漏洞研究类用户:薅羊毛的手段与防范自动化薅羊毛的重要性
5、漏洞研究类别
这类用户主要研究活动规则的漏洞,也可能会添加一些技术手段。与黑客不同的是,系统可能没有漏洞,只是没有得到适当的保护。或者活动规则设计得不好,无法盈利,比如信用卡维护。
当然,养卡有其深层次的原因,平台也需要这些活跃用户。这种相互依存被认为是相互依存。
如果抽象一点的话,可以分为两类:手动和自动。
手工采毛,即人肉采毛,依靠各组集中,羊头组织分配任务。其他人只需要抽出一些时间来参与即可。自动意味着创建一组可以在特定活动期间启动或在某些平台上长时间运行的程序。
本文主要讨论如何防止自动化掠夺,因为除了黑客之外,这种掠夺方的危害性是最大的。防范黑客这个话题太大了,没有固定的解决方案,讨论是没有用的。
目前还没有什么好的办法可以收割人肉、完成任务、刷单等等,毕竟都是真实的用户。除非有明确的行为数据模型可以命中,否则只能算是普通用户,后面会提到。
2、操作手段预防
我们都知道,羊毛党的危害性很大,尤其是对于运营活动来说。它们造成的最常见问题是运营成本失控、数据样本失真、垃圾邮件账户混淆以及对公正性失去信任等。
其中,运营成本失控,如果管理不当,就有可能拖垮公司。数据统计的失真也导致无法清晰判断后续操作策略。羊毛党的蜂拥而至,也会降低真实用户的热情和忠诚度,将平台榨干。
防范毛茸茸的人,最重要的是控制利益的诱惑,避免直接利益,比如红包、电话费等。
对于优惠券之类的,用户需要购买才能使用,诱惑就不大了。除非是50%以上的折扣或者大额现金券。
此外,您在购物时还需要填写明确的送货地址等个人信息。 会更加谨慎。
因此,在制定营销活动时,必须制定完整的业务规则,并设置相应的活动门槛和限制,例如:
1. 用户组限制
定义哪些类型的用户可以参与活动并指定清晰的划分线。对于具体活动,可适当提高参与门槛。
比如V2以上的会员可以参与,有购买记录的可以参与等等。这种操作主要针对特定群体的成员,排除用户的体验不太好。
2.客户端版本限制
定义哪些APP或小程序版本可以参与。例如:新的招聘活动要求您必须使用最新版本的APP注册才能获得奖励。
3. 次数/上限
从账户层面、设备层面、实名信息层面明确参与活动的上限和参与活动的频率等。
用户对活动的期望必须控制在合理的范围内,控制上限,才能有效防止羊毛党。例如每个账户的上限、每日活动预算的上限等。
活动规则还应明确,如发现有人存在刷单、刷票等违规行为,平台有权取消其参与资格或相应奖励。这样,对于异步发放的奖品,可以在发放前检查数据,筛选出可疑用户。
最后,对于所有活跃数据,在开发前明确哪些数据需要监控。不然活动已经开始了,没有提前埋好的东西肯定拿不到。
作为操作者,你必须对数据极其敏感。如果出现用户数量或参与度突然增加的情况,一定要小心是否有流氓攻击你,而不是光顾着玩。
3、技术手段预防
我们可以先简单看一下腾讯云防刷卡接口对风险类型的定义:
通过技术手段,最常见的是频繁刷接口、恶意注册账户、撞库等。这种毛线党一般维护大量卡,或者拥有很多虚拟编码平台,可以提供手机号+验证代码服务。有的还可能拥有大量动态IP地址、海外服务器、批量身份证;还有专业设备叫“猫池”、“卡池”。
对于移动业务,不少此类企业还采购大量实体手机,然后通过软件批量控制,这就是所谓的“群控”。对于这种毛线党、黑灰产品,传统的防护方式一般有三种:封IP、封用户、加验证码,下面分别讲解。
1. 屏蔽IP或IP范围
对于异常IP,我们可以直接通过技术手段进行封堵。
目前大多数网站的接入层都是,所以可以考虑使用deny配置来禁止IP或IP段:deny 1.2.3.4;否认 1.2.3.4/24。
如果运维层面操作不方便,也可以在应用层屏蔽请求,让WEB容器来处理。
这里需要注意的是,封锁IP或IP段是有风险的。许多公司都有统一的出口IP。如果公司很多人同时访问一个网站,可能会被误伤。对于共享WIFI,一些移动基站也可能有固定的出口IP。
因此,最好不要轻易封锁IP或IP段。
2. 禁止用户
我们可以根据某些特定的规则来过滤和识别出一组用户,并对他们进行一些限制。
可以采用黑名单机制,或者用户风险分级、信用分级等,然后根据黑/白名单或者用户级别来限制特定行为,比如完全拒绝服务、限制某些功能、限制奖品等。
用于禁止用户的标志有多种类型。最基本的就是如果用户登录了,就可以直接禁止该账号。如果没有,则可以通过指纹来识别设备。
根据平台的不同,设备指纹可以是PC上的浏览器指纹、移动端的IMEI、MAC地址、UUID等,也可以是结合这些条件计算出的密钥,使其无法伪造,然后进行验证密钥请求期间密钥的合法性。性别。
网络环境也是一个因素。在 WIFI 和 4G 之间切换或更改网络 IP 都可能成为拒绝服务的理由。这种情况在银行APP中最为常见。如果您切换网络,银行APP一般会要求您重新验证身份后才能继续操作。
但目前市面上有各种修改软件和模拟器,可以不断修改设备信息,让一般的设备指纹失去作用。
这种方式的风险在于,规则要慢慢制定,过程中难免会出现遗漏和误杀。操作不当可能会引起大量投诉。因此,最好采用这种方法宽进严出,假设所有用户都是好的,然后慢慢收紧,以识别明确的恶意用户。
对于可疑但不确定的用户,可以先标记级别;然后分别观察这些级别的后续行为,然后增加或减少它们的级别;然后根据不同程度限制行为。
羊毛用户的识别标志可以是基础数据是否完整,比如信息是否完整,是否有真实可信的昵称、手机号码等。看行为数据,比如鼠标点击、鼠标移动、按键次数、每次签到是否有固定时间等。
更高级的,可以实现全路径实时控制策略,从APP启动、账号注册、登录,到业务场景(如直播人气/电商销量排名等),到设备风险(篡改、虚拟机、装备场、积分墙等)设置层层关卡,全栈防范欺诈。
3.添加验证码
验证码的种类很多,往往会添加到重要的操作流程中,如注册/登录/绑定卡/支付等。
大家应该都经历过各种验证码,比如注册用户时的拼图滑块,我不是,手机验证码,图片验证码等。
第三方授权的功能也是天然屏障,比如微信授权、QQ登录授权。这样一来,恶意用户就需要先经过第三方验证,这至少在访问频率和账户真实性方面又增加了一道屏障。
如果业务允许,还可以要求用户进行实名认证、密码安全验证等。
当然,步骤越多,体验就越差。
验证码的主要作用是区分操作者是人还是机器。
但不同验证码的难度差异很大。对于普通手机验证码,有专门的编码平台可以提供“手机号+验证码”服务,而且都是程序连接、自动执行。
对于通用的图片验证码,也有很多公开的图片验证码识别服务。因此,各个平台上的验证码变得越来越复杂,达到了人类难以识别的地步,体验也很差。
4、系统限流
限流只能在一定程度上缓解,或者说让风险可控。主要是防止恶意请求流量、恶意攻击,或者防止流量超过系统峰值而破坏系统。
上一点中的第一点IP封禁,也可以理解为限流的一种。在接入层直接拒绝,对系统资源的损失最小。对于网络流量,可以使用模块进行限制,防止过多的流量渗透到后端应用程序。
常用的限流算法有两种:令牌桶算法和漏桶算法。
令牌桶算法是一个固定容量存储令牌的桶。单位时间内只有持有代币的人才能通过,超出的代币将不会被分配。漏桶算法是单位时间有固定的流出次数,与流入无关。
那么无论网络请求的数据量,新用户的数量,还是发放的奖品数量,都可以用这两个思路来限制(这里是系统架构的知识,就不去说了)到细节)。
5. 离线数据分析
如果活动已经在进行中或者已经结束,但感觉有些不对劲,就需要通过线下数据分析来仔细辨别是否有羊毛党。
数据从哪里来?
前面提到,除了活动所必需的数据之外,如果想要更深入地分析用户行为,在需求设计阶段就必须思考要记录哪些行为,以方便后续分析。如果系统不提供这些能力,显然就没有相关数据可供分析。
6. 综合解决方案
一个完整的风控方案不仅要考虑用户体验,更要考虑效果。需要考虑很多方面。因此,有很多大大小小的公司专门提供这方面的解决方案,比如腾讯、阿里巴巴、网易等。
另外,提供此类业务的公司也有很多。搜索“抗起球羊毛”会找到很多这样的产品。这些解决方案的基本原理与上述技术相同,只是数据库更大,加上机器学习和大数据分析,可以更准确地识别恶意用户和黑用户。
以下内容(6.1 – 6.4)来自网易易盾《全链路风控解决方案深度解读》中提到的风控服务,不代表本人观点,仅供参考。文末参考文献中有文章链接,感兴趣的同学可以查看。
事前预防:通过数据采集收集用户侧信息,通过业务规则限制参与活动的门槛,通过身份验证确认用户身份,预防风险事件的发生。
过程中检测和处置:通过实时在线手段检测风险,并进行相应的风险处置,防止风险事件的发生。
事后分析反馈:基于长期线下数据分析,计算出用户侧、设备侧、IP侧、业务侧的各种风险特征,用于事前风控和事件风控。
6.1 注意事项
预防主要涉及三个层面的事项:数据采集、业务规则、身份验证。
a) 数据收集
业务活动的各个阶段都需要采集数据,主要包括设备指纹、操作行为、网络数据、业务数据、第三方数据等。采集的数据主要用于事件期间的风险监控和线下分析事后。
b) 业务规则
制定营销活动时,必须制定完整的业务规则,并且要有相应的活动门槛和限制,例如:
◆ 用户组限制:定义哪些类型的用户可以参与活动,并明确边界。例如:电商促销中经常出现的优惠券,需要账号等级>3且当年购买次数>2才能获得等。
◆ APP版本限制:定义哪些APP版本可以参与。例如:新的促销活动要求您必须使用最新版本的APP注册才能获得奖励。
◆ 参与次数限制:在账号层面、设备层面、实名信息层面明确参与活动的上限和参与活动的频率等。
c) 身份验证
身份验证主要是确保是参与活动的用户。主要方式包括:手机短信验证;验证码验证;密码验证;安全问题验证;本地验证:验证手机号码对应的SIM卡是否在当前设备中使用;实名认证分为三种:身份证OCR验证、身份证OCR、人脸验证、身份证OCR、活体检测;个人信息。
6.2 过程中检测和处理
过程检测主要依靠人机识别、风控引擎、风险处置三种手段。
a) 人机识别
人机识别主要区分是人还是机器的自动化行为。在客户端与后端的数据交互过程中,增加了以下数据保护方法。一旦发现数据有问题,就会是机器行为。数据合法性验证;数据加密和解密;数据篡改检测。
b) 风控引擎
持续检测的核心工具是风控引擎。风控引擎的主要工作是识别风险。一般风控引擎需要具备以下功能:
◆名单服务:建立黑名单、白名单、灰名单;
◆画像服务:建立基于IP、手机号码、账号等级别的画像服务;
◆ 指标计算:一般包括高频统计、求和、计数、平均、最大值、最小值等;
◆ 风控模型:根据收集到的数据,建立风控模型,如:设备模型、行为模型、业务模型等;
◆ 规则引擎:最终的风控数据进入规则引擎,由规则引擎判断是否存在风险。
风控运营需要根据业务建立各种风控规则来识别风险。
c)风险处理
识别出风险后,需要进行风险控制。治疗方法一般包括:
◆ 二次验证:例如,正常用户不需要二次验证,而风险用户则需要再次验证手机短信;
◆ 拦截:拒绝当前的业务操作;
◆ 减少奖励:例如正常用户奖励为1元,风险用户奖励为0.01元;
◆ 黑名单:直接进入黑名单;
◆ 名单监控:进入灰名单监控;
◆ 风险审核:进入人工审核。例如,电商场景下的订单业务、一般疑似风险订单,都会安排人工审核。
6.3 分析后反馈
之后主要进行离线分析,分析结果可以用于事件发生前的实时检测和预防。对于T+N业务(例如:新兵奖金提现),经过线下分析,如果发现风险,也可以拦截(拒绝提现)。
离线分析主要有几个方面:
◆ 离线指标:基于长期大数据的离线指标计算;
◆ 关联分析:根据相关业务和相关数据进行关联分析,识别风险用户和风险操作;
◆ 复杂网络:基于用户数据、设备数据、网络数据、业务数据建立复杂的关系网络,根据数据之间的关系识别风险;
◆ 模型训练:基于机器学习和深度学习技术构建业务模型、设备模型、行为模型或文本模型(异常地址检测、异常昵称检测)等;
◆ 榜单数据库:通过离线分析,积累、沉淀各类榜单数据库;
◆ 数据画像:基于离线分析,构建账号、IP、设备、手机号码等数据画像。
6.4 全链路部署与控制
全链路风控解决方案的另一个非常重要的流程是:全链路部署和控制。如果只搭建全链路风控模型(工具)而不进行全链路部署,那就大材小用了。
全链路部署和控制主要包括:
◆多业务部署:业务的各个环节都需要部署反欺骗措施。一般营销活动需要先注册登录,然后才能参与营销活动。因此,风控检测可以部署在注册、登录、营销活动等各种环境中。
◆ 联防联控:前端业务为后端业务产生事前特征,避免后端业务风控检测冷启动;后端业务为前端业务提供准实时、中长期风险特征等事后特征。
6.5 第三方解决方案的缺点
第三方解决方案的缺点是对系统的侵入,需要我们将大量的外部代码嵌入到自己的系统中。带来的风险是所有系统数据对外开放、用户数据风险、业务运营数据风险、系统可用性风险等。
一旦外部系统出现问题,我们自己的系统可能会变得不可用或数据泄露。如果您不能接受这一点,或者您不能信任第三方,或者您的公司政策不允许,那么您不能使用此服务。
4. 总结
最后我总结一下全文的提纲。如果您之前没有仔细阅读过,可以直接阅读这里。
一、适用范围
主要针对自动化羊毛收割的防御。
2、业务逻辑设计
谨慎开展吸引新用户的活动(吸引新用户奖励、注册奖励、关注奖励、新用户即时折扣、每日签到、签到、赚取积分、兑换积分、抽奖)。
3、系统设计
以上就是防范羊毛帮的全部相关技术。建议收集它们。最后我们回顾一下文章的背景:
5. 问答
问:
我应该使用第三方风控服务吗?
一个:
这完全取决于你的公司或业务的情况,包括对数据风险的承受能力、系统集成的难度、成本问题、招标等,具体情况具体分析。
问:
被拒绝的用户的体验如何?
一个:
这可以通过适当的灵活性来处理。如果不确定用户是否恶意,可以进行隐式限制,并根据后续行为继续观察和标记。对于恶意界面刷卡、刷票等行为,还可以返回令人困惑的错误提示,防止傻瓜猜测系统的判断逻辑。
比如我就遇到过一个刷票的界面。我尝试用技术手段,每次都返回投票成功,但实际上并没有发生,而且你也不知道为什么,因为没有具体的错误代码或提示。
问:
有限制自动化的具体例子吗?
一个:
微信PC客户端就是一个很好的例子。您可以尝试使用Key 或类似软件,但您会发现它的窗口无法捕获,因此很难编写自动化脚本。不过,在下,由于系统可以高度定制,所以这不是问题。
参考:
《全链路风控解决方案深度解读》
《文档中心-天域商业安全防护》
- - - / 结尾 / - - -
每一次“观看”都是一种鼓励▼