第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

頂象技術發表於2022-10-27



野蠻生長的短影片行業

不可否認,短影片相對於文字、圖片來說,更具感染力也更容易獲得使用者自發地傳播,也更符合年輕人充分利用碎片化時間瞭解社會和全民娛樂的心理,因此才能在社會文化中扮演越來越重要的角色。

近年來,隨著國內移動網際網路產業的發展與網路通訊技術的迭代,資訊媒介載體由文字、圖片一步步發展至今已全面進入影片時代,而短影片作為影片時代發展出的更適應行動通訊裝置的產品形態,在近2-3年來經歷了爆發性的增長髮展。根據CNNIC釋出的第49次《中國網際網路絡發展狀況統計報告》資料顯示,我國網民規模大10.32億,網際網路普及率達73%。截至2021年,我國短影片使用者為9.34億人,我國短影片滲透率為90%。

需要注意的是,短影片行業主要是資訊流模式,平臺本身對資訊流具有極強的控制能力,基於此,部分平臺開始上線廣告推廣業務,需要推廣的使用者選擇與平臺合作,平臺可以在資訊流中投放廣告推廣。

但暴利的廣告變現模式下,也讓黑灰產盯上了短影片平臺的生意。從基本的刷贊、刷粉、刷流量,到銷售工具軟體,再到與短影片平臺相關的牟利方式,幾乎都有黑灰產的參與,甚至已經形成了完整的黑灰產產業鏈。

刷票工具作弊,批次套現

那麼,黑灰產是如何透過作弊實現批次刷票的。

據頂象防禦雲業務安全情報BSL-2022-a3c11號顯示,黑灰產透過裝置牧場、代理IP、虛擬號、自動化工具來實現垃圾註冊、批次養號、自動化完成積分任務,並透過提供刷榜服務收取服務費。

一般流程是:

1、基礎資源獲取:黑灰產從“卡商”手上獲取大量的手機卡用於註冊,透過接碼平臺提供的服務批次獲取手機號驗證碼完成註冊。平臺攻擊使用的黑卡主要是物聯網路卡和虛擬卡,這兩種卡使用成本和獲取門檻都極低,比較受黑產歡迎;

2、獲取線報,瞭解平臺規則:事先了解平臺的積分獲取、紅包兌換規則,關注羊頭髮布任務和活動情況,等待時機:

3、註冊養號:黑灰產透過一系列的黑產作弊工具如秒撥IP、裝置牧場等工具對平臺進行自動化攻擊;

4、批次變現:黑灰產透過現金獎勵提現、積分、優惠券等實物商品、積分等經二手平臺進行售賣。

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

黑產作弊工具:機器刷票+人工刷票

其黑產作弊工具主要有兩種:

一種是機器刷票。

機器刷票,可以給指定投票活動自動迴圈投票的票輔助刷票工具,主要是透過程式設計模擬手工網頁投票然後進行自動投票的過程。搭配秒撥IP使用可實現突破IP限制,自動輸入驗證碼,自動投票,快速增加票數的功能,輕鬆實現短時間上萬票。

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

另一種就是人工刷票。

相較機器刷票,人工刷票成本更高,進而也發展出了兩種刷票模式。

一是透過 “賬號託管平臺”獲取大量真人賬號,可以託管的賬號包括微信、微博、抖音等,使用者只要將小號託管到平臺,平臺使用使用者小號“幹活”獲取收益,而使用者將獲得分成。二是釋出眾包懸賞、積分牆任務。

其變現鏈路主要分三步。

第一步:透過百度、論壇、電商平臺等釋出刷票服務資訊,增加服務曝光;

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

第二步:將有需求使用者引流至QQ群、微信群,在微信群完成需求溝通及交易,機刷價格一般在幾分錢1票左右,人工價格一般2元1票左右;機刷一般會要求1000票起刷,人工刷票100票起刷;

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

第八期| 藏在短影片背後的黑灰產:批次刷票、虛假流量

第三步實施刷票,完成交易。

頂象防控建議及措施

針對短影片平臺的黑灰產作弊手段,頂象防禦雲業務安全情報中心建議在終端、通訊傳輸端進行防範,同時在業務側進行防範,多場景全鏈路防控。

具體防控建議如下:

終端加固:

從客戶端安全考慮,App需要加終端加固。透過加固技術,實現端安全防護,如Android端的DEX檔案保護、SO檔案保護、資原始檔保護、資料檔案保護及程式執行保護;透過對APP中可執行檔案進行深度混淆、加固保護,讓黑產無法直接對App進行逆向、破解;

通訊傳輸安全保障:

在終端增加環境檢測等模組後,環境檢測模組產生的資料往往沒有和業務資料進行繫結,這就造成黑產有可能會篡改報文中的一些資料,所以本方案裡運用了一些安全手段,防止終端安全檢測模組的資料被篡改和冒用。

終端風險環境檢測

黑產會使用模擬器、注入等技術,結合秒撥IP池、自動化程式的方式進行批次攻擊;所以終端整合安全SDK以後,會對App執行環境進行檢測,檢查是否有程式碼注入、hook、模擬器、雲手機、注入、除錯、代理、VPN、root、越獄等風險;

業務安全策略防控

道高一尺魔高一丈,經過多次的攻防對抗,有些黑產會不惜提高成本繼續接攻擊,當黑產攻擊方式升級後,防控方案也要對應的升級;建議多場景接入業務安全風控,將註冊、登入、積分任務、提現、投票等關聯場景業務資料一同傳送給風控系統,透過風控系統配置安全策略規則進行完整鏈路營銷作弊風險識別,只傳投票一個場景的業務資料進行單場景防控,防控力度遠沒有多場景全鏈路防控力度強。

風控維度建議

裝置終端執行環境檢測,校驗執行環境是否正常,如識別指紋ID是否合法、端是否有注入、除錯、模擬器、VPN、代理等特徵,通常營銷作弊裝置大多具備以上特徵;

多場景行為檢測,裝置使用限制,如限制多賬號使用同一裝置註冊,多賬號使用同一裝置登入、賬號對應的裝置經常變化、IP短時間高頻訪問等行為維度檢測;

維護本地黑白名單,基於風控資料、歷史投票資料,沉澱並維護對應黑白名單資料,包括使用者ID,IP地址,裝置黑名單等;

外部資料服務,建議對接IP黑庫,投票場景黑產為了規避IP風險,經常會結合IP代理池一起組合使用,一票一IP的刷票方式,導致IP行為策略無法覆蓋,透過IP黑庫可以覆蓋此類代理、秒撥、機房及歷史黑產行為風險IP模型,線上資料有一定積累以後,透過風控資料以及業務的沉澱資料,對使用者行為進行建模,模型的輸出可以直接在風控策略中使用。

防控產品組合建議

裝置指紋+決策引擎:裝置指紋可以針對端上風險進行識別,例如注入、模擬器、除錯等,配合決策引擎使用,可以實時發現風險並給予處置;

行為驗證碼:據黑產作弊手段分析,該黑產主要還是以低成本的機刷作弊方式進行惡意攻擊,對於機刷,輕部署且最簡單的識別工具就是行為驗證碼,在批次註冊、批次養號、刷票、刷積分等業務場景,行為驗證碼可對請求進行人機校驗,可有效攔截此類黑產攻擊;

風險IP名單庫:機刷為了規避IP風險,經常會結合IP代理池一起組合使用,IP黑庫可以覆蓋此類風險IP。

——————
業務安全產品:免費試用

相關文章