頂象防禦雲業務安全情報中心監測到，多個網約車出行平臺存在作弊軟體搶單、空跑刷單等欺詐行為，不僅損害乘客利益，更嚴重影響平臺正常運營。

據頂象防禦雲業務安全情報BSL-2022-a3c7號顯示，部分網約車平臺上的司機與黑灰產勾結，透過作弊工具，擷取長距離的訂單，造成大量短路線的訂單無人接。同時部分車主利用軟體模擬行程“空跑刷單”，騙取平臺的任務完成獎勵，獲取虛假訂單的評分。

網約車飛速發展的10年

網約車是綠色出行的模式，提供專車、快車、計程車、順風車四類服務模式。在為人們提供了便捷高效的本地交通服務，有效提升城市服務服務水平，有效減少碳排放，符合碳達峰、碳中和遠景目標。

網約車伴隨移動網際網路和雲端計算普及而生。2013年第一家網約車公司在杭州出現後，網約車進入粗放式發展階段，從遍地開花到補貼大戰，快速完成了對使用者的普及。2018年後，網約車進入深度競爭階段。透過一系列市場化的併購、倒閉出清，網約車形成了全國運營商和區域運營商並存的多方格局。

截至2022年6月，全國共有277家網約車平臺企業取得網約車平臺營業執照，各個地區累計發放網約車駕照453萬張，車輛運輸證183.7萬張。主要有滴滴、T3、神州、首汽、曹操等品牌服務商。同時，還有美團叫車、哈囉出行、高德地圖、攜程叫車等多個聚合平臺，先後對接了多個網約車品牌。

作弊工具搶單、模擬行程刷單

網約車的蓬勃發展為帶來了便利的同時，也滋生了諸多安全隱患。頂象防禦雲業務安全情報中心監測到，多個網約車出行平臺出現司機刷單、訂單作弊等風險，不僅損害消費者利益，更嚴重影響平臺正常運營。

據頂象防禦雲業務安全情報BSL-2022-a3c7號顯示，部分網約車平臺上的司機與黑灰產勾結，透過作弊工具，擷取長距離的訂單，造成大量短路線的訂單無人接。同時部分車主利用軟體模擬行程“空跑刷單”，騙取平臺的任務完成獎勵，獲取虛假訂單的評分。

第一種，利用作弊工具搶單

部分網約車平臺是以搶單的形式，將“立刻出行訂單”或者“次日預約訂單”分發給網約車司機。當乘客透過App上發起出行需求後，訂單會流入訂單大廳，訂單大廳自動匹配出乘客行程始發地所在地區周圍的網約司機。網約車司機在收到網約車平臺的訂單推送後，點選司機端App就能夠獲取到此訂單。

當非高峰時段，部分地區會出現“僧多肉少”的情況，此時手速慢的司機往往搶不到訂單。而在上下班高峰時段，也會出現獲得的訂單是前往擁堵路段，很多司機內心會比較抗拒。

透過黑灰產提供的搶單作弊工具，網約車司機能夠根據喜好設定篩選訂單，並可以實現自動化的快速搶單。例如，部分網約車司機會遮蔽短距離、小額度的訂單，專搶長距離訂單；部分網約車司機會設定路線範圍，遮蔽高峰時段的擁堵路段訂單；部分網約車司機會設定為只搶企業訂單，因為企業使用者對於路程、費用不敏感，司機可以透過繞路、延長服務時間賺取更多車費。

此外，透過黑灰產提供的行程作弊工具，網約車司機能快速更改司機的實際GPS定位，將地理位置更改在機場、火車站等附近，結合網約車平臺的訂單推薦邏輯，幫助司機快速搶到長距離的大額訂單。

這樣作弊的搶單方式不僅干擾了平臺的正常運營，同時嚴重影響了乘客的使用體驗。時常會出現短途距離長時間沒有司機接單，接長途距離單的司機並不在乘客周圍，造成乘客長時間等待的情況。

第二種，利用模擬工具刷單

網約車平臺為了保障乘客的出行體驗，通常會對司機的服務質量進行考評，乘客的評價分是重要的衡量標準，會直接影響後續平臺的派單和司機的接單。乘客一次“中評”或者“差評”，往往需要若干個“好評”才能彌補，因此司機非常重視。

同時，平臺為了激發司機接單的積極性，從而完成更多的訂單，會對每日接單數量進行任務要求。按要求每日完成一定數量的接單任務後，平臺會發放一定金額的獎勵金給到網約車司機。網約車司機因為一些原因導致服務分下降，或者沒有按規定完成當日的接單任務導致無法拿到獎勵金的，會嘗試透過購買黑產的刷單服務來提升接單數量和服務質量分。

透過黑灰產提供模擬器工具，網約車司機可以篡改手機GPS的地理位置，偽造乘客訂單，並偽造行駛路線，包含直線、轉彎軌跡、執行速度自由調節、動態速度行駛、行駛速度等。如果網約車司機有多個賬號和手機，結合搶單作弊工具，就可以坐在家中能實現訂單自發自搶、空駛刷單。

模擬行程的虛假訂單，不僅幫助網約車司機完成平臺考核任務，輕鬆獲取平臺獎勵，更可以獲得虛假的好評。

黑灰產不僅非法牟利，還給乘客帶來出行風險

頂象防禦雲業務安全情報中心追蹤發現，為了吸引網約車司機購買作弊工具，黑灰產會在論壇、社群、電商平臺進行推廣。在明確需求後，傳送購買連結，並提供完整的安裝使用教程。

黑灰產的售賣方式主要有兩種，一種是以按月充值。購買者在指定卡券交易平臺購買作弊工具的啟用碼，輸入啟用碼就可以使用1個月，到期後可以繼續購買啟用碼。

另一種是永久授權的形式：購買者一次付費，可以免費使用一生。不過，很多購買者在使用一段時間後，相關作弊工具會突然終止服務，導致無法繼續使用。由於購買者已對作弊工具產生依賴性，只能再次重新購買。

為了突破網約車平臺的業務安全防控，黑灰產還會建立購買者社群，相互交流使用心得，以不斷升級作弊工具。

除了售賣作弊的工具牟利，黑灰產也會親自下場搶網約車訂單。利用搶單作弊工具，可以用搶到大量的次日出發的預約單，然後在社交群中將訂單賣給其他網約車司機，中間賺取差價。

除了非法牟利，黑灰產的作弊工具還帶來社會影響。由於為作弊工具提供推廣、售賣的網站，大多經營著不合規的網約車相關服務。不合規的司機和車輛透過黑產提供的服務加入網約車隊伍，給乘客的出行安全帶來極大的安全隱患。

頂象防控建議及措施

基於黑灰產欺詐方式和作弊手段，頂象防禦雲業務安全情報中心建議網約車平臺在客戶端、通訊傳輸環節進行防範，同時在業務側進行防控，進一步防範黑灰產的欺詐行為。

安全保障建議

終端風險環境監測。針對搶單、刷單類的作弊軟體，客戶端可整合安全SDK，使其定期對App的執行環境進行檢測，對於存在程式碼注入、hook、模擬器、雲手機、代理、VPN、root、越獄等風險能夠做到有效監控和攔截。

通訊傳輸安全保障。黑灰產在業務通訊傳輸的環節，可能會嘗試篡改報文資料。透過對通訊鏈路的加密，可防止終端安全檢測模組的資料被篡改和冒用。

業務安全策略防控。針對作弊工具搶單、模型行程刷單的風險特徵，可將其請求接入實時決策引擎。將終端採集的裝置指紋資訊、使用者行為資料等傳輸給風控系統，透過在風控系統配置相應的安全防控策略，有效地對風險進行識別和攔截。

風控維度建議

裝置終端環境檢測。識別客戶端的裝置指紋是否合法，是否存在注入、hook、模擬器等風險。

使用者行為檢測。基於使用者行為進行策略布控，針對同裝置切換大量賬號進行訂單發起的賬號進行布控，對當日訂單價格只在某一範圍內或訂單隻在某一區域內的司機賬號進行監控。

名單庫維護。基於業務安全防控歷史資料，對於存在異常行為的司機賬號和乘客賬號進行標註，沉澱到相應的名單庫，在後續的策略中進行重點排查。

外部資料服務。對接外部手機號風險評分資料服務。

風控模型。線上資料有一定積累以後，透過風控資料以及業務的沉澱資料，對乘客下單行為、司機搶單行為進行建模，模型的輸出可以直接在風控策略中使用。

處置建議及解決方案

基於網約車業務特徵，頂象防禦雲業務安全情報中心提供兩種處置建議。

靜默資料監測。識別到風險後不即刻實時反饋結果給到使用者，由後臺統一收集沉澱，並進行使用者的標籤標註。後續對於存在異常的司機或乘客，對後續的接單和下單進行策略干預。

線上實時反饋。對搶單時識別為風險的請求進行實時攔截，直接反饋搶單失敗等。

在產品防控防控上，頂象防禦雲業務安全情報中心建議網約車平臺可以選擇如下兩種組合方式。

裝置指紋+決策引擎。裝置指紋可以針對端上風險進行識別，例如注入、hook、模擬器等，配合決策引擎使用，可以實時發現風險並給予處置。

業務安全感知防禦平臺（移動版）。業務安全感知防禦平臺可以識別發現移動端風險，不僅可以覆蓋裝置指紋產品發現的風險，而且無需決策引擎，可以直接對移動端風險進行處置。