互联网平台黑产解密(下)

简介: 互联网平台黑产解密(下)

通过上一篇文章的介绍,我们对黑产及其产业链有了一定认识。黑产范围广大,产业链涉及诸多利益方,这些角色在欺诈链条中是如何配合运作的呢?


孙子云,知彼知己,百战不殆。只有摸清黑产的运作才能制订正确的风控方案。实际上,在不同的领域中,实施欺诈的差异很大,很难统一而论,但从采用的伎俩上看并无明显区别,不论是电商和O2O 领域的刷单,还是广告领域的欺诈,作案的手法都是一致的,因此这给我们研究黑产运作和欺诈相关的风控减少了不少成本。


本文将从 O2O 外卖行业中的欺诈切入,阐述黑产链条的运作过程。


1、黑产运作


1●外卖领域的黑产运作

1) 外卖业务流程

黑产难以防范的原因有很多,其中一个是它伴随正常业务流程,产生于其中的细枝末节,也正因如此,实施风险控制往往需要非常熟悉业务,一则要了解业务中的风险所在,二则避免风控措施误伤正常流程。这是做好风控工作的首要前提。


大家对外卖的业务流程应该不会陌生,但实际上据调查发现,绝大部分人熟悉的只是在线上点一份外卖的流程,除此之外并不了解太多。


01 用户熟悉的外卖业务流程

一般来讲,打开手机上的外卖 App,会看到一个附近的商家列表,用户选择自己喜欢的商家,进而选择适合自己口味的菜品加入购物车,确认下单,下单前会填写收餐人姓名、联系电话以及收餐地址,而后在线支付即可完成下单操作,如图13 所示。这个过程与在电商平台上购物并无明显区别,是任何一个有过点外卖或者网上购物经验的人都很熟悉的流程。

image.png

图13 用户视角的外卖业务简易流程


商家收到用户的下单请求后,根据实际情况确认订单,然后开始备餐(准备发货),外卖平台的后台调度系统会把订单任务分配给某个骑士(物流),骑士赶至商家处取到餐,最后送到收餐地址处的收餐人手中(配送)。虽然与电商在物流调度环节稍有不同,但不影响整体过程的一致性。


02 用户视野之外的角色—BD

到这里,都是普通用户比较熟悉的流程,但这个流程已经涉及了三个角色:用户、商家、骑士。习惯成自然后往往容易忽略两点,一个是平台中的商家是怎么入驻到平台中来的,另一个是下单的用户是怎么来到平台的。这就引出了另外一个角色,我们称之为 BD(Business Developer,业务拓展人员,下文会把商务、销售、业务等人员统称BD)。BD 的职责主要包括:签约商家入驻到平台、市场营销、拉新(此处更多指线下拉新,线上拉新一般由运营人员负责),具体介绍如下。


商家入驻平台是需要通过一套信息系统录入很多信息的,包括商家的门脸照、后厨照、营业执照、卫生许可证、身份证、结算使用的银行账号、商家地址、名称、联系方式、线上营业时间等几十项信息,考虑到大部分商家不擅于使用信息系统,加之很多信息填写不规范等情况,为了方便快捷,信息录入一般由 BD 协助完成。


■  市场营销是指在业务发展过程中,为了提高市场占有率,针对商家和用户开展的一系列营销活动,比如经常看到的满减活动。BD 有权限进行活动的配置。

■  拉新是指为了吸引源源不断的新用户,BD 开展的地面推广活动。例如,在路边、校园、商场或者商家门口,撑起易拉宝(海报架),拉几张桌子,通过送小礼物的方式吸引用户下载 App 然后下单。


我们注意到,因为骑士的工作时间往往集中在午高峰和晚高峰,其余时间段相对空闲,因此曾经出现过骑士拉新的做法,具体执行形式不限,这倒是一个不错的思路,只可惜由于执行原因,收益甚微且风险较多。


针对线上拉新,除了运营人员的策划和推广,还有付费形式的推广合作,即买量,比如资讯类 App 中的广告投放,在使用这类 App 时,信息流中会掺有一定数量的广告,点击广告后会让用户下载另一个 App。


从以上流程中不难看出,外卖的线上业务虽然简单,但背后的运作过程还是很复杂的,涉及了用户、商家、骑士、BD 等角色,这也正是 O2O 的特点。


2)暗涌

用户在平台上向商家下单,这一正常行为在黑产这里变得很有意思。以“满 50 元减20 元”的优惠活动为例,当用户购物车中的菜品满 50 元时,不考虑配送费和打包费的情况下,用户只需要支付 30 元。而此时商家收到的是多少呢?实际上,商家收到的依然是 50 元,给用户减免的 20 元则由平台补贴给了商家(即平台烧钱)。此处便是黑产的焦点所在,我们来看这个过程,如下。


如果下单用户与商家串通,那么商家不需要备餐,并返还用户支付的 30 元,同时再额外给用户一笔 5 元的“辛苦费”,那么商家和用户分别获得 15 元和 5 元的“好处”,可谓空手套白狼(假设不考虑平台抽佣)。前面提到了订单会被后台调度系统分配给骑士,骑士到商家处取餐,商家可以告知骑士餐已被用户自行取走,骑士或许觉得略微惊讶,但自己省了一趟配送,自然也很乐意接受商家的说辞。此情况遇见多了,骑士很快就会发现商家的秘密,有人说骑士可以选择举报,没错,但这与举报车辆违法行驶类似。于是骑士与商家达成一致,收到此类订单,商家不用出餐,骑士也无须再白跑一趟来取餐,从此骑士和商家双双过上了幸福的生活。


再来讲讲 BD 可能做的动作。


BD 有权限进行活动配置,当然可以与商家串通,倾斜补贴力度。“满 50 元减 20 元”调整为“满 50 元减 30 元”,与商家各自分得 5 元好处,何乐而不为?


BD 签约商家时协助完成信息录入工作,这里也成了舞弊的点。除了完成自身 KPI需要而造假,BD 自然也可以算清楚用户与商家合谋的收益,这样只需拥有几个“商户”,就可以同时兼收多重收益了。


地面拉新可以说是 BD 负责的事情中最有油水的。针对拉新的考核,一般有新用户量和复购率两项指标,快速发展期甚至只有新用户量一项指标,这很容易出现作弊。对于新用户的“新”如何定义,这也是很关键的。仅以一维账号(如手机号)作为判定标准的情况非常容易被刷,此时 BD 与刷单中介合作,轻而易举完成拉新任务。拉新中另一类风险便是低效拉新,BD 往往通过廉价小礼品吸引老年人下载 App 下单(实际是拿老年人手机代操作),因为这类群体本身不会操作也非目标用户,造成极低的复购率,导致资金低效使用。


3) 小结

从上述的暗黑流程中,我们可以得出以下几点结论。


■ 职业刷单者以用户身份介入,其他角色虽产生于业务内部,却是黑产的重要发动机。

■  用户和商家可以串通刷单,即商家与职业刷手合谋,当然也存在商家与散户薅羊毛的串通,但实际中规模和危害远小于前者。这种模式也是电商领域的刷单主流。

■ 骑士和商家可以串通刷单。

■ BD 可以和商家、职业刷单者串通。


实际上,还有更多,如商家自身也可以作为用户来刷单,即商家自导自演;其实任何其他角色自身都可以是刷单用户;更进一步,BD 可以同时兼任 BD、商家、骑士多重身份,自导自演一场关于虚假商户下的虚假订单如何虚假配送的大戏,订单的所有信息不过是按照正常流程走了一遍,但实际上并没有线下(offline)的环节。我们在现实业务中确实发现不少 BD 利用系统间信息不打通的漏洞,身兼数职牟取利益。


在外卖业务中,除了众所周知的用户薅羊毛(仅以用户身份进行的作弊和欺诈,不依赖其他角色的配合),更多的是上述业务内部角色(商家、骑手、BD)与外部职业刷单者的串通联合。实际上这种现象不仅出现在外卖中,其他行业里外勾结式的黑产模式也不在少数。


2●出行领域的黑产运作

1) 正常业务流程

出行行业中涉及的角色相对较少,主要是乘客和司机,可以将他们类比为用户和商家,即 C 端和 B 端。如图14 所示,乘客打开 App,输入自己的出发地(一般是定位自动识别)和目的地,发起打车请求,司机在附近范围内抢单,抢单成功后到乘客出发地接上乘客,然后驶往目的地;到达后由司机结束行程,用户发起支付流程,一个订单到此便完成了。司机的信息注册自行完成即可,不需要 BD 的参与。因此,相较于外卖场景,业务流程上不涉及过多线下环节。

image.png


2) 刷单运作过程

既然一个订单同样涉及 B 和 C 两端,刷单也必然存在 B 和 C 的串通联合。这其中存在两种情况:

■  通过增加发单乘客来起量,这与一般的薅羊毛手法并无不同,通过注册大量账号,结合接码平台和刷机软件即可做到。

■  大量伪造虚假司机,通过非法购买他人信息批量注册司机。


两种情况均需要作弊软件修改 GPS 位置信息,模拟行程轨迹。


除此之外,还有类似于外卖中的商家与用户同身份的手法薅羊毛。2015 年 4 月和 8月,滴滴出行分别向北京、上海公安机关报案:部分账户异常,存在一人同时担当司机、乘客两重身份,出现多单司机与乘客账户重复、虚构打车交易的现象。


3●金融领域的黑产运作

与外卖和出行领域相比,互联网金融领域的欺诈运作稍有不同,金融领域的欺诈(金融产品众多,这里主要指借贷相关业务)发生在借贷者与平台之间,缺少了 B 端这一环,因此,黑产主要的工作在于如何获取可以用来借贷的身份信息,而不像上述两类场景中存在 B 端与 C 端勾结串通,但是黑产为了使获取的身份能够成功借贷,在平台上运作留下的表象往往具有相似性。主要的黑产玩法如下。

image.png


01 多头借贷

即向多个平台借贷。起源于拆东墙补西墙的做法,而黑产可以用来投机,往往同期多头借贷。提供借贷的平台多且信息不互通时,就给黑产提供了便利。相关调查发现,小额现金贷人群中,有多头借贷行为的用户占比超过 50%。由于网贷信息不记入央行的征信系统,网贷平台之间信息共享程度又较低,所以导致了多头借贷的爆发。多头借贷本身并非不可取,关键取决于最终是否还款,不还款才是黑产的特点,因此如果对多头借贷行为一棒子打死,会误伤有真正需求的用户,这给风控提出了挑战。


02 中介“助”贷

主要有两类,一是中介负责伪造信用记录等信息,帮助那些资质不过关的用户申请贷款,挣取提成。另一类则是张罗人,本质上是借用他人的信用,往往是在农村地区,付给参与的农民一笔好处费,让他们去申请贷款,实际借贷最后落入中介手中,俗称刷村。每人申请额度一般不大,靠数量累积,多数平台会放弃对这种情况的催收。


03 职业薅羊毛

每个行业中总有一批黑产用户始终盯着每个平台,一旦发现口子,通过他们的大本营(一般是论坛、QQ 群、微信群等)快速传播,薅一笔便消失。


04 员工作案

企业员工通过获取自己公司内的大量员工信息卖给外部黑产团伙,黑产团伙再用这些信息骗贷。


05 技术手段

包括用注入、撞库结合网络收集拼凑的方式获取用户信息。金融领域的产品形态众多,涉及的黑产欺诈手法也远不止这些,对黑产而言,只要能拿到可用的信息,任何方法都值得尝试,毕竟金融行业中黑到一笔钱的收益,远高于前面介绍的外卖和出行行业。


4●黑产的特点

了解了黑产的产业链和运作过程,不难发现黑产就像一张极其庞大的网,又像一个极其庞大的商业帝国。它在人员构成上具有等级和分散的特点,在运营上具有专业化、职业化、利益链复杂、团伙化和伪装性特点。

image.png


1. 专业化

黑卡、猫池设备、自动化管理软件、接码平台、群控系统、代理、各色各样的作弊软件、完整易操作的作案教程,以及对各种行业漏洞细节的把握,都体现了黑色产业的专业性。

2. 职业化

黑产分工明确,组织有序,不少已形成公司规模,明目张胆招聘各种岗位,既有售前销售人员拉活儿,又有后台研发人员研发自动化工具。据称,O2O 领域曾出现代理商下某 BD 成立刷单公司的惊人之举,从事刷量、下载、安装激活等的工作室数不胜数。


3. 利益链复杂

黑产运转的各个环节涉及不同利益角色,上下游之间存在利益关系;既有流程上的配合,又有内外串通共同牟利之举。前面案例中多次存在一端角色身兼多职的情况,这其实是黑产自身缩短利益链条的做法。


4. 团伙化

黑产发展为“以人为本”的操作模式后,极易形成团伙作案。加之风险口子在黑产圈快速传播的效应,人工黑产模式主动或被动地形成了团伙化。这对于风控来说既是好事又是坏事:好处是便于识别发现;坏处是团伙一旦得逞,规模较大、损失较大。


5. 伪装性

一方面一线的刷手可能是正常的人,比如人肉刷单模式、诱导行为;另一方面程序化模拟逐渐逼真,导致异常行为越来越接近于正常用户行为。这对风控的发现和识别工作带来了很大挑战,既不能误伤正常用户,又要尽最大范围召回异常行为和用户。


02 黑产技术演变

本节并不讲述黑产技术的发展演变过程,而是介绍黑产找准目标后,在一款产品上不断与平台的风控政策抗衡的过程。


黑产的手段变化一方面取决于平台的风控力度,另一方面受限于成本与收益的考量。实际上,真正在一线执行欺诈的黑产群体—职业刷手仅是这个庞大组织中最不具备技术能力的一方。得益于互联网,为这些职业大军提供后盾的角色业务精细且五花八门,有专门负责注册账号、提供 IP 资源的,有研发自动发评论工具的,有提供手机号和短信验证的,有研发手机窜改软件的,有研发定位修改器的,等等。这些对于职业刷手来说都是武器装备。


1●风险控制的发展阶段

一般来讲,一个新行业的产品面世后,在风险控制方面会经历如下几个阶段。

image.png


1. 无风险控制阶段

这个阶段的产品设计基本不考虑风险,仅仅是在逻辑上做一些简单限制,而这个限制也未必是从风险角度出发的。例如,外卖产品刚上线时允许一个用户每天享受两单优惠,而这个两单的限制更多是从用户用餐习惯和预算角度考虑的。ofo 红包车刚上线时允许一个用户每天随意骑,只要出现在红包区域即可。这个阶段主要是业务刚起步,需要打市场,研发团队中往往也没有风控岗位。


2. 简单风险控制阶段

在上一阶段运转一段时间后,很容易被黑产盯上,往往会曝出被刷单的新闻,或者数据上有明显的异常。此时一般立即采取管控措施,主要以不成系统化的规则为主,并启动以运营审核为辅的控制手段。


3. 稳定的风险控制阶段

损失继续加剧之下,公司开始搭建风控系统,系统化解决黑产问题。该阶段逐渐完善规则和模型,以及人工审核机制,稳定后达到一个可控的平衡阶段。


4. 冷宫与极乐阶段

这是个分裂的阶段,这个阶段的风控能力已经能够快速应对大部分突发事件,有相对之前较为完整的善后流程。但风控的意识在企业内往往也随之被弱化。只要利益诱惑依然存在,黑产技术就会不断演变,但此时风控可能停滞不前,止于修修补补的重复性工作和人工审核而不得解脱,姑且称之为冷宫阶段。如能始终保持魔道相争不松懈,逐步提高黑产的作案成本、降低防御的人工成本,倒也可以不断进步,通往另一极,极乐阶段。


与这几个阶段对应,技术对抗层面同样呈现出阶段性,从简单规则和黑名单库,到规则系统,到有监督的机器学习,再到无监督学习、知识图谱和深度学习技术,大数据风控也需要一个慢慢建设的过程。


2●黑产的发展阶段


在不了解它之前,黑产就像一个为了争抢宝座的武林高手,对手用几分功力抵抗,它就用几分功力(如图所示)打击。

image.png


1. 简单技术刷单阶段

在无风控的阶段,黑产只需突破简单的限制即可大量获利。还是以前面提到的例子来说,如何才能突破每人每日两单的限制呢?这里的“每人”一般是指一个账号,而刷单者通过账号注册机便可获得不限量的账号。对于账号是手机号的,如不涉及接收短信验证码,只需伪造,否则通过接码平台便可获取。红包车的限制仅仅是红包车区域,通过 GPS 定位修改软件即可把定位移至任何区域。这个阶段对于黑产来说,每单成本最多几毛钱。


2. 技术刷单阶段

这个阶段因为风控的阻挡,黑产只得祭出多种技术手段。例如,如果每人的口径升级为一个账号 + 一个设备,那么刷手就得多使用窜改器,才能把一部手机玩出花。如果继续升级为一个账号 + 一个设备 + 一个支付账号,那么刷手需要购买更多支付账号才能多刷。为了解决这些组合中的维度短板问题,刷手在这个阶段付出的成本会比较高,一般需要准备多部手机,平摊到每单上,成本大概上升至几块钱。对于依赖盗用信息的欺诈来说,撞库也是常用的技术手段。


3. 人工阶段

随着风控力度的加强,当技术手段的成本升高,以至于收益空间较小时,或者技术手段很容易就被侦破时,黑产就会采用人工模式。当然黑产迭代升级的大前提是,利益空间再小也要远大过付出的成本。通过社交手段如 QQ 群、微信群等组织团伙刷单,但参与刷单的人往往来自各地,有些产品对于地理位置有限制,因此还需要配合一定的刷单教程。由于参与刷单的个体都是正常自然人,因此防范起来难度就会加大。以外卖为例,通常会有一个群主坐镇指挥,每天刷哪些商家、哪些人参与刷、什么时间点执行任务、如何选择定位地址、选哪个菜品下单、如何填写收餐地址等细节都布置清楚,刷手完成一单后在群里截图反馈结果,然后结算。人工模式已经成为目前黑产的主流,成本低廉,不易被发现。现金贷以及消费分期业务中的欺诈基本都以人工模式为主。无论是多头借贷,还是中介主导的刷村,均是人海战术。对于目前国内的众多风控系统来说,对人工模式的识别很难取得很好的效果。这就需要从更多角度变相管控,从这个角度来说,风控解决方案不能只以单纯的拦截为目的,这在后文还会继续探讨。


总结

总结一下,无论处于以上哪个阶段,黑产都不会只以一种手段生存,凡是我们了解到的,都是过去的,他们无时无刻不在研究新的方法,目前甚至已经出现了使用人工智能技术刷好评的案例。那么把这些手段写出来还有什么意义呢?一方面作案手法虽然在表象上不同,但在数据层面有相似性;另一方面即便是被用过的手法,他们也在不停地尝试再用,不信你可以故意开放一个“口子”,保证立马就会被围攻,这些方法用在新的产品中又可以饱餐一顿。正因如此,黑产无严格的阶段性,而是混搭并见利驱使,有阶段的只是风控能力罢了。


目录
相关文章
|
3月前
|
机器学习/深度学习 安全 网络安全
云端防御战线:云计算与网络安全的共舞
在数字化时代的浪潮中,云计算如同一座巨大的数字堡垒,承载着无数的数据和应用程序。然而,随之而来的网络安全挑战也日益严峻。本文将深入浅出地探讨云计算环境下的网络安全问题,从云服务模型的安全特性到信息安全的最佳实践,再到面对网络攻击时的应对策略,旨在为读者提供一个清晰的网络安全蓝图。我们将一探究竟,如何在享受云计算便利的同时,确保数据的铜墙铁壁不被侵犯。
|
安全 算法 数据可视化
互联网平台黑产解密(上)
互联网平台黑产解密(上)
642 0
互联网平台黑产解密(上)
|
云安全 监控 安全
产业共建,精准扶持 | 阿里云携手TapTap成立反网络黑灰产联盟 将提供免费防攻击服务
2021年8月6日,一款打磨3年的武侠格斗游戏《弈剑行》上线当日即遭遇DDoS攻击而停服。对服务连续性、网络延迟等具有高要求的游戏行业一直都是网络攻击的重灾区,而一些中小开发者由于安全建设不足,更是成为网络攻击的重度受害者。
247 0
产业共建,精准扶持 | 阿里云携手TapTap成立反网络黑灰产联盟 将提供免费防攻击服务
|
云安全 监控 安全
产业共建,精准扶持 | 阿里云携手TapTap共建反网络黑灰产联盟 将提供免费防攻击服务
10月20日,在2021云栖大会·阿里云互联网行业峰会上,阿里云联合易玩(上海)网络科技有限公司(以下简称“TapTap”)举行“反网络黑灰产联盟”合作发布仪式 。
266 0
产业共建,精准扶持 | 阿里云携手TapTap共建反网络黑灰产联盟 将提供免费防攻击服务
|
机器学习/深度学习 数据采集 运维
技术揭秘 | 互联网广告黑产盛行,如何反作弊?
有人的地方就有江湖。广告作为互联网公司商业变现最为直接快捷的途径,广告作弊已经形成了一个有完整链条的黑产行业。如何通过技术手段识别并防范广告作弊?本文通过介绍常见的广告计费模式和虚假流量的获益形式和发生机制,分析广告点击反作弊的核心问题,分享相关的反作弊实践经验,详解反作弊技术体系及核心算法。
技术揭秘 | 互联网广告黑产盛行,如何反作弊?
|
安全
艾瑞咨询:即时通讯面临多种安全威胁
   即时通讯是中国互联网最为普及的网络应用之一。根据艾瑞《2007-2008年中国即时通讯行业发展报告》统计,2007年中国即时通讯用户规模已经突破1.7亿,2008年将达到2.1亿。网民对即时通讯工具的使用率将超过80%。
1398 0
|
存储 安全
瑞星:“云攻击”已成现实
“1亿零53万人次网民遭钓鱼网站侵袭,给中国网民造成的直接经济损失至少在百亿级别。假淘宝网站、假腾讯网站、假工商银行网站、假中国银行网站,占据了钓鱼网站的前四位。” 19日,《瑞星2011上半年互联网安全报告》出炉,瑞星安全专家表示,“云攻击”(Threats to Cloud)已成现实,储存了大量用户资料和行为的“云提供商”,例如微博、社交网站、网络存储,甚至包括传统的电信运营商和酒店业者,正在面临前所未有的安全风险。
744 0
下一篇
无影云桌面