揭秘微信小程式生態場景下 智能風控攻守之道

　　中新經緯客戶端9月6日電 2017年1月9日，騰訊微信團隊推出了一個劃時代的產品“小程式”。經過持續迭代和打磨，目前小程式成功建立了完整的生態體系，擁有超過100萬個小程式、150萬開發者和5000多個第三方平台，每日人均打開小程式次數達到4次。這裡也正成為了中國大部分互聯網公司主動參與和競爭的流量戰場。

　　據世界經濟論壇發布的《The Global Risks Report 2018》中，網絡安全已經成為除自然災害以外，最大的風險所在。據統計，2017年黑產從業人員超150萬，市場規模更是達到了千億級別。

　　在互聯網上，任何美好的產品都不能回避黑產這個躲在陰暗處的強大對手，小程式也不例外。我們今天就談談在小程式生態中，如何對抗黑產。

　　小程式官方平台的安全性

　　萬丈高樓平地起，小程式官方平台自身的安全性是這個生態體系最基礎和最重要的。騰訊目前擁有全球頂級的安全團隊，在小程式上線前也對小程式官方平台進行全面的安全規劃和測試，覆蓋了以下多個方面：小程式開發者工具IDE和網頁後台；小程式MINA JS引擎和JSAPI調用接口；客戶端權限管理。

　　同時，我們也看到騰訊安全團隊在小程式上線當天即發布了“微信小程式安全守護”活動，號召安全社區一期共建小程式安全生態。

　　從目前的公開資訊來看，小程式官方平台還沒有被曝光過嚴重的安全漏洞，安全性可謂是穩如磐石。

　　開發者如何對抗黑產

　　對於小程式開發者來說，所面臨的安全風險與普通Web應用基本相同。小程式開發者和運營者需要面對的安全挑戰主要包含：

　　1、小程式開發者後端應用的安全防護

　　小程式作為用戶互動的入口，最終的業務處理往往還是要在開發者後端的伺服器上完成。我們以小程式購物的場景為例：

　　小程式開發者和運營公司必須要保障自己的後端應用安全、伺服器安全、敏感數據和網絡傳輸過程的安全。一旦後端出現安全問題，輕則導致服務不能正常使用，重則導致用戶數據被竊取和破壞，對業務造成毀滅性打擊。

　　其實這是傳統的網絡安全防禦的問題，稍具規模的互聯網企業都已經配備了相應的安全團隊並且建立了對應的流程。

　　2、小程式內容安全

　　內容安全是小程式開發和運營企業要面對的一個“致命”風險。如果你的小程式具備了內容互動的功能，那麽必須確保內容的合法合規，否則隨時面臨封禁。小程式官方已經為開發者提供了內容安全接口，幫助開發者檢測文本、圖片是否含有色情、賭博等違法違規或敏感不當內容，提升內容審核效率。

　　3、小程式的代碼保護

　　小程式的開發是基於JS的，同時平台又不支持做很強的混淆保護(防止開發者暗藏玄機)，很容易被攻擊者逆向分析。在電商等場景下，建議開發者把敏感的邏輯盡量寫在處理業務的後台，而不是寫在小程式前端。

　　4、小程式行銷場景的反“薅羊毛”

　　任何有互聯網行銷活動地方，“羊毛黨”都不會缺席。鑒於小程式形態的特殊性，大多互聯網企業積累的Web和 APP生態下的風控措施並不能很好的直接拿來使用，所以“羊毛黨”可能是小程式生態中要面對的最大毒瘤。

　　我們看這樣一個電商行銷活動場景：

　　在傳統的Web和 APP環境下，因為整個體系是在企業內部閉環的，可以通過各種維度的數據(如IP、注冊手機號、用戶設備環境等)結合算法發現羊毛黨，確保大部分優惠券能夠發送到合法的用戶手中，達到促銷的效果。而在小程式場景下，大部分互聯網開發者還沒有足夠的能力利用小程式的特性建立起有效的風控策略。“羊毛黨”通過自己養或著批量購買的大量微信號能夠成功的掃蕩行銷活動的優惠券或著企業紅包進而謀取大量利潤。

　　我們從黑產市場上監控到的數據來看，微信账號的價格是遠高於所有其他同類账號的價格的，在這個業務體量下能將账號安全做到如此水準，絕非易事。

　　我們如何對抗數以十萬計的“羊毛黨”呢？這裡分享一下同盾在微信小程式生態下與黑產的攻守之道與術——同盾科技的小程式設備指紋+智能驗證碼組成的解決方案

　　同盾小程式設備指紋產品是國內第一款微信小程式安全風控產品，通過使用系統瀏覽器內核黑科技、配合小程式的特性和同盾強大的決策引擎， 能夠在不使用用戶隱私數據的情況下精確分析出每一個設備上的小程式用戶使用情況，挖掘出小程式生態下的“羊毛黨”團夥，為客戶的業務護航。有別於某些簡單抓取瀏覽器cookie等資訊的小程式設備指紋產品，同盾科技基於小程式的研究早在17年便已開始，並且隨著產品的不斷更新迭代，目前已擁有成熟的運營經驗及與黑產持續對抗能力，產品的生命周期代表了同盾基於小程式設備指紋研究的領先優勢。

　　?2018年1月31日，正式立項；2018年4月18日，正式上線；2018年4月，浙江某銀行的小程式成為第一家接入客戶；2018年8月，已接入客戶數十家，客戶涵蓋消費金融、電商和遊戲小程式等各個行業。

　　一般情況下，使用同盾的設備指紋即可快速、精準定位黑產“羊毛黨”，同時結合約盾智能驗證碼技術，則可形成有效立體對抗，使得黑產攻擊難度數倍提升，更好地保護業務安全。

　　同盾科技作為國內領先的第三方智能風控及分析決策服務商，在與黑產的持續對抗中，不僅積累強大的技術能力，也沉澱下規模龐大的標簽數據庫，結合豐富的反欺詐風控經驗，對黑產形成有力的震懾和圍剿作用。(中新經緯APP)

　　關注中新經緯微信公眾號(微信搜索“中新經緯”或“jwview”)，看更多精彩財經資訊。