黑产,是一个新的职业,也是互联网羊毛党的统称,对于 WooCommerce 电商来说,黑产该怎么做相关的防范呢,本文里,Hishang 就来详细的跟大家聊聊黑产的那些事。

互联网带来了方便和快捷的同时也产生了夹杂其中的灰色,羊毛党式往往丛集作弊造成极大的损失,那么我们来了解一下黑产这个对手,再看下如何 PK 掉这个对手。

我们常说的互联网公司的风控部门主要为三方支付和银行支付环节的风控以及金融小贷的用户风控。金融小贷特别是涉及信贷, 借贷业务,常常能听到一个词语叫做高危/高风险客户,这类用户往往会被拒之门外,其风控本质是通过大资料描绘用户画像进行风控。

而三方支付和银行支付环节的风控更多的是偏向技术风控,在技术层面进行风险控制,防止整个交易链路被黑客入侵转移资金等。而在 WooCommerce 电商风控领域中,针对不同物件我们又可以分为用户和商户,针对用户域和商户域再进行区别化的防控措施。

WooCommerce 电商领域的用户风险域不仅指用户本身资质还涉及到用户操作行为,我们对这块用户风险域的工作概括为两个方向:WooCommerce 营销反作弊和内容资讯保安。

WooCommerce 营销反作弊通常指平台在进行促销/拉新策略时做的反欺诈工作,即反作弊风控。在实际风控过程中,咱们可能会发现大量的关于业务上的漏洞、技术上的漏洞、人为流程因素以及风险发生后产生的次生风险。本篇将详细描述用户风险域之 WooCommerce 营销反作弊。

互联网带来了方便和快捷的同时也产生了夹杂其中的灰色,咱们都知道平台做推广往往会有预算经费和 KPI 指标,其目的是为了留存用户细水长流实现长期盈利。而羊毛党式往往丛集作弊,一个 BUG 资讯在瞬间可以进行病毒式传播在极短时间内薅走具有变现价值的红包、优惠券。

笔者参与了大大小小无数场灰产薅羊毛,在其中见证了各平台 WooCommerce 营销反作弊的进化和迭代。攻守的双方都在成长和进步,从最初的家庭小作坊到现在明确分工、程序半自动流程化以及各层级的分销传播。想做好反作弊没有一定的实战经验,仅仅依靠零散的公众号文章和碎片化资讯,只会陷入不切实际的行动和理想化的策略。

引用《资本论》中邓宁格说过的一句话:只要有百分之五十的利润,就会引起积极的冒险; 有百分之百利润,就会使人不顾一切法律; 有百分之三百利润,就会使人不怕犯罪,甚至不怕绞首的危险的人。

知己知彼方能百战百胜。在进入战斗前,及时地检视相关对手的资讯非常重要。

灰产的群体和模式

如果有这么一门生意,不需要大额的资本,不需要复杂的商业计划,游离于法律法规之外,而它的收益是几乎没有上限且是纯收益,笔者相信任何有机会参与其中的人都会趋之若鹜。这群人我们常称之为羊毛党,对于羊毛党来说,薅羊毛的行为就像是日常工作。

“家庭小作坊”:一人多账号 (亲朋好友) 或者家庭亲友团

20 年前,某节假日杭城某泰搞大促。其规则大体就是商城大促期间每个自然人都有一份极优的折扣额度,但是商城为了保障更多的用户享受到优惠,对每个自然人的总优惠金额做了上限。

这显然低估了人民的智慧, “实惠” 当头,老百姓纷纷发动一切可以动员的力量。万万没想到,上至 80 老头老太下至 7 、 8 岁的小伢儿都积极参与这次商城大促。而这,也是笔者最早见识的家庭式作坊 “薅羊毛” 。

在目前 WooCommerce 电商时代非常典型,通过口口相传,将优惠分享给身边的人,也是众多 WooCommerce 电商平台愿意看到的现象。

“乡里包工头”:稍具规模以盈利为目的的羊毛团体

包工头往往通过传帮带的形式将一个个零散小作坊或零散人群进行收编,通过任务形式发放羊毛资讯,将回收的实物或虚拟物变现到相应的渠道,赚取中间差价。

作为羊毛群体中最广泛的群体,“乡里包工头” 还有一个常用俗称—羊头。众所周知,互联网金融行业获客成本常年居高不下,部分平台内部人员为了完成 KPI,甚至会直接联络羊头 (或代理) 进行谈判,通过羊头进行拉新促活以及募集资金。

这类羊毛党中较专业人士已经针对平台基础的反作弊措施进行了迭代优化。咱们常见的装置号识别,IMEI 号识别或者是其它一些 IP 地址、 Wifi 地址等,羊毛党都可以进伪装,一台装置就可以伪装出 N 台不同型号不同地址的 App,直接绕过中小平台甚至某些大型平台的风控检测。

而从平台方看,这些都是一个一个真实的装置,但其实这些资讯都是羊毛党通过软件编写好的没有价值的伪资讯。

“接轨国际小地主”:专业刷手,分工明确,自产自销

小地主显然比 “乡里包工头” 更胜一筹。要业务渠道人家是一手的,要技术支援人家也是一流的,俗称撸毛届扛把子。因擅长方向不同又分资讯流和技术流。

资讯流擅长资料采集资料分析同时辅以技术,譬如优惠券资讯各大主流 WooCommerce 电商平台以及银行推广活动,针对业务模式寻找业务漏洞,再利用技术手段迅速行动获得利益。

技术流擅长技术手段,针对活动背后的技术层面进行剖析,寻找技术上的漏洞和可能性,常见的有各类半自动化工具生产以及资料请求解密硬解等。

当然,因为合力才能断金,资讯流和技术流通常不分家。

目前,灰产届部分技术业务流相结合的团体,甚至可以利用爬虫甚至入侵资料库的形式,获取平台方资料库资讯。得到资料后,对资料进行整理筛选,机选出优惠券资讯和 “错” 价产品,因平台方业务漏洞等自身原因造成的 BUG,羊毛党发现后会在第一时间进行行动。比如:某 WooCommerce 电商的支付随机立减 4999 的名额,通过技术手段直接实现 100% 获得立减 4999 的名额。

当然如果某些平台漏洞过大则会在吃完第一口肉后立即将资讯传播给下一层级的羊头,毕竟出了事儿法不责众。合情合理的在规避法律法规后,最大限度的合法获利。

羊毛党的威力和危害

在行业内有一句话叫做 “薅上一天够吃一年” 。

羊毛党的危害举不胜举。分分钟撸垮上市公司的羊毛党不仅会对平台优质用户的造成损害,更重要的是严重危害企业生命线。

案例一:拼多多一夜被薅疼

1 月 20 号凌晨一点至 9 点 30 分,一则关于拼多多 100 元无门槛优惠券的线报刷爆羊毛群。薅上一天够吃一年,一场羊毛党的盛宴开启了。不限装置不限 IP 不限账号,皆可领取 100 元无门槛券。注意,这是领取,不是抢购。

截止 20 日上午 9 时许,拼多多工作人员上班后开始堵截漏洞。 21 日 9 时 30 分左右,基本完成作废领券& 无门槛券的使用。网传平台损失上千万,在后期平台对损失的大额变现的虚拟物品进行冻结并对变现实物的订单要求商户停止派发快递,把损失控制在百万内。

显然,拼多多的风控存在严重的漏洞。不论是在技术保障、策略流程,还是企业内部都存在不可推卸的责任问题。

另一面,也凸显出羊毛党的可怕,上市公司都 hold 不住羊毛党的群羊之势。

案例二:家教 O2O 被薅到倒闭

把时间轴拨到 2015 年,那一年 O2O 模式被资本热追。我们熟知的滴滴、 Uber 、美团、大众点评等都获得了数亿美元的融资,疯狂的补贴大战就此开启。 “兼职跑滴滴,月入 10W 不是梦”,打车 O2O 模式在那年早就了许多暴富的司机。

除了打车领域外,热切的资本迅速把 O2O 的这把火烧到教育领域,游戏开始上演,无外乎:

增长靠补贴;

刷单作假刷资料;

依赖资料再融资。

这一时期,至少出现了上百家家教 O2O 品牌,但是截止今日除了被收购外,剩下的企业几乎全部倒闭,能存活下来的零星几家那也是早早转型并将业务重心放在了其他领域的线上教育。

庆幸的是,对于目前稍微有点规模的 WooCommerce 电商企业,随意一场 WooCommerce 营销策划活动。不论技术保障、流程方案是否有漏洞,还是活动策划是否成功,或多或少大伙儿都会去做一些门槛设定。其实这已经是基本的反作弊风险意识了。

WooCommerce 营销反作弊,御守羊毛党

庞大的用户规模和大量的现金流动为 WooCommerce 电商行业贴上了 “非典型行业” 的标签,因此网络攻击、黑客入侵、恶意刷单等不法行为步步紧盯这块 “肥肉” 。尤其在节庆、大促等重要时间节点,WooCommerce 电商行业面临的风险和挑战将更加突出。

薅羊毛大都和业务强相关,从技术角度分析,手段并不新颖,但是通常由于 WooCommerce 电商企业产业链较为复杂,无可避免或多或少的 “BUG” 。

当面对这些羊毛党以及有组织的攻击,WooCommerce 电商平台何去何从? 我认为以下几点可以帮助 WooCommerce 电商平台更好的做好风险控制。

1. 建立完善全面的安全风控体系及模型

大多数中小型企业在做 “用户画像” 的时候,往往标签化用户,其标签评定来源用户填写的资料。这种单维且较少更新的 “用户画像”,相对价值较低,当咱们参考这类 “用户画像” 去做推到产品分析,往往会发生精确度和趋势与实际背离的情况。如果把这类资讯作为主要的安全风控模型,或多或少存在一定风险,不是一个严谨的选择。

对于用户资料,根据所提供资讯渠道来源我们可以分为明面资料和暗面资料。这里明面资料一般指注册资讯和实名认证,包括手机号、银行卡资讯等识别用户主要凭证。

暗面资讯指采集的用户资讯,这里一般指用户环境 (装置、网络、 sim 卡等) 和三方资料资讯。除此之外,根据用户资讯的变化情况我们还可以再分为动态资料和静态资料。

动态资料往往针对不断变化的用户行为资讯,比如消费资讯 (金额、偏好、时间等),通讯资讯 (联络人、通话记录等),身份资讯 (职业、收入情况、教育培训等) 。

不论是何种资讯,我们都有必要对资讯进行整合分类,在分类后进行属性的区分,主属性后还有子属性,就像一个树状图,当然这仅仅只是关于资料的整理。随后,咱们还需要对资料进行再加工,如下图所示:

目前,越来越多的安全风控体系通过对资料多个维度进行深度的挖掘,避免了前文提到的单维且较少更新的用户画像存在的风险。

2. 梳理产品线评审新业务,强化 WooCommerce 运营实现全方位资料监控

在上一篇《从产品流程上,覆盘拼多多的风控漏洞》中,有较为殷实的描述。

很多企业在迭代产品线前并未做好产品的架构导致整条产品线十分冗杂,当新业务上线无法做好到 “高内聚低耦合”,这就直接导致新业务很有可能产生新的业务风险。所以,不论新业务内容大小,都需要进行稽核评估,增加一层审批机制。

除此之外,越来越多的灰产从 “单核、无序、粗暴” 发展成 “有目标、有组织、有进退” 的三有的专业团队,这直接导致咱们做好风控工作的难度越来越高。所以,实现全流程操作实时监控就十分有必要。

从用户进入页面的的那一刻起,注册、登陆、领券、浏览、购物、仓配、评价到售后,每一个环节每一个步骤都进行统计。当某一个环节出现资料暴增等异常,就可以第一时间进行预警,控制风险的蔓延,并防止次生风险的发生。

3. 做好技术层面的资料介面流程及监控

除了产品及 WooCommerce 运营层面的风险防控外,技术层面的风险防控也尤为重要,作为产品笔者认为有必要了解一下相关的知识点。

著名的漏洞平台乌云网曾经有一个介面跨域导致资讯泄漏的案例:

简单介绍一下:在前后端分离架构中,介面等同于前后端联络的 “电话线” 。

核心关键资源,凡是资源的呼叫都与介面有关系;

凡是不是直接连线,需要 “桥梁” 过渡,均需要介面的辅助。

介面漏洞案例:

在我们使用 4G 上网的时候,常常见到网页下方某处悬浮 “流量助手” 、 “xxWooCommerce 运营助手” 等。这其实就是 xxWooCommerce 运营商进行了链路劫持,安插一些程序码。这个功能的本质是通过 jsonp 介面跨域资料请求,也正是这个功能,存在用户手机号码、流量使用状况泄漏,同时安插某些而已介面还会恶意消耗用户话费。

技术提升网络安全的方式:

采用 HTTPS 协议

金钥储存到服务端而非客户端,客户端应从服务端动态获取金钥

请求隐私介面,利用 token 机制校验其合法性

对请求引数进行合法性校验

对请求引数进行签名认证,防止引数被篡改

对输入输出引数进行加密,客户端加密输入引数,服务端加密输出引数

除了以上三点外,笔者认为咱们安全团队做好 WooCommerce 营销反作弊需要两手准备。一面咱们需要知己知彼,更深入了解灰产,熟悉攻击手法,制定有效的策略。另一面,随著业务体系的范围扩容,涉及面越来越广,这样那样的漏洞无可避免,这时总结经验教训尤为重要。

在开辟新道路的路上,有坑十分正常,当咱们跌倒了记得爬起来反思己身。常驻风控思维,面对未来道路有坑填坑有洞补洞,这样才能最大限度的完善咱们的产品线提高灰产作案门槛。