“雙十一”購物節 電商平臺面臨的五大業務風險

頂象技術發表於2020-07-01

“雙十一”不僅是剁手黨的消費盛宴,也是黑灰產的牟利狂歡。電商平臺遭遇到的薅羊毛、刷單炒信、賬號盜用、惡意爬取等業務風險是平常的數倍。

“雙十一”期間,電商遭遇的什麼業務風險最多?頂象2018年第三季度業務風險監測資料顯示,惡意爬取是Q3所有業務風險中佔比最高的,排在第二位的是虛假註冊,其次是賬號盜用、推廣作弊及其他、薅羊毛等。

undefined

電商平臺面臨的五大業務風險

惡意爬取

最近爆發的馬蜂窩事件中, 揭露出旅遊平臺資料作弊的問題。從其他網站抓取頁面商家內容和使用者點評資料非常簡單,使用“爬蟲”技術和人工編輯就能做到。其實,這種惡意的資料爬取不僅發生在旅遊網站上,在電商、影片、航空、資訊、社交等平臺上也很普遍。

頂象2018年第三季度業務風險監測資料顯示,資料惡意爬取在所有業務風險中佔比超過65%。該監測與網宿釋出的《2018上半年中國網際網路安全報告》資料一致(其報告顯示:今年上半年,惡意“爬蟲”攻擊數量環比增長了55.79%)。由於網路爬蟲是程式化操作,24小時不停歇爬取資料,因此網站平臺遭遇的爬蟲威脅也不間斷。

資料是網際網路的重要資產,在智慧財產權日益受到重視的今天,資料被竊取給企業造成重大損失。這種惡意爬取消耗了大量頻寬和伺服器資源,給企業造成嚴重浪費。而被惡意爬取的資料不僅可以被黑灰產進行轉售,更可能被用於製作假冒的電商網站進行釣魚詐騙等。

虛假註冊

2017年9月,廣東省公安廳網警總隊查獲了某虛假註冊賬號的團伙。該團伙在某出行App註冊了數十萬虛假註冊賬號進行出售,這種不實資訊註冊的賬號,給平臺和使用者帶來經濟損失,也給社會治安帶來極大隱患。

虛假註冊是黑灰產進行牟利的重要工具。頂象2018年第三季度業務風險監測資料顯示,虛假註冊在所有業務風險中的佔比超過15.4%。

薅羊毛、惡意爬取資料、推廣作弊、網路欺詐等等都離不開虛假的賬號註冊。針對 “雙十一”、“雙12”、“618”等購物節,黑灰產會提前幾周或幾個月就開始進行大批次的註冊虛假賬號,以備薅羊毛、詐騙等牟利使用。

賬號盜用

賬號盜用不僅給平臺和使用者帶來直接威脅,也是薅羊毛、推廣作弊的牟利的重要工具。頂象2018年第三季度業務風險監測資料顯示,賬號盜用在所有業務風險佔比超過7.8%。

賬號盜用與賬號資訊洩露有非常大關係。今年發生了數起大規模的賬號洩密事件,包括華住集團、AcFun彈幕影片網等,涉及賬號密碼數億條,這些洩露的賬號很大一部分透過地下黑市流入到了黑灰產手中。

黑灰產拿到洩漏的使用者和賬戶資訊,進行洗庫、“撞庫”後,除了網路詐騙、電信詐騙,還會轉走賬戶內的餘額、積分等,更會操縱賬號進行薅羊毛、刷單、刷票、刷粉等。

薅羊毛

薅羊毛是網友們廣為所知且喜聞樂見操作。薅羊毛分兩種:一種是企業透過折扣促銷等的主動讓利,吸引真正的消費者來薅,從而提升交易規模,增強使用者體驗;另一種是黑灰產利用企業的業務漏洞,藉助技術手段,批次搶奪原本屬於使用者的優惠和福利,再轉售出去進行獲利。

頂象2018年第三季度業務風險監測資料顯示,各平臺遭遇到薅羊毛風險是在所有業務風險中比例達5.6%。

由於操作簡單、參與門檻低,薅羊毛已成為電商領域最大的業務風險之一。每年的“雙十一”購物節,為了避免影響消費者的購物體驗以及業務系統的穩定,很多電商平臺會削弱風控的力度,或是部分開放風控規則,由此暴露出更多已知和未知的業務漏洞,給了羊毛黨更多的可乘之機。羊毛黨更會利用更先進的技術手段、更大規模的攻擊力量來進行薅羊毛。

推廣作弊及其他風險

每年“雙十一”前後,各個電商平臺會公佈或處罰一批刷單炒信的商家。

2016年4月以來,杭州市西湖區市場監督管理局查獲四家涉刷單炒信的網站,涉案刷單金額累計高達1.2億元,涉案商家1.86萬家,涉案刷手6.36萬名;2016年9月,河南省工商部門查處了一個特大網路炒信團伙,虛構交易數近500萬單,總流水金額超17億元,涉及兩千餘個京東商家。

刷單炒信屬於推廣作弊的一類:商家為了提高銷量和增加使用者好評,僱傭網路刷手“購買”商品,然後將購買款返還並收回貨物,從而達到增加人氣、提升銷量的目的,也就是刷單炒信。

另一類是平臺的合作伙伴或內部人員,為了達到推廣目標,利用各種技術手段偽造推廣結果,騙取市場費用;部分進行資料惡意爬取的行為也是基於該目的。

頂象2018年第三季度業務風險資料顯示,推廣作弊及其他風險在所有業務風險佔比達6.2%。

預防業務風險的技術手段

針對惡意的資料爬取

惡意爬取可以透過技術手段防禦。

很多進行惡意爬取的爬蟲程式頭或者UA中,預設含有類似python-requests/2.18.4等固定字串;還有很多惡意爬蟲經常使用某些固定IP.....常規的技術性防護很容易被繞過,採用智慧驗證碼+實時決策引擎是目前比較有效的一種防禦組合方式。

智慧驗證碼能夠實時檢測訪問者行為,當某一爬蟲程式或虛假使用者訪問頁面次數過多後,系統就自動請求跳轉到一個驗證碼頁面,只有在輸入正確的驗證碼之後才能繼續訪問網站。再結合裝置指紋、決策引擎的等綜合判斷,實現對於爬蟲的有效攔截。

undefined

針對虛假註冊、賬號盜用、薅羊毛和推廣作弊

黑灰產的虛假註冊量非常大,會使用模擬器、群控、刷機改機後的裝置等手段,這些操作與正常使用者的人工行為有很多差異。而且,註冊賬號需要手機號碼,以進行註冊登入、實名認證、獎券禮品領取等,這就需要大量的“黑卡”(黑灰產用於批次操作的手機號碼)以及“貓池”裝置,進行批次的賬號註冊和繫結。

裝置指紋能夠有效偵測模擬器、刷機改機、團伙作弊等操作,防範裝置偽造、批次虛假註冊等惡意行為。而且頂象資料服務提供了5000萬風險手機號檢驗、1.2億風險IP檢驗服務,能有效攔截惡意號碼和風險IP的註冊。再利用智慧無驗證和實時決策引擎,能及時檢測到針對賬號的異常登陸、批次登陸、賬號盜用等惡意行為,有效防範黑灰產的盜卡盜刷、薅羊毛、推廣作弊等威脅。

此外,監管機構也有針對推廣作弊的監管規定。

2018年1月1日起施行的新修訂的《反不正當競爭法》中明確規定,經營者不得對其商品的效能、功能、質量、銷售狀況、使用者評價、曾獲榮譽等作虛假或者引人誤解的商業宣傳,欺騙、誤導消費者。同時,經營者不得透過組織虛假交易等方式,幫助其他經營者進行虛假或者引人誤解的商業宣傳。不久前,十三屆全國人大常委會第五次會議表決透過《電子商務法》,將自2019年1月1日起施行。該法律對規範電商領域各主體行為,維護電商行業市場秩序,引導電商行業持續健康發展都有重要意義。

相關文章