產業安全專家談｜零售電商如何做好營銷風控？

▲黑產產業鏈條

第一種，不論平臺有沒有漏洞，只要平臺被黑灰產盯上，在雙十一之前，黑產都會用新手機號註冊海量賬號，領取平臺的活動優惠券，集中購買某種產品，再尋找優惠券的規則漏洞，比如滿減活動中“滿100-20”，黑灰產買到後批量退貨，因為產生了退款，平臺只能返給他一個不需要滿減的 20 元優惠券，黑產又用 20 元優惠券去買二十一塊錢的商品，因此，實際上黑產只要花一塊錢就可以買到原本 20 塊錢的東西，或者他會批量把這些券賣掉，賺取利益。

第二種，一些商家做了大轉盤活動，但準備時間短，考慮不周全，一個正常賬號一天可以玩三次，但是黑灰產發現了轉盤背後的邏輯，一個人玩了 40 多萬次，把所有獎品薅走，這就是利用了規則的漏洞。

如果你發現自家平臺的註冊使用者突增，但這些使用者沒有進一步行為，活躍時間只有一秒，或者只在整點活躍，那麼這個平臺就要注意了，這是“狼來了”的徵兆。

2.傳統零售商轉型做電商，更容易遭受攻擊，他們在風控時會遇到什麼慘況？為什麼會這樣？

郭佳楠：以一個商超親歷的真實事件舉例，這家商超以前只做線下賣場，後來它做了線上小程式，又開展了新業務，為了吸引新客戶，它做了新客戶滿減等促銷活動，這種突然從傳統線下轉到線上的廠商容易被黑產盯上，黑產通過虛假手機號註冊海量新帳號，並集中購買容易變現的產品，比如電話卡，再通過線下渠道轉賣，批量套取平臺的優惠。

為什麼會遇到這種慘案？

傳統零售商轉型面臨的最大問題是客戶變了。以前是一個客戶實打實地走到物理環境中買一桶油，只要內部人員沒有作弊，這種買賣操作基本沒問題，但是轉到線上後，它的客戶只是網際網路上的一個帳號，一串程式碼。賬號背後是真正的人還是被偽造的“人”？最大的欺詐就來源於這裡。

傳統零售商對於網際網路上的使用者，沒有太多經驗，沒法分辨真假使用者，也沒什麼風控措施，而且風控平臺難建設，零售商業務成長到中期時才會籌建安全團隊，有了安全團隊才會去建設風控中臺、裝置指紋，才會有風險運營和風控專家，這些人才會基於風控規則防控黑產的攻擊者，能走到這一步的話，它在網際網路上已經玩得很6了。業務優先，業務安全靠後是一般廠商考慮的點。

自己籌建團隊很難，因此傳統零售商轉型時才會找安全廠商來做業務風控。

這是需要成本的，風控是個無底洞，某網際網路廠商每年在安全上的投入是20億人民幣， 70%人是安全團隊，騰訊在安全上的投入也是不惜一切的。但是，第一，一般的傳統廠商沒有能力去做這麼龐大的安全體系。第二，網路黑產變化太快，傳統廠商如果沒有廣而深的安全團隊，根本無力抵抗。

企業接入騰訊安全天御營銷風控的能力非常便捷。騰訊安全天御不僅提供API介面，還可以協同騰訊雲等產品接入企業的營銷風控系統，幫助企業快速構建更堅實的營銷風控防線。

3.今年黑灰產對新零售電商的攻擊有什麼新招式？你有遇到什麼匪夷所思的操作嗎？

郭佳楠：黑灰產最早的運作方式是假機、假人、假行為，也就是他們會在自己裝置上安裝模擬器，通過模擬上萬個裝置頻繁登陸完成攻擊；而現如今黑灰產的攻擊招式已進化為“真人、真機、真行為”，通過欺詐或指向性引導騙取零售電商的實際使用者進行非真實意願的操作，以成為其賺取利益的工具。羊毛黨、黃牛黨、打碼黨以及小程式網賺黨、網賺團隊欺詐等就是這一方式的“熟練玩家”。

黑產從各個平臺招兼職，也就是黃牛黨的“肉牛”，“牛頭”會在專門分包的網站上發任務，讓“肉牛”去買對應的東西，寄給牛頭，再以做任務獎金的方式把錢返回，實現對貨源完全控制。

在搶購手機、黃金和茅臺酒上，這種手段用得比較多。

既然都是朝同一個地址郵寄，為什麼不能封禁這些購買人的帳號？

因為黃牛也研究了規則，並告訴了“肉牛”如何突破規則，故意讓收貨地址變得不一樣，比如全部寫成附近的快遞站，選擇自提，再和快遞員商量好，等商品到齊，自己再開一輛車來提走所有貨物。

目前，通過大規模學習甚至 AI 演算法運用，零售電商黑灰產已能輕鬆繞過圖形驗證碼、手機簡訊驗證、賬號限制和活動地區限制等傳統防刷手段。藉助自動打碼平臺、貓池、接碼平臺、大量養號和秒變位置等，專業化、產業化的黑灰產已對新零售電商發起了新的挑戰。

以往黑灰產大部分都是採用 Android 裝置作為攻擊工具的，比如大量養號或通過植入木馬等控制器挖礦，充當肉雞。但隨著 Android 裝置指紋的大量普及，加之該類裝置系統本身效能上的缺陷，黑灰產還將“黑手”伸向了 ios 裝置，從黑市收購 ios 裝置 root 後，利用其作為攻擊工具，在攻擊環境和效果上取得了更大的突破。

4.照你這麼說，攻擊者也用AI的話，安全人員怎麼應對？對商家有什麼建議？

郭佳楠：第一，靠前期的資訊蒐集，覺察動向。

第二，利用 AI 的手段分析賬戶的歷史行為，比較周邊使用者的行為，購買的商品是否出現在歷史購買中。基本上，“肉牛”購買的商品都集中在虛擬卡、黃金等容易變現的產品，操作習慣也跟正常人不一樣，他們很可能就是直接在同一個連結上點選下單，當然，現在黃牛也有各種為了讓人相信這就是真實使用者的行為規則引導，我們依然可以用無監督學習的一些方法找出“壞人”。

每個商家原有的能力不同，需要補的能力就不一樣。

像風控已經做得不錯的商家，我們就會建議用上騰訊獨特的風控建模能力，如果主業不是做安全的，但是又受套利嚴重影響的電商公司，可能還是要構建一個端對端的整體風控方案。也就是從底層的決策引擎到上面的風險資料，再朝上面建模，用智慧風控中臺來解決業務安全的問題。

5.還有什麼更新的對抗思路嗎？

郭佳楠：現在，我們有一種新的對抗思路：放羊，不直接對抗，分化打擊。

比如，黑產在註冊、登入時，或者要在到達購買路徑時的某個點上做點什麼時，我們不會直接在這個點上對抗，因為一旦跟他對抗，他發現了這個點，可能就會改變自己的策略，然後安全人員又會面臨著一次攻防升級，只要不是在最後的支付環節，在其他環節上，我們都會把它放過，可能它會突然發現這個券領不了了，或者紅包領得比較少，或者是下一次登入時，它就自動登出。我們會再把它慢慢放到我們的體系來，可能針對10%的壞流量用一種對抗方法，對50%用另外一種方法，40%用第三種方法，逐步分化攻擊，最終黑產不知道我們是在哪發現它的，也就無法進化成一個更新的對抗。

總體來說，對於大批“羊毛黨”以“假裝置+假註冊+高科技”薅取優惠券和現金券的行為，騰訊安全會從活動防刷、註冊保護、登入保護、驗證碼、作弊器識別五大方面，基於騰訊安全天御獨有的智慧風控系統和能力，在180毫秒內精準識別羊毛黨偽裝，並協助零售電商企業根據預先設定的營銷策略進行差異化處理，從而確保資金利用最大化，確保營銷效果精確性。

6.上面聊了很多業務安全面臨的威脅，新零售電商以前在基礎安全領域也受到過“暴擊”。搶券、簡訊轟炸、DDoS 攻擊、拼團砍價、黃賭毒曬單圖等依然是防護重點嗎？

郭佳楠：隨著零售電商企業線上與線下業務融合的不斷深化，零售電商線上平臺衍生的利益點和業務場景愈見寬廣。鑑於此，黑灰產對零售電商的覬覦也日趨體系化。

目前，黑灰產已形成了包含軟體開發與技術支援、賬號註冊與分銷、盈利變現等環節在內的產業鏈，除傳統針對基礎安全系統的簡訊轟炸、DDoS攻擊仍是防護的重點外，搶券、拼團砍價、黃賭毒曬單坑爹圖等業務場景下的安全問題也成為當前零售電商行業安全防護的重中之重。

與此同時，來自以刷單為主要形式的網賺團伙欺詐和作弊引流的KOL作弊等全新黑產操作方式，也給業務風控提出了全新要求，營銷風控成為零售電商黑灰產對抗的核心痛點。

7.競爭對手向電商發起 DDoS 的情況常見嗎？遇到大促，使用者來一場人肉 DDoS 和競爭對手故意 DDoS的防護手段有什麼區別？

郭佳楠：使用者發起的 DDoS 攻擊多集中在遊戲行業，而零售電商行業遭遇的DDoS主要來源於競爭對手的攻擊。這種最簡單粗暴，不需要任何技巧的方式在商場時刻上演，別有用心的商家可以直接對競爭對手的伺服器發起DDoS攻擊，導致剁手關鍵時刻競爭對手的使用者無法正常買買買，最常見的現象則是業務停擺。

在防護手段上，針對使用者發起的 DDoS 攻擊，要加固安全系統，提升防護機制；而針對競爭對手的攻擊則一般通過無監督學習等 AI 手段對購買者畫像和行為畫像兩方面進行偵測，發現異常則採取對抗措施。同時，提升流量清洗防護能力和 BGP 接入線路效能，保證電商平臺即使遭遇 DDoS 攻擊時，也不影響業務順利進行。

像“雙十一”這種全年訪問量達峰值的購物節場景，騰訊安全推出重大節點定製化全程重保防護服務，通過滲透測試、資產核查、風險評估、修復指導以及7x24小時安全專家駐場值守與應急響應，幫助客戶提升抵禦流量巔峰時期密集型網路攻擊的能力，確保業務流暢進行和核心資料防護。同時，定製化靈活配置網路安全、主機安全、資料安全、應用安全及安全管理等全棧式基礎安全產品防護，讓惡意攻擊“無處遁形”，為企業構築牢固的基礎安全防護體系。

8.說點什麼震懾一下那些對電商搞破壞的黑灰產吧。

郭佳楠：我想送他們一本《刑法》。

……

乾貨就這麼結束了嗎？並沒有。你以為只有電商就遭遇了這種坑爹事嗎？在產業數字化轉型的大趨勢下，各行各業都會遭遇不同的安全痛點，騰訊安全重磅打造的「產業安全專家談」欄目，關注每個行業轉型升級的安全痛點，下期我們將聚焦最近大家最為關注的等保2.0，詳細講解過保指南，請大家拭目以待！