域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

又到了一年一度的雙十一購物季，各大平臺(tái)營銷活動(dòng)紛紛上線，紅包、優(yōu)惠券、秒殺……這些優(yōu)惠你搶到了嗎?

為了拉新促活，一家知名保險(xiǎn)公司近期投入上百萬的營銷費(fèi)用，在自家APP、微信小程序上線了一個(gè)“抽獎(jiǎng)得紅包”的用戶活動(dòng)。然而，這些紅包真正被用戶搶到了嗎?恐怕很難。經(jīng)過瑞數(shù)信息的后臺(tái)診斷分析，大部分紅包并沒有按計(jì)劃被發(fā)放至終端用戶手上，而是被大量“羊毛黨”薅走了。

通過日志分析，瑞數(shù)信息發(fā)現(xiàn)了大量的高級自動(dòng)化行為和批量接口調(diào)用等可疑情況：僅8天時(shí)間，簡單腳本攻擊就超過140萬次，高級自動(dòng)化工具使用了2萬+次，重訪攻擊逼近1.5萬次，令牌篡改請求也突破了6000次。

換句話說，黑產(chǎn)團(tuán)伙早就盯上了這個(gè)活動(dòng)，通過系統(tǒng)化的技術(shù)手段和數(shù)以萬計(jì)的賬號，利用自動(dòng)化的腳本程序，來批量參與保險(xiǎn)線上平臺(tái)的營銷活動(dòng)，以此獲取高額利潤。除此之外，由于黑產(chǎn)的大量“進(jìn)攻”，營銷活動(dòng)頁面經(jīng)?？D，后端服務(wù)器難以支撐，嚴(yán)重影響了真實(shí)用戶參與活動(dòng)的體驗(yàn)。

那么問題來了，

為什么部署了大量安全設(shè)備的保險(xiǎn)公司沒有發(fā)現(xiàn)黑產(chǎn)團(tuán)伙的行為?

瑞數(shù)信息又是如何發(fā)現(xiàn)并打擊黑產(chǎn)的呢?

為什么用戶無法發(fā)現(xiàn)黑產(chǎn)“薅羊毛”?

事實(shí)上，保險(xiǎn)公司的遭遇并不是個(gè)例。由于黑產(chǎn)分工明確、合作流程成熟，并且逐漸向隱蔽、專業(yè)、精準(zhǔn)方向發(fā)展，已經(jīng)越來越難以被消滅。據(jù)《數(shù)字金融反欺詐白 皮 書》顯示，目前羊毛黨已形成15余工種、160余萬從業(yè)人員、產(chǎn)業(yè)規(guī)模不低于1000億元人民幣的產(chǎn)業(yè)鏈。

從黑產(chǎn)自身來看，“薅羊毛”的技術(shù)正在不斷精進(jìn)。相比于過去人肉作假，現(xiàn)在黑產(chǎn)更多采用Bots自動(dòng)化工具，批量參與營銷活動(dòng)，進(jìn)一步提升了“薅羊毛”效率。同時(shí)，黑產(chǎn)攻擊手法更加擬人化，大面積地使用虛擬機(jī)、改碼設(shè)備、批量養(yǎng)號等各種高科技造假手段，足以模擬正常用戶的行為、設(shè)備、身份等系列特征，作案手法更加隱蔽。

從外部環(huán)境看，隨著數(shù)字化業(yè)務(wù)快速增長，APP、微信、小程序、H5等多種業(yè)務(wù)接入渠道產(chǎn)生，API接口大量被調(diào)用，帶來了巨大的敞口風(fēng)險(xiǎn)。

一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，只要調(diào)取代碼就可以直接獲取微信用戶身份認(rèn)證信息，完成登錄、下單、查詢等用戶行為。另一方面，API接口承載著大量客戶信息、業(yè)務(wù)和交易數(shù)據(jù)、認(rèn)證信息等關(guān)鍵數(shù)據(jù)，經(jīng)常面臨接口越權(quán)、未授權(quán)訪問等安全威脅。黑產(chǎn)不僅可以利用應(yīng)用漏洞進(jìn)行攻擊，還通過各類擬人化Bots模擬業(yè)務(wù)操作，實(shí)現(xiàn)業(yè)務(wù)攻擊，對數(shù)字化業(yè)務(wù)的影響也在快速攀升。

內(nèi)外交困之下，傳統(tǒng)的業(yè)務(wù)安全/風(fēng)控產(chǎn)品也疲態(tài)盡顯。

傳統(tǒng)業(yè)務(wù)安全/風(fēng)控產(chǎn)品的關(guān)注點(diǎn)在于賬號、IP、設(shè)備信譽(yù)以及固定規(guī)則，需要頻繁地更新數(shù)據(jù)庫和規(guī)則來應(yīng)對黑產(chǎn)攻擊。但如今的黑產(chǎn)已經(jīng)可以通過豐富IP、使用肉雞、設(shè)備root、手機(jī)群控等手段，讓傳統(tǒng)的業(yè)務(wù)安全/風(fēng)控系統(tǒng)疲于應(yīng)對，甚至無法察覺黑產(chǎn)的存在。

瑞數(shù)信息解決的保險(xiǎn)公司“薅羊毛”這一案例中，保險(xiǎn)公司之所以攔不住黑產(chǎn)，很大原因也在于該公司部署的WAF產(chǎn)品，只能基于固定規(guī)則和簽名對異常行為進(jìn)行判定，因此感知不到模擬真人的黑產(chǎn)攻擊行為。

三步發(fā)現(xiàn)黑產(chǎn)“薅羊毛”

針對傳統(tǒng)安全/風(fēng)控產(chǎn)品的弊端，瑞數(shù)信息利用獨(dú)創(chuàng)的“動(dòng)態(tài)安全+AI”技術(shù)，三步精準(zhǔn)定位黑產(chǎn)“薅羊毛”行為，有效打擊各類網(wǎng)絡(luò)欺詐，包括偽裝成正常交易的業(yè)務(wù)作弊、利用合法賬號竊取敏感數(shù)據(jù)、假冒終端應(yīng)用等。

批量調(diào)取接口行為分析(重放、腳本自動(dòng)化)

以上述保險(xiǎn)公司案例為例，通過單獨(dú)分析抽獎(jiǎng)路徑，瑞數(shù)信息發(fā)現(xiàn)：20%的請求操作行為字段為空值，可以判斷這一部分是使用的簡單腳本進(jìn)行攻擊;30%的輸入操作記錄為0，說明可能是通過高級自動(dòng)化攻擊發(fā)起的請求，或者是使用重放工具發(fā)起的請求。

正常的抽獎(jiǎng)邏輯需要先訪問抽獎(jiǎng)頁面，然后通過該頁面發(fā)起抽獎(jiǎng)的接口請求。但瑞數(shù)信息從接口調(diào)用的referer發(fā)現(xiàn)：其中20%的請求沒有前置頁面請求，referer值為空，說明這些請求是直接自動(dòng)化調(diào)用的抽獎(jiǎng)接口，沒有按照正常的抽獎(jiǎng)邏輯進(jìn)行抽獎(jiǎng)。

高級Bots工具

通過日志分析，瑞數(shù)信息發(fā)現(xiàn)了不少高級自動(dòng)化工具。這類工具的訪問日志中操作行為字段為空，沒有人為的輸入、滑動(dòng)等行為，所有請求都是腳本驅(qū)動(dòng)瀏覽器完成。

黑產(chǎn)批量調(diào)取接口行為分析(代理池)

通過瑞數(shù)信息的cookie id(每個(gè)用戶不會(huì)重復(fù)，具備唯一性)，以及提取到的頁面輸入行為進(jìn)行聚類分析，發(fā)現(xiàn)黑產(chǎn)團(tuán)伙進(jìn)行接口批量調(diào)用，直接參與抽獎(jiǎng)行為。

以上種種分析，都指向了黑產(chǎn)團(tuán)伙的行為路徑：使用簡單腳本，定時(shí)抓取活動(dòng)頁面，獲取活動(dòng)信息;使用高級自動(dòng)化工具和重放攻擊，模擬真人訪問，自動(dòng)化參與抽獎(jiǎng)。

四招分層解決“薅羊毛”

在清晰洞察了黑產(chǎn)行為之后，瑞數(shù)信息采用四招分層解決黑產(chǎn)“薅羊毛”問題。

招式一：針對簡單腳本攻擊和高級Bots工具

瑞數(shù)信息的“動(dòng)態(tài)令牌”“動(dòng)態(tài)驗(yàn)證”技術(shù)，能夠確保運(yùn)行環(huán)境，進(jìn)行人機(jī)識別，對抗瀏覽器模擬化以及自動(dòng)化攻擊;同時(shí)，防止重放攻擊和越權(quán)，確保業(yè)務(wù)邏輯正常進(jìn)行。

招式二：針對黑產(chǎn)團(tuán)伙

通過業(yè)務(wù)威脅感知、群控模型、聚類分析指紋和IP對應(yīng)關(guān)系、分析頁面輸入行為、定制可編程對抗策略等方式，瑞數(shù)信息能夠?qū)崟r(shí)識別和攔截模擬合法操作的異常行為，并梳理出黑產(chǎn)名單。

同時(shí)通過瑞數(shù)信息的“動(dòng)態(tài)安全+AI”技術(shù)，大幅削減了自動(dòng)化工具的攻擊效率，攔截了大量的“薅羊毛”行為，也為客戶服務(wù)器減輕了很大的壓力。

不僅如此，考慮到黑產(chǎn)一般在活動(dòng)發(fā)起前就開始進(jìn)行諸多準(zhǔn)備，如掃描系統(tǒng)漏洞、爬取用戶信息、分析活動(dòng)頁面信息等，瑞數(shù)信息在活動(dòng)發(fā)起前就對業(yè)務(wù)做好防護(hù)，讓業(yè)務(wù)“風(fēng)險(xiǎn)前置”。

招式三：漏洞防掃描

通過動(dòng)態(tài)安全技術(shù)，使得漏洞掃描或漏洞利用工具無法發(fā)起有效自動(dòng)化掃描探測，無法發(fā)現(xiàn)可利用的漏洞及網(wǎng)頁目錄結(jié)構(gòu)。同時(shí)，在網(wǎng)站/APP等應(yīng)用未打補(bǔ)丁或補(bǔ)丁空窗期，提供有效安全防護(hù)。

招式四：用戶信息防泄露

針對用戶信息惡意爬取，瑞數(shù)信息利用“動(dòng)態(tài)混淆”技術(shù)，將黑產(chǎn)每一次獲取的信息都動(dòng)態(tài)加密，讓黑產(chǎn)無法獲取真實(shí)信息;利用“動(dòng)態(tài)封裝”技術(shù)，將業(yè)務(wù)關(guān)鍵邏輯動(dòng)態(tài)變化，防止攻擊者分析網(wǎng)站代碼。

總體而言，瑞數(shù)信息之所以能很好地解決黑產(chǎn)“薅羊毛”問題，一方面在于“動(dòng)態(tài)安全+AI技術(shù)”具有自動(dòng)化攻擊防御、人機(jī)識別等獨(dú)特優(yōu)勢;另一方面也在于能同時(shí)覆蓋Web、H5、APP、小程序、API等多種業(yè)務(wù)渠道，數(shù)據(jù)采集點(diǎn)更加豐富，通過全量數(shù)據(jù)融合AI算法，使得防御能力更加精準(zhǔn)，實(shí)現(xiàn)業(yè)務(wù)風(fēng)控前置。

在黑產(chǎn)作案方式逐漸專業(yè)化、隱蔽化、團(tuán)伙化的今天，線上營銷需要新的安全技術(shù)方案才能更好地“應(yīng)戰(zhàn)”。瑞數(shù)信息作為Gartner、IDC等國際知名咨詢機(jī)構(gòu)推薦的在線反欺詐領(lǐng)域代表廠商，將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢，為業(yè)務(wù)安全保駕護(hù)航。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！