1.行业现状
1.1 电商行业背景
根据国家统计局公布的数据显示,2020年1月至7月,全国网上零售额60785亿元,同比增长9.0%【参考链接1】,即有淘宝、京东等传统电商巨头,也有以拼多多为代表的新晋社交电商巨头、以及数量众多的垂直类电商平台。巨大的市场空间和激烈的市场竞争,使得各大平台的补贴、优惠活动层出不穷。
与此同时,电商黑灰产从业者总围绕在各大平台上伺机“掠食”。平台和商户投入的巨额补贴稍有不慎即成为电商黑灰产从业者(以下简称为羊毛党)的盘中餐,而真实消费者也因为得不到优惠、折扣而对平台失去信心,导致平台和商户的营销投入未能产生预期的效果,破坏了平台的运营生态。
1.2 典型电商黑灰产产业链
根据《2019 年我国互联网网络安全态势综述》【参考链接3】的数据显示,每月活跃“黑卡”总数约200万个,年产值超过千亿,羊毛党产业链发达程度可想而知。典型的产业链如下图所示,每个环节均有明确的分工,具有极高的生产效率。
1.3 知名薅羊毛案例
以下列举了3个曾经登上微博热榜的薅羊毛事件,各位读者有兴趣可以通过搜索引擎搜索更详细的内容。
1. 2018年12月星巴克开展圣诞节营销活动,遭受黑灰产大规模攻击,预计损失超过1000万元。
2. 2019年1月拼多多遭遇羊毛党通过漏洞几乎免费获取100元无门槛优惠券,涉案总金额达数千万元。
3. 2020年1月京东家电无门槛优惠券设置漏洞被恶意利用,羊毛党在极短的时间里购买了24万笔低价订单,涉及商品金额数千万。
2.风险管理从0到1
随着企业的业务的发展和壮大,业务种类和形态都趋于复杂化,沉痛的薅羊毛案例面前,企业的风控人员应该如何开展风控业务呢?首先要明确企业的业务风险点是什么、风控的目标是什么?然后才能做到有的放矢,有针对性地建设风控系统。风控管理包括了风险意识教育、风控系统建设、持续运营等方面。
2.1 常见业务风险点
账户安全风险:垃圾注册、盗号、暴力破解、撞库拖库,电商平台的用户信息又包括了个人手机号码、收货地址等敏感信息;一旦泄漏,将造成恶劣的影响;
接口风险:短信轰炸大量消耗平台带宽和短信费用;
裂变等增长活动风险:裂变活动吸引了大量的羊毛党、渠道的恶意作弊,导致大量营销预算打了水漂;
电商交易风险:刷单、虚假交易、恶意骗取补贴、银行卡盗刷、信息泄漏等支付欺诈;
营销管理风险:店家刷好评、恶意差评、刷单薅羊毛等营销欺诈。
2.2 风控目标
羊毛党就像业务的影子一样,只要平台有营销活动,存在一定的价格差,羊毛党就有动力薅。因此,风控无法完全杜绝羊毛党,风控的目标是把羊毛党行为对业务造成的影响控制在平台可接受、可承受的范围内,不对平台生态造成破坏性的影响。
2.3 风控系统建设
在明确了业务核心风险点和目标后,风控系统的落地还需要结合业务发展的阶段、风控团队的配置进行评估,实现投入产出比最大化。
风控系统是一个持续运营、优化的综合性系统,典型的风控系统架构大致如下图所示,包含了活动对接模块、识别与处罚模块、运营模块、数据模块。
图2 典型的风控系统架构
活动对接模块
随着企业的业务的发展和壮大,业务种类和形态都趋于复杂化,将与业务相关独立出来,与处理&处罚模块分离,为多场景联动、共享规则、模型、数据等方便创造条件。
处理与处罚模块
业务请求被发送到该模块时,引擎将业务数据进行规则判断和模型运算,在毫秒级的时间内判断是否拦截该次业务请求。对于可事后判断/处理的业务场景,通过离线任务进行处理。
运营模块
为风控系统提供可视化的运营功能,包括风控实时效果监测、策略管理、数据异动智能报警、活动复盘报告等等。
数据模块
数据模块负责接收业务端传入的数据,并对原始数据进行分析、挖掘,形成各类画像、规则等。主要包括用户的设备指纹数据、用户信息、IP信息、用户行为信息等等。
3.电商经典场景攻防
3.1 “垃圾注册”识别和防御建设
为提升用户体验及后续促活的需要,大多数电商平台会支持多种注册方式,包括手机号注册、第三方账号注册(微信、微博)等。在需要手机号注册的场景中,羊毛党首选的套路是:使用接码平台提供的虚假号码,再使用群控设备、云手机等设备环境,通过脚本/注册机进行批量注册。
由于该账户是第一次访问平台,无用户历史行为可分析,因此注册场景的防御建议如下:
- 手机号画像:过滤接码平台上提供的风险手机号码;
- IP画像:过滤代理IP、机房IP以及被标识为垃圾注册的IP;
- 设备指纹画像:过滤被识别为模拟器、安装作弊工具、刷机设备的设备;
- 异常聚集:通过对平台历史数据分析得到的高频注册的设备、IP等。
3.2 “裂变拉新作弊”识别和防御建议
裂变拉新是由存量用户通过社交引导新用户注册,各平台设计的触发方式各有不同,有互助帮砍、拼团促销等。是近年各大平台获取流量的重要方式之一,拉新的奖励有赠送优惠券、实物商品、现金等,其中现金、实物商品等方式,往往成为羊毛党重点攻击的目标。
裂变拉新可以根据邀请人为线索挖掘出师徒团伙的特征,拉新作弊常见特征如下:
- 同一邀请人关联的新注册设备特征相似
- 同一邀请人关联的新注册用户行为相似
- 同一邀请人短时间内大量关联的新注册用户
平台在设计裂变拉新的策略时,可以设置一定的门槛,避免羊毛党可以短时间内圈走拉新奖励放弃账号,无法为平台带来后续的收益。
3.3 “薅羊毛”识别和防御建议
在“薅羊毛”场景中,羊毛党会有一系列的业务动作,包括批量养号、领券、积分兑换、提交订单等行为。不同的黑产团伙使用的工具、手法也各不一样,可以针对不同的行为进行防御。
比如在领券和积分兑换时,采用以下识别策略:
- 手机号画像:过滤被标识为行为异常、收货人异常的手机号码、接码平台上提供的风险手机号码;
- IP画像:过滤代理IP、机房IP以及被标识为垃圾注册的IP;
- 设备指纹画像:过滤被识别为模拟器、安装作弊工具、刷机设备的设备;
比如在下单时,除“领券和积分兑换”采用的识别策略外,还可以采用以下识别策略:
- 购买商品的路径画像:羊毛党账号一般登录后直接对目标商品进行下单,无正常用户的搜索、浏览、比较等行为,可通过实时计算进行团伙识别。
- 收货地址画像:羊毛党囤货的收货地址有一定的聚集,包括虚假地址、地址中包含暗号等,进行针对性的过滤。
4.风控发展趋势展望
随着电商平台风控能力的升级,黑灰产产业链上的各个环节也通过技术升级、产业细分等等方式实施更有针对性的攻击。在未来几年内风控面临着以下三方面的挑战:
相关部门对用户隐私监管范围的持续加强
在更好保护了用户隐私的同时,也让黑灰产更容易隐藏、伪装成正常用户。怎么在符合监控要求的前提下,识别出黑灰产用户,是风控从业人员面临的最大挑战之一。
人肉众包是黑灰产发展的重要趋势
由于电商、互联网行业对黑灰产对方的投入的增加,自动化脚本在一些场景下无法绕过企业方的风控防御,从最早的打码平台、到这两年的众包刷单、众包薅平台补贴。众包人的个人信息、设备、IP、甚至是用户行为,都是真实的,给风控从业人员带来了心的挑战。
黑灰产从技术导向转向资源导向
在技术导向阶段,黑灰产通过保持技术领先保证优势;在产业链不断细分的今天,黑灰产入行门槛大幅降低,通过持有更多的黑产资源(包括设备等、卡号、IP)来保证领先优势。
这些发展趋势进一步要求风控从业人员从用户业务行为出发,通过多场景、多维度的关联数据分析,挖掘出潜伏的黑灰产用户,为企业的营销活动正常开展保驾护航。
5.参考文档
参考链接1:
http://www.stats.gov.cn/tjsj/zxfb/202008/t20200814_1783053.html
参考链接2:
https://www.sohu.com/a/391838384_393779
参考链接3: https://www.cert.org.cn/publish/main/8/2020/20200420191144066734530/20200420191144066734530_.html