文|趙晨希
一夜損失“200億”。
某電商平台被薅羊毛事件,讓普通大眾意識到原來“薅羊毛黑產”距離我們的日常生活如此近。儘管,該電商平台並未對外公布損失的準確數字,但從向警察機關報案可以看出,事態的嚴重性,被薅的金額數量已經遠遠超過了平台自身的承受能力。尤其對於一些創業企業、中小型企業而言,被薅羊毛黑產盯上,並成功“作案”可以說是致命的。
所以,網絡上有傳某某企業被羊毛黨薅垮了,並不是一句玩笑話。如今,羊毛黨不只是某一個平台“頭痛”的事情,只要企業業務涉及”行銷“、活動優惠等等,都極有可能成為被薅目標。薅羊毛黑灰產涉及移動互聯網、P2P、電商、電信、金融、快消、出行等等,領域範圍之廣,屬於全行業的公共安全問題。
據騰訊CSIG安全高級產品經理閆陽介紹,基礎安全與水電煤類似,跟基礎耦合非常深。像病毒入侵、木馬、網絡攻擊等一些安全措施,不會因為行業有所區別,只要有線上業務,就可能會有一些入侵的行為。而業務安全與企業業務深度耦合。比如,電商發優惠券,有羊毛黨,金融可能有人借錢不還。隨著業務的發展,一些惡意方式有所區分。
一種灰度:邊緣的對抗
薅羊毛是一種人性的驅動行為,伴隨著商品交易以及利益的產生,一直存在。只是之前, 沒有一個相對準確、通俗的詞匯來定義這種貪圖“小便宜”的行為。直到1999年,趙本山、宋丹丹的小品《昨天今天明天》中,宋丹丹飾演的白雲,用薅來的羊毛織了一件毛衣,成為全網笑梗的同時,也讓“薅羊毛”的行為在互聯網時代廣為傳播。
相信在生活中,大部分人都在不同程度上薅過羊毛。比如,某出行平台推出返利活動,計程車返券五到幾十元不等。與薅羊毛黑灰產不同的是,絕大多數的人都是在平台正常規則之下獲得優惠。而薅羊毛黑灰產則是利用平台規則漏洞,以及不同技術手段非法獲得利益。
另一方面,國、內外移動互聯網產業發展的路徑不同,競爭異常激烈,也造成了羊毛黨在國內市場尤為泛濫。PC互聯網時代,可薅的羊毛範圍不大。2013年以後,移動互聯網爆炸式興起,蓬勃發展,團購市場的“百團大戰”,出行市場的補貼大混戰,市場激烈競爭的刺激之下,補貼活動進行了一輪又一輪。
“到現在,智慧零售、新零售,所有的零售業往線上遷移,又來一輪補貼。會發現只要有促銷,只要有利益,羊毛黨就一定會如影隨形,刺激著羊毛黨不斷壯大。”閆陽說。這麽多年,薅羊毛黑灰產難以根治有著多方面的原因。
儘管在法律上,對薅羊毛沒有明確條款,但其具有一定的法律風險。我國《民法總則》第122條規定“因他人沒有法律根據,取得不當利益,受損失的人有權請求其返還不當利益”。對不當得利方返還其不當利益,有所規定。受損失的平台方有權利要求不當得利一方返還利益。
一旦牽扯金額數量巨大,則有可能觸犯《中華人民共和國刑法》中的盜竊罪,指以非法佔有為目的,盜竊公私財物數額較大或者多次盜竊、入戶盜竊、攜帶凶器盜竊、扒竊公私財物的行為。根據情節輕重量刑,最高判處十年以上有期徒刑或者無期徒刑,並處罰金或者沒收財產。
薅羊毛黑灰產抓取工作比較難,這種現象的背後。閆陽認為,其實,更在於平台自身的意願。有很多平台,有時候會采取法律措施,關鍵看平台的受損程度。不可否認,在涉案金額數量不大,或者平台活動設計有漏洞,但造成的損失不大時,一部分平台默默地承擔了這部分損失。
前幾年,亞馬遜經常出現價格烏龍事件,比如,商品價格小數點標注錯誤,原價為1萬3千多元的蘋果筆電,卻以標價1千3百多元出售,相差巨大。在平台未發現標價Bug時,一些用戶已經下單。為此,經常國內、國外出現相關糾紛案件。一個典型的案例是,2012年國內圖書類電商平台當當網,72小時搶購圖書促銷活動強行撤銷訂單糾紛案。
這種因“重大誤解”訂立的合約,在金額不大時,很多商家為了平台口碑、平台形象以及用戶留存,自行承擔了相關損失。但平台損失金額過大,超出自身承擔範圍,就有可能以作廢、撤單、拒絕發貨等方式處理。
薅羊毛黑產對於平台來講,是一把雙刃劍,不排除某些行業的平台對這種行為的縱容,或者采取睜一隻眼閉一隻眼。閆陽對筆者解釋,“因為對於很多平台,羊毛黨們在薅福利的同時,也在不同程度上,去壯大了這個平台的流量。”
這種“相愛相殺”、“又愛又恨”的事件在各個行業都存在。為何很多平台深知薅羊毛產業的危害性,卻沒有太大的動力去治理羊毛黨,舉幾個簡單容易理解的例子。互聯網金融行業,2015年現金貸強勢崛起,上千家企業都在爭搶用戶,每一家都在宣傳自家平台的流量。
而一些電商平台在發展初期,為了上市、獲得更好的估值,以及投資人的信任,明知水分的存在,但為衝擊某個GMV交易量,會默許這些水分的存在。又例如,銀行行業本身有著辦卡的業務需求,鼓勵用戶去消費,信用卡消費會產生積分。
前幾年,銀聯沒有規定POS機刷卡的費率,但有封頂機。薅羊毛黑產馬上嗅到了其中的“商機”,通過POS機套現。一些羊頭控制了上萬張,甚至數十萬張銀行卡。通過集中式刷卡,買各大行司的充值卡、石油卡、電商卡等硬通貨。再通過一定渠道,以九五折、九折折有損賣出。
看上去是有損出貨,實際上是薅的是銀行的羊毛,銀行的損失遠大於羊毛黨的“損失”。羊頭最終可以通過平台規則漏洞和倒賣的方式獲利上千萬,將平台規則實現最大化利用。4G時代末期,直播、短視頻等行業興起,薅羊毛黑產的表現形式又發生了變化,虛假流量泛濫。
騰訊CSIG安全高級研究員陳炳文介紹,根據騰訊安全統計、識別,電商行業黑產在3%-5%左右期間浮動。根據第三方數據統計,從2016年至2018年,廣告行業的虛假流量一直維持在28%-30%左右。薅羊毛黑灰產業歸根結底是產業雙方共同促成、造就的,主要是平台需要把握好一些邊界。閆陽表示,“平台想用利益吸引用戶做出一定的消費行為,可是在設計的時候,也必然會招來有些人,通過大量的账號,來把利益擴大化。”
薅羊毛產業遊走於平台規則與法律的灰度,甚至黑度地帶,騰訊CSIG安全的一位工作人員告訴筆者,對於大公司而言,頂多損失一些行銷的資金。特別是對一些小公司而言,前期為了獲客,需要進行比較大的優惠力度補貼。羊毛黨不管公司大與小,只要知道某平台風控防護邏輯系數不高時,大規模作案就能把一家公司刷死、“薅死”。
據陳炳文觀察很多中小型遊戲企業,深受其害。“一個公司要活下來需要有用戶,相當於要獲客,這種情況下會投放各種廣告,帶來用戶量,每個渠道給他帶來的都可能是假的。黑產帶來的用戶第一天可能還在活躍,後面就不活躍了,那企業的錢就浪費掉了。在玩遊戲情節中,用戶需要充錢、購買虛擬道具等之類的東西,如果用戶都是假的,肯定不會產生購買行為,企業的行銷資金就這樣被薅走了。”
兩個維度:不斷地變化
隨著互聯網技術和通信技術的發展,從兩個維度:薅羊毛黑產的作案手段、形式,以及對抗一側的安全手段都在發生著變化。身在“鬥爭”的漩渦之中,閆陽最大的感受是對抗越來越激烈,薅羊毛黑色產業也越來越隱蔽。
最開始的羊毛黨非常簡單,用一台設備批量發出信息請求,在對抗手段短信驗證碼、圖形驗證碼、人臉識別加入之後,黑產變成了多台設備,分布式請求,即把請求分散了。請求分散之後,平台一旦發現某些账號的質量不高時,便提高了平台規則,於是黑產又出現了真人形式的眾包模式。
薅羊毛黑產有團體作案,更有大量是分工協作的。分布以經濟發達地區為主,相關公開數據顯示,每年全國從事薅羊毛黑產的人數,大概一百萬人以上;每年造成的經濟規模,大概在一千億的級別。閆陽稱,“抓取的難度肯定在變大,隨著技術的發展,道高一尺魔高一丈,大家都在不斷進化,黑產也會越來越隱蔽。”
從薅羊毛黑產作案技術的角度來講,近幾年發生了很大的變化。陳炳文告訴筆者,主要變化主要是從虛擬機,到群控式,再到群控+人工刷量。第一階段,是虛擬機方式,也就是羊毛黨產業的初級階段。薅羊毛黑產屬於有組織的產業鏈,有的提供手機、账號;有的提供自動化的工具平台;有的進行實際的刷量工作。
其中,虛擬有兩種,一種,就是在PC伺服器上直接模仿出手機的環境。另外一種,是在手機的環境下裝模擬器,模擬出很多手機出來。在這種階段的情況下,對於手機號、账號的維度,有的卡商提供手機號,比如,現在常用的物聯網卡。用貓池養手機號,模擬器、多開軟體來掛機養账號。
而對於驗證碼等驗證環節,則有自動識別字元、圖片的技術,比如,很常用的CNN(卷積神經網絡)技術,其開源代碼的簡單腳本,就能實現90%以上的識別通過率。比較難通過的驗證碼,還可以通過人工打碼平台來支撐。
對於電商等業務方常用的IP頻控策略,有任我行、天下遊等IP修改軟體來支撐。但是,針對這類手法,採用業務特徵、一些規則體系(比如,全網活躍性等用戶行為、特徵多維度的聚集性等規則)、加上專家系統就能識別出來,不過,黑產也在隨著技術對抗手段的演進進行著升級。
第二個階段,群控方式,黑產通過購置廉價手機組成手機牆,採用改機工具來修改設備信息,如手機型號、MAC地址、IMEI碼(手機串碼)、GPS定位、甚至手機號,不斷偽造生成新設備。也有的直接刷入定製化ROM,同時採用群控軟體來操縱手機,模仿真人自動完成相應的操作。進行點擊、APP下載、激活甚至使用。同時,會偽造用戶的分布、留存情況。
第三個階段,群控+人工的方式,人肉羊毛黨、真人羊毛黨,或者叫網賺眾包。這種方式有點類似於黃牛,通過讓真人點擊、觀看廣告,並要求指定時間段內觀看、並且停留時長大於一定秒數,來賺錢一定數量的積分,累加的積分可以換取紅包提現。在一些眾包軟體上,會羅列很多的項目任務,比如,用戶幫助平台點擊某些項目,就能賺到一定的積分,通過積分可以兌紅包、領取紅包。當然,它的成本也會比較高。
顯然,薅羊毛黑灰產是具有一個完整的、高度閉環式的產業鏈條。在這個產業鏈的上遊是黑產手機號碼、账號。早期國內運營商並沒有實施用戶實名製,導致很多手機號碼在黑市上倒賣,用於非法、黑產市場。後期國內發展虛擬運營商,電信詐騙、電話推銷一度泛濫成災,成為電信行業的頑疾。
針對黑產手機號碼,閆陽對筆者說,“黑產手機號碼沒有大眾想象中的那麽少,由各種各樣的原因導致。目前,國內黑產手機號在1億個以上。有歷史的原因,有物聯網卡的原因,也有信息泄漏的原因。甚至現在這兩年開始,市場進入了大量來自緬甸、越南等的各種境外電話號碼。”
據筆者了解,近年來,三大運營商關於用戶實名製的認證,以及改號軟體、呼死你黑產等電話騷擾的管控不斷趨嚴。但隨著5G建設提上日程,物聯網產業的發展開始逐漸興起。物聯網卡不同於人的電話卡,其有自己的專屬號段。
在形態方面也有SIM卡、插入式mp卡、貼片式ms卡,三種不同的形態。儘管物聯網卡與普通人用的電話卡有著很多區別。但物聯網卡本身帶有一些3C互聯的功能,可以用來收發一些短信和指令。由於是新興事物,在監管方面,國內還沒有明確的相關使用規定,在一定程度上處於灰色地帶。
一旦獲得大量的手機號,就會有貓池設備來養卡,貓池囤積了大量的手機、账號。等級不同,價格不同,明碼標價,進行售賣。有了账號可以做各種各樣的事情,薅羊毛、欺詐、刷流量……“其實就像一個金字塔結構,在最上端的羊頭控制了絕大部分的資源和信息,不斷分發所掌握的信息和資源,來獲取一定的好處。”閆陽說。
在參與優惠活動時,會遇到短信驗證、圖形驗證碼等問題,這時候接碼平台、打碼平台或者人工可以進行處理。通過APP來領任務時,經常會有一些線下交流群。陳炳文透露,通過QQ群、共享文檔,有人在上面發布或寫完一些任務,有些人會專門去看有哪些任務,把任務做完之後拿到積分。而這種APP是不違法的,羊毛黨有一個問題,其實是處於灰色地帶。除非是很嚴重、批量的,影響到平台的正常運營,或者侵犯到了共同利益的時候才觸犯法律。
如閆陽所說,“互聯網本身發生著深刻地變化,很多作惡慢慢地下沉、打散,不在一台設備上高頻操作。從行為異常上去分析會發現,账號來自天南地北,不在同一台設備上,IP也不一樣。偽裝的像完完全全的正常用戶。”
薅羊毛黑產在從虛擬、群控、到人工三個階段變化時,相應的,攻防對抗也有三個階段的變化。陳炳文介紹,第一個階段。沒有任何的樣本,所謂的樣本就是建模、策略時所用到的標簽信息。比如,這個账號是不好的,那個账號是好的。所以,只能通過一些觀察來做簡單的策略,通過不同的數據研究判斷活躍度情況。這種簡單的模型,對於初級階段來講有一定的打擊能力,簡單的方法可以打擊掉80%、90%。
第二階段,薅羊毛黑產群控時,安全也在升級。通過第一個階段的對抗,收集到一些樣本,因而有標簽。標簽的數據越多,能力越強。這種情況下,使用一些人工智能AI技術來建模。通過監督學習,根據一些標簽樣特徵的差異程度。對不同類別、不同場景,建模識別出來。在這個環節,通過有監督的學習,會達到不錯的識別效果。對於圖片滑動的識別,嵌入js代碼。便可以檢測出是機器滑動還是人為滑動。
第三階段,最近幾年出現的真人羊毛黨,表現跟真人是一樣的,或者就是真的人。所以,他所有的網上行為、行文軌跡在其他業務上面的表現也是真實的。這種情況下,主要採用對抗學習,同步生成一些惡意變種、樣本變種,幫助平台識別、快速響應新出現的手段。
真人眾包模式到來之後,難度更大。薅羊毛黑灰產業不斷的升級,相應的安全企業也在不斷的進化發展。雲計算、人工智能AI技術浪潮的到來,也給安全對抗帶來了諸多改變。企業隨著業務的發展,不但需要基礎安全,也有雲端安全的訴求。
基礎安全包括企業辦公環境的安全、內網安全、比如,攔截木馬、病毒,查補漏洞、DDos(分布式拒絕服務攻擊)防護、WAF(Web應用防護系統)等。陳炳文稱,“基礎安全相對偏底層,薅羊毛黑產偏業務層方面。”
雲服務分為IaaS層、PaaS層、SaaS層,基於雲服務的業務安全,SaaS層也通過雲平台接入,所以,雲安全企業的業務發展越來越SaaS化。企業只需要調用API接口,不論屬於IaaS層還是SaaS層。雲安全服務廠商就近部署,就可以實現較短的時延。
在AI技術方面,陳炳文介紹,拋開原始數據、數據清理、特徵層,模型層作為上層,有幾塊子模型。子模型或者叫做基礎模型,分不同維度。有針對账號維度的;有針對IP維度的;有針對時間序列維度的。通過不同的維度會建不同的模型,然後不同的模型會輸出一些特徵出來。
不同的行業會結合底層子模型的輸出,做一些行業的定製化模型。子模型會輸出一些重要特徵,然後每一個行業針對業務用不同子模型的輸出,進而建立業務特徵。最開始採用人工經驗,後來採用機器學習,比如,LR(邏輯回歸)模型、決策數。現在一些AI技術,比如,遷移學習(Transfer learning)、生成對抗網絡(GAN)兩個主要的技術。
談及騰訊CSIG安全研究方向的變化,陳炳文透露,從正常流程角度,用戶會先看廣告,再登錄平台,注冊、瀏覽網頁,最後下單。中間過程可能有搶券等行為。目前,行銷風控主要針對注冊、登錄、搶券這幾個環節。越往前推,它的量級越大,也就是通過最上端廣告環節的流量風控,把整個產業鏈條的風控實現閉環。
三類防範:有效的防禦
既然薅羊毛黑灰產業是人性的驅動,徹底根除的可能性很小。對於平台而言,防禦佔據絕大部分。首先,平台在設計活動規則邏輯方面,一定要完善,邊界清晰。像某電商平台被薅羊毛事件,設定無門檻優惠券,屬於平台自身業務設計漏洞。
閆陽向筆者舉例,比如,白酒行業某企業做優惠活動時,就應該將活動規則設計清楚,一個人最多可以獲得幾瓶白酒優惠券。如果沒有設定門檻,一個人刷到幾千瓶白酒優惠券,顯然是不合理的。移動互聯網高度發達的今天,有漏洞的行銷活動更容易被薅羊毛黑產盯上。
除了账號的頻控,即限制一個账號一天能領多少次券,參加多少次活動。此外,還有黑庫,企業本身做業務對抗時能積累一些黑庫,一旦進入黑名單就不能參加活動。還有一種是IP頻控,某一個IP突然之間有很多账號注冊,或者很多账號都在領紅包,可以直接把IP封掉。最後是,地域的限制,經常作惡的幾個城市或省就不做行銷活動了。
陳炳文認為,對於一些中小型的客戶來說,其風控能力還是不夠強大的。第二,對於不具備安全風控和管控能力的企業,可以找第三方安全公司幫助自己業務進行風控管理。將API端口對接給提供SaaS服務的安全廠商,比如,一個搶優惠券的活動場景,用戶在搶券的時候。會把用戶的账號、IP等信息通過接口發給安全服務方。安全服務方會給企業業務方反饋账號的惡意等級,企業業務方根據惡意等級,決定要不要給用戶發放福利。
整個流程耗時100毫秒左右,在整個過程中,安全服務方做的只是輔助判斷,最終的決策都在企業業務方一側。除了接入API端口的防護,安全企業在對抗黑產的過程中,也會結合黑產情報的打聽,黑產具體的實施手段,有針對性的建模。
黑產情報有兩塊,一塊是自動化爬數據,另一塊是人工監控。此外,不同的安全廠商之間,也有合作與信息溝通。閆陽告訴筆者,和不同安全廠商的合作點主要在於,把防控從80%,做到95%,甚至99%。簡單地說,在某某平台上可能是好人,在另外一個平台上可能是壞人。如何發現更多可疑账號,觸達更多業務是合作點。
最後,平台需要有鮮明的立場,平台在某些方面縱容了薅羊毛黑灰產業的壯大。陳炳文表示,有時候對平台方而言,是願意被刷的。平台剛剛成立的時候沒有流量,希望有人去幫它刷流量,帶來活躍度;幫它刷榜,APP Store裡面的排行榜就會往上提升,有時候,平台方自己也會找人去刷流量或者榜單。
今年4月25日,北京市第二法院對陳某利用商家收款和京東墊付退款的時間差瘋狂薅羊毛,騙取京東885萬元的資金,被判處有期徒刑11年。薅羊毛一時爽,一直薅不再一直爽。長期貪圖“小利”法律風險不容忽視。
香港九龍灣馬來街興發大廈15樓D室