网络安全和数据安全:资讯、技术、法规、趋势。

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


万人攻防大战:淘宝优惠活动,沦为黑产盛宴

2017-01-16 17:32 推荐: 浏览: 144 字号:

摘要: 一周前,淘宝针对新注册用户,出了一系列的激励政策。 而活动很快沦为黑产“薅羊毛”的对象,并在一周内形成完整产业链。黑产从业者“一日薅出7千元”、“3日获利5万”。 而这一切得以实施的重点,是支付宝存在一个“非实名可转账”规则,这个规则被黑产利用,正在沦为洗钱通...

一周前,淘宝针对新注册用户,出了一系列的激励政策。

而活动很快沦为黑产“薅羊毛”的对象,并在一周内形成完整产业链。黑产从业者“一日薅出7千元”、“3日获利5万”。

而这一切得以实施的重点,是支付宝存在一个“非实名可转账”规则,这个规则被黑产利用,正在沦为洗钱通道。

在这场攻防大战中,淘宝步步为营,修改规则;黑产见缝插针,无孔不入。

攻与守之间,不仅需要斗智斗勇,还需深谙人性…

  01 黑产狂欢

一周前,淘宝对新注册用户,推出一系列优惠活动,其中一个是充值30元减5元优惠券。

活动一推出,立马搅动黑产链条,各大黑产群针对该活动,制定一系列薅羊毛攻略。

刷客小欣研究了一轮风控规则后,发现确实有利可图。

他从软件平台,购买了代注册和验证码收取业务,“一天薅出来7000元”。

黑客会针对各大平台的优惠活动,开发批量注册软件。

这些软件,汇聚到一些大的软件平台上,公开售卖。而这场淘宝的注册,除了注册机,还需要模拟器协同操作,成本价6毛到一块。

淘宝活动的第一天,类似小欣的刷客就大量涌入,在软件平台上批量注册领取优惠券。

而这些获取的优惠券,刷客的消化方式是,卖给一些淘宝的充值店铺。

比如一些淘宝店,充值30元,可打折到29元,而他们使用优惠券,只需要25元就能完成充值,净挣4元。

各大软件平台的背后,是一群卡商,他们负责采集卡、养卡,提供了这条产业链的养料。

卡商程金平,养了2万张卡。

养卡需要专业设备,行话称为“猫池”和“卡池”,猫池需要放在卡池中,联动操作。

程金平租了一个小平房,将卡池装上后,连接电脑,装上相应的软件,就可以利用手机卡批量注册。

▲ 程金平的工作室已初具规模

在这个20多平米的隐秘小房间中,卡池轰轰运转。每天晚上他将卡一张张取下来,更换新卡——这就是他的日常,小心翼翼养卡,就像浇灌自己的摇钱树,毫不马虎。

2万张卡,前期投入总金额,大概为40多万。

而这些卡,每个月都能为他滚动近30万的收入;遇到旺季,每个月能收入近百万。

除了冒一定的风险,这简直就是一个一本万利、坐地收钱的生意。

像程金平这样的卡商,在业内只能算小规模,还有一些大卡商,手里养着几十万张卡,“每日滚金几十万”。

一本财经(ID:yibencaijing)在《欺诈盛宴》中,曾经揭露完整的刷客产业链。

前端,刷客们去搜集信息,寻找平台漏洞,并消化赃物。

中端,卡商提供手机号,并滋养卡。

后端,黑客编写软件,通过平台公开招商。

每个人,各司其职,默契配合,提供自己的最大价值。

“每一次优惠活动,活动部门会根据需求,制定相对宽松的规则,”阿里相关负责人称,在活动执行过程中,发现问题,再不断修改规则。

而这也与阿里最新的9字安全方针“轻管控,重检测,快响应”,有莫大关系。

对于一家互联网公司来说,流量非常重要,说白了,任何促销和优惠,都是为了导流。

然而,如果制定过严的风控规则,会导致用户体验差,“让用户觉得我们没有诚意”;如果为了保证流畅的体验,规则放宽,必然会被黑灰产盯上。

这是一场人性的战争。

每一次活动或促销,都如过一次独木桥——左右权衡,在流量和风控之间,找到一个平衡点。

显然淘宝在第一天,还没找到这个平衡点。

活动第一天,淘宝的大数据安全模型就发现了“数据异常”,安全部门立即采取措施阻止了机器行为。

首日之战,以刷客的大获全胜结束。

  02 道高一丈

次日,机器批量操作被封杀后,战况却进一步升级——人力羊毛大军开始涌入。

针对淘宝的第一次封杀,羊毛大军在群里、论坛里讨论应对之策。

“自己用新手机,或者去买一些淘宝新号,就可以操作”,网友小朱研究后,发现还有漏洞可钻。

机器注册被封杀,还有漏网之鱼,那就是以前注册,尚未使用的号——很多人将这些号囤积,就是为了这样的优惠活动。

这样的号,行话叫“白号”。

很快,各大黑产群中,开始传播购买支付宝、淘宝白号的链接,一个账号的售价仅需0.8元。

而小朱就如此靠销售白号,3日获利5万元。

用白号领取红包后,按照道理,还需要再支付25元,才能使用“充值30减5元优惠券“。

此时,就需要实名验证,绑定银行卡——如果非实名,甚至接收不到其他账号的“转账”。

淘宝白号,根本不可能实名,如此,岂不是无法进行下一步操作?

小朱称,永远是,道高一丈。

刷客们发现,支付宝的一个规则,可以成功绕过实名注册,完成转账支付:

只需要PC端上登录支付宝,用实名的支付宝账号,给白号发送一个红包,就能将钱转过去。

▲ 可以用红包抵扣,完成支付

这个红包虽无法提现,但可以用于支付宝消费。

摸清了这个规则后,在各大刷客群里,大家疯狂出售白号;各大论坛的教程贴,也有近万阅读。

此时,淘宝也并非坐以待毙。

阿里的相关负责人称,他们也在摸对手招式,不断修改规则,但也要尽量避免误伤正常用户。

为此,淘宝再次升级风控规则,以前批量注册的白号,也被挡在了活动之外。

  03 另辟蹊径

刷客们在论坛上抱怨:“规则又改了,黄了黄了”。

大戏就此落幕了吗?远未结束。

话费被封堵后,新用户还能领取一项优惠,就是淘宝外卖的“粮票”。

一个新用户可以领取三四张,最好用的一张是“满20.1减少20元券”,“满15.1元减15元券”,可用于外卖预订。

刷客一拥而上,领取优惠券后,在群里或网上销售。

▲ 群里各种花式揽客

 

▲ 网上公开售卖

而购买者,再从淘宝外卖中下单——刷客和购买者,便分食了优惠。

值得注意的是,两种作弊式的操作,都依赖于“网上红包”功能,成功绕过实名制的硬性门槛,直接消费支付。

而这个规则,也正在成为黑灰产交易洗钱的一种方式。

黑客小C称,有些小额交易付款,对方都会要求用网上红包的方式转账,“这种方式最核心的点是,你无法获取对方的真实身份”。

黑市交易中,匿名性是一个极为重要的诉求。

“目前,网上红包一次可发980元左右,也可多次转账。如此,几千元的黑市交易,用这种方式走账,极为方便,”小C称。

针对以上情况,支付宝也给出了相应答复。

目前,支付宝账号绝大多数已完成实名制,仅有极少数未实名制账号,相关负责人称,“对于这些未实名的账号,我们会不断引导其完成实名”。

至于“网页红包”绕过的规则,支付宝答复称,这些网页红包产品,是以抵用券的形式发放到账户,并非转账,无法提现,只能用于购物消费。

针对可疑的转账交易,尤其是大额的,支付宝有一整套反洗钱风控系统进行监测和防范,会根据实际情况不断地优化和升级。

尽管支付宝有一定规则,但“网页红包”在这次羊毛盛宴中,充当了核心角色。

  04 攻防大战

持续一周的时间,淘宝与黑灰产之间的斗争,至今未落下帷幕。

淘宝每一次修改规则,刷客们就再寻新路,无孔不入。

“我们不停观察他们规则,我们的核心逻辑就是,模拟真人,做得逼近真人,让他们防不胜防,”小朱称。

而对手,需要从鱼龙混杂中,去筛选出哪些是真实意愿用户,哪些是薅羊毛刷客。

这场攻防大战,不仅仅是斗智斗勇,还需要深谙人性。

这场战争何时结束?

直到刷客薅羊毛的成本,高于优惠成本。

而这次大战中,刷客的成本在不断提高,从0.6元软件平台的服务,到0.8元淘宝白号购买,最后淘宝封堵规则后,只能从网上花8元购买粮票。

淘宝的活动尚且激战至此,更何况其他平台的优惠活动?几乎每一次,都成为黑产的狩猎之物。

“任何优惠活动,都不能完全杜绝羊毛党,”通付盾的CEO汪德嘉称,所谓的风控产品,就是一项“人性的艺术”,需要平衡多方需求。

收得太紧,流量减少,正常用户会被误伤,或因为体验不流畅放弃;放得太松,则黑产涌入。

且不说流量和风控之间的权衡,每个平台之间,都有两股势力博弈:

有时候,是运营部门和高层,他们需要给领导上交一份“完美的数据”;

有时候,是高层和VC投资人,他们需要向VC证明业务繁荣,以拉升估值。

一些羊毛党,也和多个平台结为“盟友”,对方发布促销活动,都会知会一声,“欢迎来薅”。

“很多平台的活动,30%的用户是真的,我们尽量做到数据反一反,保证70%是真实的,”汪德嘉称,在风控中,只能做到抓大放小。

各大互联网公司的安全部门,和黑灰产激战多年,其中也不缺卧底、暗访的惊险细节。

然后,一切都是治标不治本。

黑灰产如此堂而皇之地窃夺互联网时代红利,却没有任何法律的监管。

尽管在最新的网络安全法中,对网络安全要求有了进一步提升,却对刷客、羊毛党这个群体,没有明确法案约束。

最关键的是,这个群体寄生在网络上,匿名性极强,追踪、取证都太难。

联系站长租广告位!

中国首席信息安全官
Copy link