的 30 元,同时再额外给用户一笔 5 元的“辛苦费”,那么商家和用户分别获得 15 元和 5 元的“好处”,可谓空手套白狼(假设不考虑平台抽佣)。前面提到了订单会被后台调度系统分配给骑士,骑士到商家处取餐,商家可以告知骑士餐已被用户自行取走,骑士或许觉得略微惊讶,但自己省了一趟配送,自然也很乐意接受商家的说辞。此情况遇见多了,骑士很快就会发现商家的秘密,有人说骑士可以选择举报,没错,但这与举报车辆违法行驶类似。于是骑士与商家达成一致,收到此类订单,商家不用出餐,骑士也无须再白跑一趟来取餐,从此骑士和商家双双过上了幸福的生活。


再来讲讲 BD 可能做的动作。


BD 有权限进行活动配置,当然可以与商家串通,倾斜补贴力度。“满 50 元减 20 元”调整为“满 50 元减 30 元”,与商家各自分得 5 元好处,何乐而不为?


BD 签约商家时协助完成信息录入工作,这里也成了舞弊的点。除了完成自身 KPI需要而造假,BD 自然也可以算清楚用户与商家合谋的收益,这样只需拥有几个“商户”,就可以同时兼收多重收益了。


地面拉新可以说是 BD 负责的事情中最有油水的。针对拉新的考核,一般有新用户量和复购率两项指标,快速发展期甚至只有新用户量一项指标,这很容易出现作弊。对于新用户的“新”如何定义,这也是很关键的。仅以一维账号(如手机号)作为判定标准的情况非常容易被刷,此时 BD 与刷单中介合作,轻而易举完成拉新任务。拉新中另一类风险便是低效拉新,BD 往往通过廉价小礼品吸引老年人下载 App 下单(实际是拿老年人手机代操作),因为这类群体本身不会操作也非目标用户,造成极低的复购率,导致资金低效使用。


3) 小结

从上述的暗黑流程中,我们可以得出以下几点结论。


■ 职业刷单者以用户身份介入,其他角色虽产生于业务内部,却是黑产的重要发动机。

■  用户和商家可以串通刷单,即商家与职业刷手合谋,当然也存在商家与散户薅羊毛的串通,但实际中规模和危害远小于前者。这种模式也是电商领域的刷单主流。

■ 骑士和商家可以串通刷单。

■ BD 可以和商家、职业刷单者串通。


实际上,还有更多,如商家自身也可以作为用户来刷单,即商家自导自演;其实任何其他角色自身都可以是刷单用户;更进一步,BD 可以同时兼任 BD、商家、骑士多重身份,自导自演一场关于虚假商户下的虚假订单如何虚假配送的大戏,订单的所有信息不过是按照正常流程走了一遍,但实际上并没有线下(offline)的环节。我们在现实业务中确实发现不少 BD 利用系统间信息不打通的漏洞,身兼数职牟取利益。


在外卖业务中,除了众所周知的用户薅羊毛(仅以用户身份进行的作弊和欺诈,不依赖其他角色的配合),更多的是上述业务内部角色(商家、骑手、BD)与外部职业刷单者的串通联合。实际上这种现象不仅出现在外卖中,其他行业里外勾结式的黑产模式也不在少数。


2●出行领域的黑产运作

1) 正常业务流程

出行行业中涉及的角色相对较少,主要是乘客和司机,可以将他们类比为用户和商家,即 C 端和 B 端。如图14 所示,乘客打开 App,输入自己的出发地(一般是定位自动识别)和目的地,发起打车请求,司机在附近范围内抢单,抢单成功后到乘客出发地接上乘客,然后驶往目的地;到达后由司机结束行程,用户发起支付流程,一个订单到此便完成了。司机的信息注册自行完成即可,不需要 BD 的参与。因此,相较于外卖场景,业务流程上不涉及过多线下环节。

image.png


2) 刷单运作过程

既然一个订单同样涉及 B 和 C 两端,刷单也必然存在 B 和 C 的串通联合。这其中存在两种情况:

■  通过增加发单乘客来起量,这与一般的薅羊毛手法并无不同,通过注册大量账号,结合接码平台和刷机软件即可做到。

■  大量伪造虚假司机,通过非法购买他人信息批量注册司机。


两种情况均需要作弊软件修改 GPS 位置信息,模拟行程轨迹。


除此之外,还有类似于外卖中的商家与用户同身份的手法薅羊毛。2015 年 4 月和 8月,滴滴出行分别向北京、上海公安机关报案:部分账户异常,存在一人同时担当司机、乘客两重身份,出现多单司机与乘客账户重复、虚构打车交易的现象。


3●金融领域的黑产运作

与外卖和出行领域相比,互联网金融领域的欺诈运作稍有不同,金融领域的欺诈(金融产品众多,这里主要指借贷相关业务)发生在借贷者与平台之间,缺少了 B 端这一环,因此,黑产主要的工作在于如何获取可以用来借贷的身份信息,而不像上述两类场景中存在 B 端与 C 端勾结串通,但是黑产为了使获取的身份能够成功借贷,在平台上运作留下的表象往往具有相似性。主要的黑产玩法如下。

image.png


01 多头借贷

即向多个平台借贷。起源于拆东墙补西墙的做法,而黑产可以用来投机,往往同期多头借贷。提供借贷的平台多且信息不互通时,就给黑产提供了便利。相关调查发现,小额现金贷人群中,有多头借贷行为的用户占比超过 50%。由于网贷信息不记入央行的征信系统,网贷平台之间信息共享程度又较低,所以导致了多头借贷的爆发。多头借贷本身并非不可取,关键取决于最终是否还款,不还款才是黑产的特点,因此如果对多头借贷行为一棒子打死,会误伤有真正需求的用户,这给风控提出了挑战。


02 中介“助”贷

主要有两类,一是中介负责伪造信用记录等信息,帮助那些资质不过关的用户申请贷款,挣取提成。另一类则是张罗人,本质上是借用他人的信用,往往是在农村地区,付给参与的农民一笔好处费,让他们去申请贷款,实际借贷最后落入中介手中,俗称刷村。每人申请额度一般不大,靠数量累积,多数平台会放弃对这种情况的催收。


03 职业薅羊毛

每个行业中总有一批黑产用户始终盯着每个平台,一旦发现口子,通过他们的大本营(一般是论坛、QQ 群、微信群等)快速传播,薅一笔便消失。


04 员工作案

企业员工通过获取自己公司内的大量员工信息卖给外部黑产团伙,黑产团伙再用这些信息骗贷。


05 技术手段

包括用注入、撞库结合网络收集拼凑的方式获取用户信息。金融领域的产品形态众多,涉及的黑产欺诈手法也远不止这些,对黑产而言,只要能拿到可用的信息,任何方法都值得尝试,毕竟金融行业中黑到一笔钱的收益,远高于前面介绍的外卖和出行行业。


4●黑产的特点

了解了黑产的产业链和运作过程,不难发现黑产就像一张极其庞大的网,又像一个极其庞大的商业帝国。它在人员构成上具有等级和分散的特点,在运营上具有专业化、职业化、利益链复杂、团伙化和伪装性特点。

image.png


1. 专业化

黑卡、猫池设备、自动化管理软件、接码平台、群控系统、代理、各色各样的作弊软件、完整易操作的作案教程,以及对各种行业漏洞细节的把握,都体现了黑色产业的专业性。

2. 职业化

黑产分工明确,组织有序,不少已形成公司规模,明目张胆招聘各种岗位,既有售前销售人员拉活儿,又有后台研发人员研发自动化工具。据称,O2O 领域曾出现代理商下某 BD 成立刷单公司的惊人之举,从事刷量、下载、安装激活等的工作室数不胜数。


3. 利益链复杂

黑产运转的各个环节涉及不同利益角色,上下游之间存在利益关系;既有流程上的配合,又有内外串通共同牟利之举。前面案例中多次存在一端角色身兼多职的情况,这其实是黑产自身缩短利益链条的做法。


4. 团伙化

黑产发展为“以人为本”的操作模式后,极易形成团伙作案。加之风险口子在黑产圈快速传播的效应,人工黑产模式主动或被动地形成了团伙化。这对于风控来说既是好事又是坏事:好处是便于识别发现;坏处是团伙一旦得逞,规模较大、损失较大。


5. 伪装性

一方面一线的刷手可能是正常的人,比如人肉刷单模式、诱导行为;另一方面程序化模拟逐渐逼真,导致异常行为越来越接近于正常用户行为。这对风控的发现和识别工作带来了很大挑战,既不能误伤正常用户,又要尽最大范围召回异常行为和用户。


02 黑产技术演变

本节并不讲述黑产技术的发展演变过程,而是介绍黑产找准目标后,在一款产品上不断与平台的风控政策抗衡的过程。


黑产的手段变化一方面取决于平台的风控力度,另一方面受限于成本与收益的考量。实际上,真正在一线执行欺诈的黑产群体—职业刷手仅是这个庞大组织中最不具备技术能力的一方。得益于互联网,为这些职业大军提供后盾的角色业务精细且五花八门,有专门负责注册账号、提供 IP 资源的,有研发自动发评论工具的,有提供手机号和短信验证的,有研发手机窜改软件的,有研发定位修改器的,等等。这些对于职业刷手来说都是武器装备。


1●风险控制的发展阶段

一般来讲,一个新行业的产品面世后,在风险控制方面会经历如下几个阶段。

image.png


1. 无风险控制阶段

这个阶段的产品设计基本不考虑风险,仅仅是在逻辑上做一些简单限制,而这个限制也未必是从风险角度出发的。例如,外卖产品刚上线时允许一个用户每天享受两单优惠,而这个两单的限制更多是从用户用餐习惯和预算角度考虑的。ofo 红包车刚上线时允许一个用户每天随意骑,只要出现在红包区域即可。这个阶段主要是业务刚起步,需要打市场,研发团队中往往也没有风控岗位。


2. 简单风险控制阶段

在上一阶段运转一段时间后,很容易被黑产盯上,往往会曝出被刷单的新闻,或者数据上有明显的异常。此时一般立即采取管控措施,主要以不成系统化的规则为主,并启动以运营审核为辅的控制手段。


3. 稳定的风险控制阶段

损失继续加剧之下,公司开始搭建风控系统,系统化解决黑产问题。该阶段逐渐完善规则和模型,以及人工审核机制,稳定后达到一个可控的平衡阶段。


4. 冷宫与极乐阶段

这是个分裂的阶段,这个阶段的风控能力已经能够快速应对大部分突发事件,有相对之前较为完整的善后流程。但风控的意识在企业内往往也随之被弱化。只要利益诱惑依然存在,黑产技术就会不断演变,但此时风控可能停滞不前,止于修修补补的重复性工作和人工审核而不得解脱,姑且称之为冷宫阶段。如能始终保持魔道相争不松懈,逐步提高黑产的作案成本、降低防御的人工成本,倒也可以不断进步,通往另一极,极乐阶段。


与这几个阶段对应,技术对抗层面同样呈现出阶段性,从简单规则和黑名单库,到规则系统,到有监督的机器学习,再到无监督学习、知识图谱和深度学习技术,大数据风控也需要一个慢慢建设的过程。


2●黑产的发展阶段


在不了解它之前,黑产就像一个为了争抢宝座的武林高手,对手用几分功力抵抗,它就用几分功力(如图所示)打击。

image.png


1. 简单技术刷单阶段

在无风控的阶段,黑产只需突破简单的限制即可大量获利。还是以前面提到的例子来说,如何才能突破每人每日两单的限制呢?这里的“每人”一般是指一个账号,而刷单者通过账号注册机便可获得不限量的账号。对于账号是手机号的,如不涉及接收短信验证码,只需伪造,否则通过接码平台便可获取。红包车的限制仅仅是红包车区域,通过 GPS 定位修改软件即可把定位移至任何区域。这个阶段对于黑产来说,每单成本最多几毛钱。


2. 技术刷单阶段

这个阶段因为风控的阻挡,黑产只得祭出多种技术手段。例如,如果每人的口径升级为一个账号 + 一个设备,那么刷手就得多使用窜改器,才能把一部手机玩出花。如果继续升级为一个账号 + 一个设备 + 一个支付账号,那么刷手需要购买更多支付账号才能多刷。为了解决这些组合中的维度短板问题,刷手在这个阶段付出的成本会比较高,一般需要准备多部手机,平摊到每单上,成本大概上升至几块钱。对于依赖盗用信息的欺诈来说,撞库也是常用的技术手段。


3. 人工阶段

随着风控力度的加强,当技术手段的成本升高,以至于收益空间较小时,或者技术手段很容易就被侦破时,黑产就会采用人工模式。当然黑产迭代升级的大前提是,利益空间再小也要远大过付出的成本。通过社交手段如 QQ 群、微信群等组织团伙刷单,但参与刷单的人往往来自各地,有些产品对于地理位置有限制,因此还需要配合一定的刷单教程。由于参与刷单的个体都是正常自然人,因此防范起来难度就会加大。以外卖为例,通常会有一个群主坐镇指挥,每天刷哪些商家、哪些人参与刷、什么时间点执行任务、如何选择定位地址、选哪个菜品下单、如何填写收餐地址等细节都布置清楚,刷手完成一单后在群里截图反馈结果,然后结算。人工模式已经成为目前黑产的主流,成本低廉,不易被发现。现金贷以及消费分期业务中的欺诈基本都以人工模式为主。无论是多头借贷,还是中介主导的刷村,均是人海战术。对于目前国内的众多风控系统来说,对人工模式的识别很难取得很好的效果。这就需要从更多角度变相管控,从这个角度来说,风控解决方案不能只以单纯的拦截为目的,这在后文还会继续探讨。


总结

总结一下,无论处于以上哪个阶段,黑产都不会只以一种手段生存,凡是我们了解到的,都是过去的,他们无时无刻不在研究新的方法,目前甚至已经出现了使用人工智能技术刷好评的案例。那么把这些手段写出来还有什么意义呢?一方面作案手法虽然在表象上不同,但在数据层面有相似性;另一方面即便是被用过的手法,他们也在不停地尝试再用,不信你可以故意开放一个“口子”,保证立马就会被围攻,这些方法用在新的产品中又可以饱餐一顿。正因如此,黑产无严格的阶段性,而是混搭并见利驱使,有阶段的只是风控能力罢了。


目录
相关文章
|
安全 算法 数据可视化
互联网平台黑产解密(上)
互联网平台黑产解密(上)
668 0
互联网平台黑产解密(上)
|
云安全 监控 安全
产业共建,精准扶持 | 阿里云携手TapTap成立反网络黑灰产联盟 将提供免费防攻击服务
2021年8月6日,一款打磨3年的武侠格斗游戏《弈剑行》上线当日即遭遇DDoS攻击而停服。对服务连续性、网络延迟等具有高要求的游戏行业一直都是网络攻击的重灾区,而一些中小开发者由于安全建设不足,更是成为网络攻击的重度受害者。
257 0
产业共建,精准扶持 | 阿里云携手TapTap成立反网络黑灰产联盟 将提供免费防攻击服务
|
云安全 监控 安全
产业共建,精准扶持 | 阿里云携手TapTap共建反网络黑灰产联盟 将提供免费防攻击服务
10月20日,在2021云栖大会·阿里云互联网行业峰会上,阿里云联合易玩(上海)网络科技有限公司(以下简称“TapTap”)举行“反网络黑灰产联盟”合作发布仪式 。
274 0
产业共建,精准扶持 | 阿里云携手TapTap共建反网络黑灰产联盟 将提供免费防攻击服务
新鲜出炉!2016 中国互联网仿冒态势分析报告
本报告由阿里巴巴安全部和中国信息通信研究院联合出品。
3741 0
|
安全 网络安全 数据安全/隐私保护
|
安全 网络安全 Memcache
全国首例!阿里安全技术协助警方打掉最新型DDoS网络攻击平台
近日,阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。
2777 0
|
区块链
互联网企业蜂拥进入区块链,入局之前该思考什么?
对于许多盲目入局区块链热炒科技概念的企业来说,可能导致破产等悲惨的结果。
1265 0
|
安全
政府安全资讯精选 2018年第二期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或称为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
1952 0