追蹤掠食者：地下灰產如何擼死創業公司？

網際網路大公司周圍，往往圍著一群灰產從業者，他們是看不見的敵人，常常躲在暗處，伺機而動。《一代宗師》裡說，“風塵之中必有性情中人”，羊毛黨可惡之中實有可取之處，其目標精準，不捨晝夜，直擊要害。羊毛黨們對每年的雙十一、雙十二、情人節等節日的大促備戰一點不比電商平臺鬆懈，作為專業“薅羊毛”地下團隊，沒有人比他們對平臺、商家的促銷和優惠資訊更加敏銳。近些年來，不乏被羊毛黨薅死的正規公司。

因羊毛黨導致平臺破產的案例不在少數。像O2O平臺、電商平臺、社交平臺、網際網路金融平臺這樣的活躍平臺就是羊毛黨攻擊的主要目標。

在P2P平臺，一個促銷從幾十到上百元不等，“羊毛黨”每個月可以賺幾萬到幾十萬。

羊毛黨帶來的傷害不僅限於企業，而且也會波及到企業的真實使用者利益，導致本屬於他們的利益被掠奪一空。薅羊毛手法日新月異，與時俱進，從傳統手法到人工智慧，羊毛黨魔爪甚至伸向了缺乏監管的區塊鏈行業。那麼他們都是怎樣一群人？網易雲易盾的安全專家從羊毛黨人群畫像、作案工具、技術反擊、規則反擊角度，為我們揭開了不為大眾所知的網際網路冰山一角。

羊毛黨大起底

第一、代下單黨

是目前最為活躍的群體作案。比如x公司有會員卡，開年卡，老使用者可以九六折購買其產品，這些帶下單的人就會用這些會員卡，再疊加一些優惠券活動，拿到比較低的價格。

一般的操作手法是，他們會找真實的購買群體。比如加微信好友，在朋友圈曬商品，比如你購買需要100元，我幫你購買你只需要98元，實際上羊毛黨的成本只有95元。最後收到商品的和下單的並非同一個人，下單的人就賺取中間差價。這種型別現在比較活躍。類似於微商的形式在傳播。一個大boss有技術和機器蒐集商品的各種資訊，還會收一些學徒，學徒要給他錢，最後他賺取的不僅是商品的差價，還有學費。他們在群裡發x商品用y方法可以拿到最低價格，這些學徒就會在朋友圈告訴客戶。涉及唇膏，洗髮水等價格較低的商品。

第二、搶紅包優惠券黨

比如滴滴或者ofo叫車在做活動的時候，羊毛黨就會盯上，進行虛假刷單，透過註冊車主賬號，使用者賬號，虛擬定位等技術，實現即便沒有行程和訂單，一樣可以套平臺的利益和掠奪真實使用者的利益。在做推廣和拉新的時候，比如個貸平臺，羊毛黨去套現平臺的優惠和紅包也是比較活躍的形式。

第三、黃牛黨

如果代下單是to C，那麼黃牛就是toB，他們的客戶包括線下母嬰店，或者是需求量較大的商戶。他們買的東西很集中，很多下單和收件都是批次進行，這方式穩定且涉及資金量大，一般集中在奶粉或尿不溼類商品。

據網易易盾的運營專家透露，剛入行的時候，出於工作需要以及好奇心，他會專門去研究這群人，剛開始內心戲特別豐富，覺得自己需要時刻保持警惕，且一開始要做好萬全準備，喬裝打扮、話術包裝，以為自己像警察臥底毒販呢。結果進去之後發現，學生和媽媽黨很多，都是兼職在做，並不是有組織有紀律的待在一個地方辦公搞灰產。有的甚至意識不到自己在搞灰產，只當是兼職賺錢呢。

這些羊毛黨用到的工具，以及作案手法在不斷更迭。但頂級的安全公司，都有那麼現在都有哪些反擊技術？

在解釋這個之前，得先了解羊毛黨時下都有什麼新的作案工具和技術手法。下面是一張完整的薅羊毛作業鏈。

全套作案工具揭秘

圖注：薅羊毛作業鏈

 1.帳號 

不少商家提供帳號售賣服務，即買即用，省去註冊流程。

 2.IP 

售賣代理IP的商家也不在少數，價格低廉甚至還提供包月服務。當然自己寫爬蟲收集代理IP也可以，如果掌握了一些肉雞就更方便。用不同的IP登入不同的帳號是隱藏行蹤的好方法。

 3.驗證碼平臺 

圖片驗證碼和手機簡訊驗證碼都有專業的打碼平臺。對於簡單的驗證碼，用機器識別即可（成功率相當高），對於複雜度較高的驗證碼，打碼平臺支援人工打碼7*24小時服務。如下圖，震不震撼？

圖注：人工打碼

對於簡訊驗證碼，打碼平臺使用自身或購買的卡商資源，提供相應的api或者工具包，方便作弊工具自動獲取手機號和驗證碼，作弊工具可使用各種未經實名認證甚至實名認證的手機號碼在各電商平臺註冊。打碼平臺的上游卡商實際掌握了大量手機卡，他們利用貓池等裝置實現多手機號自動接收和解析簡訊驗證碼，並將手機號和簡訊驗證碼提供給打碼平臺，最終作弊工具可透過打碼平臺全自動獲取手機號和簡訊。

圖注：貓池

 4.模擬器 

模擬器通常是指安卓模擬器，安卓模擬器非常強大且種類繁多，基本可以模擬一個真實手機的全部功能，比如BlueStacks，GPS、MAC地址等資訊都可模擬。

5.軟體修改手機資訊

一般的公司透過裝置指紋或者IP高頻限制去過濾羊毛黨，但羊毛黨有更高階的應對方式，比如透過軟體控制多個手機，可以使用軟體修改手機資訊，還能透過代理IP不斷更換IP地址，這樣薅羊毛的效率大大提升。

 所有問題都解決之後，就是羊毛黨的地下盛宴，羊毛狂歡。領到各種優惠券後，再透過各種渠道把優惠券銷售出去。那麼如何反擊呢？

技術反擊：人工智慧動態反作弊系統

網易雲易盾的技術專家劉慶接受採訪時表示，為了增加破解難度，提高作弊成本，現在不少企業會將客戶端和服務端的通訊資料進行加密，這樣做確實可以提高破解成本。但一般的資料加密方案，對於專業的駭客來說，可能也就是多花幾小時的破解時間而已。以他們多年來積累的防控經驗，他們總結了下面一套方法。

動態資料保護

一種可以讓破解者退而卻步的方案是：設計一個動態的加密演算法，每套加密演算法有自己的生命週期，即使駭客破解了這套演算法，我們們實際已經切換到下套演算法，因此，駭客的破解也將毫無用武之地，必須重新破解才行。當然，這個方案還必須配合APP或SDK加固才能活得長久，相當於是給動態演算法再加上一層保護殼。

裝置指紋追蹤作弊裝置

據劉慶透露，裝置指紋是防薅羊毛的重要手段，如果能準確標記薅羊毛的裝置，實際上對羊毛黨來說是一個重大的打擊。然而，目前市面上已經出現了各種改機軟體和模擬器，能不斷修改裝置資訊，讓一般的裝置指紋一無是處。但網易雲易盾擁有一批專業的客戶端安全團隊，他們已經研究出了一系列的黑科技，能確保拿到底層的裝置資訊，能免疫目前存在的改機軟體和模擬器。同時網易雲易盾也沉澱了豐富的裝置檢測模型，能精確區分正常裝置和作弊裝置。

行為建模鑑別真假使用者

人和機器是兩類事物，機器的行為總是有規律可循的。可以透過人工智慧對觸控、陀螺儀的資料，以及瀏覽器上的滑鼠移動、點選等行為，結合裝置指紋、業務場景等進行建模分析。網易雲易盾已經積累了非常豐富的人和機器的樣本資料，訓練出了高準確率的行為模型，能有效識別機器行為。

IP畫像防止誤殺真實使用者

如果簡單依靠IP來制定規則，則可能會誤殺正常使用者，畢竟大公司的員工都是共用一個或幾個出口IP，再加上移動基站、公共wifi等共用網路資源，簡單的IP規則可能導致大量的誤殺。而實際，專業的羊毛黨都會使用代理IP池技術，一個IP可能就使用幾次，直接繞過IP層面的規則。

但可以從另外個角度出發，就是對一個IP從網路層面和業務層面做畫像，並透過評分模型，給每個IP輸出一個風險值，基於動態更新的風險值來建立各種業務規則，可以有效識別作弊IP，同時儘可能的減少對正常使用者的誤殺。

機器學習識別羊毛黨團夥作案

除了修好城牆之外，也需要主動出擊。結合無監督學習+有監督學習方法來發掘羊毛黨團夥作案的網路模型，下圖是一個典型的關聯網路圖。

圖注：關聯模型圖

首先，可以基於使用者在一段時間內所有業務相關的資料建立關係鏈，這些關係鏈將構成一個總網路；然後，搜尋網路中的所有子網路，進行連通圖分割；其次，遍歷每個子網路，獲取網路標籤，挖掘網路特徵；最後，透過機器學習構建識別羊毛黨的網路模型。

風險名單庫識別作弊使用者快準狠

基於長期的業務資料和反作弊資料，可以積累出各類風險名單庫，比如：手機號、裝置、賬號等等。風險名單庫主要包含黑名單和灰名單，網易雲易盾透過多年和羊毛黨的鬥爭，已經積累了千萬級的風險名單庫。

那麼，從規則的角度來說，又該如何防範？

運營反擊：從內部配合到規則設定的建議

一、活動運營忌單打獨鬥 多與安全及技術部門溝通

網易雲易盾運營專家建議說，無論產品拉新，還是節日大促，其實搞活動的部門都需要和技術部門的同事以及安全運營部門聯手，很多創業公司都沒有這樣的意識，大家都要嚐到苦頭，公司損失上百萬之後才會意識到事態的嚴重性。通常，活動部門只從自己做活動可能會產生的熱度、活躍度的角度考慮，而非從實際效果和風險角度去考慮。這對公司最後是非常不利的，可能熱度是有了，但錢被羊毛黨薅走了，真實使用者活躍度沒有提升，活躍的都是刷單使用者。

建議做活動之前多跨部門溝通，或者找反作弊解決方案提供商，先評估賬號質量，做活動之前把所有名單先拉出來檢測，如果企業並沒有做歷史黑名單紀錄，那麼可以找反作弊解決方案提供商，他們會自己沉澱各個場景下的黑名單庫。

二、產品設計漏洞排查

比如有的產品設定購買場景是這樣的：1次購買金額達200元即可包郵，但平臺方有不同的倉庫，一次購物會產生兩個訂單。那麼這就給了羊毛黨可乘之機，比如使用者只想買100塊錢的洗髮水，還需要100就能免郵費。那麼使用者就會同時買這兩件商品，但因為是在不同倉庫，所以分成了兩個訂單，那麼使用者就可以分開退掉不想要的貨物，但包郵目的達到。這一漏洞一旦被大boss發現，就會批次操作。導致有的商品瞬間訂單量上來，運營超級開心，不一會兒發現，全都退貨了，短時間內實使用者還買不到商品，基本就是屬於這種情況。

三、活動規則兌換條件

在做活動之前，要設定好規則，比如對優惠券使用的次數上限進行了限制，對兌換規則進行設定。具體規則設定因具體活動而異，前期多思考活動規則，會讓後期少了許多麻煩，不至於緊急撲火。在活動玩法上可以規避許多風險。否則很可能導致有的商品庫存本來就很少，結果平臺上的商品都被瞬間刷完了，真正想買的人買不到。對整個部門影響很大。

四、實時監控 及時發現異常

實時監控有什麼好處呢？在這裡給大家分享一個實際的案例。一個黃牛黨某天去物流中心取尿不溼，一去就有種霸道總裁承包了全部尿不溼的架勢，說“這些尿不溼統統都是我一個人的”，快遞員很不屑，就說怎麼可能這些都是你一個人的，地址和姓名都不一樣，你要出示一下身份證，證明都是你的，否則不能拿走別人的東西。那個黃牛黨就比較不耐煩，說“我就是讓人網上幫我刷的”。

現在黃牛黨填的都是假地址，無需填寫具體哪個區，只要到了這個城市，他就有辦法搞定這些貨物，有人會和快遞合謀拿到貨物。

這個事情怎麼發現的呢？就是網易雲易盾實時監控的同事，發現物流的訂單異常，告訴大家，於是發現了這群黃牛黨。

寫在最後

與羊毛黨的戰爭是一個動態博弈的過程，無論從技術角度還是運營角度，都需要及時更新，利用最新技術以及龐大的資料庫去保障企業利益和真實使用者利益。不斷學習，升級打怪。

更多諮詢，關注微信公眾號“yidun_163yun”