业务安全情报第16期 | 大促8成优惠券竟被“羊毛党”抢走!?

Posted 2023-06-01 顶象技术

近期，某电商小程序举办美食节营销活动，提供高额折扣券，并允许用户进行秒杀。然而，羊毛党团伙利用作弊手段，抢购囤券，然后倒卖变现，严重损害了商家的利益。

八成秒杀账户是羊毛党

根据顶象防御云编号为BSI-2023-rutq业务安全情报发现，某电商平台为吸引人气和促进销售推，推出高额折扣券福利，凡是注册用户均可免费领取。同时，为了进一步拓展影响范围，还一键分享到微信群，吸引更多人参与到领券的活动中。随着越来越多的人加入秒杀和囤券行列，羊毛党也开始利用作弊手段进行囤券，然后将抢到的优惠券低价出售牟利，由此给平台和商家带来巨大经济损失。
顶象防御云业务安全情报中心监测发现，该电商一天有3场秒杀活动。在秒杀活动的15分钟内，羊毛党开始聚集，最高峰时竟然达到95。开始前5分钟内，羊毛党账户最高达84.15%。秒杀活动结束后，羊毛党活动量骤降，风险量占比仅6.84%左右。
综合分析，参加促销抢购的羊毛党具有以下技术特征：
1、同一设备存在多个账号。监测发现，多个设备高频切换账号，其中某设备在10分钟内切换了1096个账号参与抢夺优惠券。
2、同一账号频繁更换设备。监测发现，某个羊毛党高频切换设备信息，其中某账号1分钟内切换了324个设备信息。
3、大量账号来自风险IP。监测发现，大量账号请求来自风险IP，占总请求量的11.07%，此类数据同IP平均关联用户数只有2个，平均下单次数仅5次。

羊毛党风险分析

一个账号对应一台设备，如果发现一台设备存在大量关联用户抢单的情况，就可以高度怀疑账号存在作弊行为，进而采取相应的制措施。同理如果一个账户频繁切换设备信息，就可能存在作弊的可能性。
IP地址是账户所在网络位置，一般是固定的。秒拨IP工具能够频繁更换地址，让攻击者可以伪装地址，规避业务安全规则的限制。通过对IP地址的监测与分析，能够及时发现该类工具的使用情况。
账户指纹token是基于设备信息、登录IP等因素生产的一种唯一标识码，一旦出现异常，表示存在刷接口等异常行为。
基于上安全规则，顶象防御云业务安全情报中心建议业务安全体系做如下调整。
1、快速识别异常风险。有效识别风险IP来源账号，异常token设备、异常行为的操作等。
2、及时拦截羊毛党账号。对异常操作、异常IP来源请求、异常设备请求直接拦截，中风险验证码升级二次验证，防止黑产批量刷。
3、实时优化安全体系。实时沉淀恶意手机号、恶意抢购账号、恶意IP地址等风险数据，及时补充到风控中，并适时调整安全策略。

安全防护及产品组合建议

基于安全规则，顶象防御云业务安全情报中心推荐如下防控产品组合。
1、配置设备指纹+决策引擎。通过配置防秒杀抢单场景策略规则，从黑产设备风险、设备关联多账号行为、IP批量刷任务行为、同设备、同用户、同IP频次限制等维度进行风险防控。
2、进行多链路联合防控。在注册、登录、秒杀这3个场景接入引擎联合防控，并将用户历史消费行为加工统计成离线表，供策略调用。
3、配置验证码。在登录注册等界面部署验证码，进行人机风险防控，识别并拦截机器批量自动刷风险。
4、接入IP地址库。对用户所关联IP进行风险匹配，识别代理、秒拨IP风险。顶象设备指纹通过用户上网设备的硬件、网络、环境等特征信息生成设备的唯一标识，覆盖安卓、iOS、H5、小程序，可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险，做到有效监控和拦截。
顶象无感验证集13种验证方式，多种防控策略，以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。汇集了4380条风险策略、112类风险情报、覆盖24个行业、118种风险类型，防控精准度>99.9%，1天内便可实现从风险到情报的转化，行业风险感知能力实力加强，同时支持安全用户无感通过，实时对抗处置能力更是缩减至60s内。
顶象Dinsight实时风控引擎可以在营销活动、支付下单、信贷申请等场景，对业务前端发送的请求进行风险判断，并于毫秒内返回决策结果，以提升业务系统对风险的防控能力。日常风控策略的平均处理速度仅需20毫秒，聚合数据引擎，集成专家策略，支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，支持多方数据的配置化接入与沉淀，能够进行图形化配置，并快速应用于复杂策略与模型；能够基于成熟指标、策略、模型的经验储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于系统+数据接入+指标库+策略体系+专家实施的实战；支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台。

---

业务安全产品：免费试用

业务安全交流群：加入畅聊

Question | 怎样有效杜绝“羊毛党“的薅羊毛行为？

“Question”为网易云易盾的问答栏目，将会解答和呈现安全领域大家常见的问题和困惑。如果你有什么疑惑，也欢迎通过邮件（[email protected]）提问。

不少商家都会在促销时发放大量优惠券，然而这些优惠券大部分会被羊毛党抢占。

导致真实用户享受到不了这些优惠，进而对平台产生抵触和抗拒心理，平台的品牌信誉度会受到损害。另一方面，由于拉进来的都是羊毛党，导致商家的投入大打折扣，用户的留存率、转化率等效果非常差。

那什么是羊毛党，又如何杜绝羊毛党对我们营销活动的薅羊毛行为呢？本期Question将带大家了解下。

1. 何谓“羊毛党”

1999年央视春晚小品《昨天?今天?明天》：宋丹丹饰演的白云大妈为了给老伴织一件毛衣，利用给生产队放羊的便利条件，揪羊毛搓毛线，被扣上“薅社会主义羊毛”的罪名。受这一人物的启发，人们便力图把每一分钱都花在刀刃上，享受精打细算乐趣的人群称为“羊毛党”。

“羊毛党”这个群体在2017年频频进入公众视野，指的是针对互联网公司的营销活动，以低成本甚至零成本换取高额奖励的人。从最初的抢夺免费福利和优惠券，到近年来扎堆P2P网贷平台，再到聚集在电商平台上，“羊毛党”也逐渐从分散个体向组团集聚发展，形成了有组织、有规模、有分工的职业“羊毛党”，甚至发展出了完整、成熟的产业利益链。

2.“羊毛党”的起源与发展

“羊毛党”兴起于2013年，蓬勃发展的O2O和电商为吸引注册用户，经常会进行投放红包、优惠券、免单等活动来吸收新用户，由于没有任何门槛和风险，引来大量网友参与。到了2014年，P2P网贷平台如雨后竹笋般出现，O2O也开始大爆发，“羊毛党”得到了迅速发展。推广费用高、收益丰厚的P2P成为“羊毛党”主要的进攻目标。

2015年开始，“薅羊毛”致富事件越来越多，引来更多的人关注并全职加入“羊毛党”。一人多套信息、倒卖隐私信息、虚假注册逐渐成为常态，各类注册、改号、刷单软件开始出现，“羊毛党”呈现专业化和团伙化趋势。

3.羊毛党的现状

如今的羊毛党以多种形式存在于网络里，采用伪造IP地址虚拟多台电脑设备，用软件同时控制多台智能终端做为肉机，在社区软件里组成关联群，招聘“兼职人员”。专业的羊毛党可以用极低的成本获取极高的收入，致使许多电商、O2O平台损失惨重，甚至被搞垮。

4.怎样有效杜绝“羊毛党”？

对于电商等平台的作弊，需要用三种途径分别解决：

a)【技术层面】检测是否模拟器，检测设备是否处于可以被篡改机器特征（尝试破解设备指纹）的环境中，检测网络特征是否位于同一网络环境下；

b)【业务层面】需要在注册、登陆、重点被刷的活动分别布防，以设备指纹为基础，检测是否有存在类似于设备注册/登录多账号类的高频特征，对账号进行打标，在后续的关键节点中再对账号进行处理，尽量避免和刷手进行面对面的***对抗；

c)【活动层面】分析历史作弊数据，优化活动奖励。对于作弊的流量，采用堵不如疏的策略，与其强硬的一刀切，不如提升***成本，减少获利。

网易云易盾实验室的技术专家以他们多年来积累的反作弊经验，总结了一套方法。

1. 动态数据保护

一种可以让破解者退而却步的方案是：设计一个动态的加密算法，每套加密算法有自己的生命周期，即使***破解了这套算法，咱们实际已经切换到下套算法，因此，***的破解也将毫无用武之地，必须重新破解才行。当然，这个方案还必须配合APP或SDK加固才能活得长久，相当于是给动态算法再加上一层保护壳。

2. 设备指纹追踪作弊设备

设备指纹是防薅羊毛的重要手段，如果能准确标记薅羊毛的设备，实际上对羊毛党来说是一个重大的打击。然而，目前市面上已经出现了各种改机软件和模拟器，能不断修改设备信息，让一般的设备指纹一无是处。但网易云易盾拥有一批专业的客户端安全团队，他们已经研究出了一系列的黑科技，能确保拿到底层的设备信息，能免疫目前存在的改机软件和模拟器。同时网易云易盾也沉淀了丰富的设备检测模型，能精确区分正常设备和作弊设备。

3. 行为建模鉴别真假用户

人和机器是两类事物，机器的行为总是有规律可循的。可以通过人工智能对触摸、陀螺仪的数据，以及浏览器上的鼠标移动、点击等行为，结合设备指纹、业务场景等进行建模分析。网易云易盾已经积累了非常丰富的人和机器的样本数据，训练出了高准确率的行为模型，能有效识别机器行为。

4. IP画像防止误杀真实用户

如果简单依靠IP来制定规则，则可能会误杀正常用户，毕竟大公司的员工都是共用一个或几个出口IP，再加上移动基站、公共wifi等共用网络资源，简单的IP规则可能导致大量的误杀。而实际，专业的羊毛党都会使用代理IP池技术，一个IP可能就使用几次，直接绕过IP层面的规则。但可以从另外个角度出发，就是对一个IP从网络层面和业务层面做画像，并通过评分模型，给每个IP输出一个风险值，基于动态更新的风险值来建立各种业务规则，可以有效识别作弊IP，同时尽可能的减少对正常用户的误杀。

5. 机器学习识别羊毛党团伙作案

除了修好城墙之外，也需要主动出击。结合无监督学习+有监督学习方法来发掘羊毛党团伙作案的网络模型。首先，可以基于用户在一段时间内所有业务相关的数据建立关系链，这些关系链将构成一个总网络；然后，搜索网络中的所有子网络，进行连通图分割；其次，遍历每个子网络，获取网络标签，挖掘网络特征；最后，通过机器学习构建识别羊毛党的网络模型。

6. 风险名单库识别作弊用户快准狠

基于长期的业务数据和反作弊数据，可以积累出各类风险名单库，比如：手机号、设备、账号等等。风险名单库主要包含黑名单和灰名单，网易云易盾通过多年和羊毛党的斗争，已经积累了千万级的风险名单库。

讲到这里不得不提下网易云易盾大数据反作弊平台，以数年在网易亿级全民应用积累的丰富经验和大数据技术作为核心引擎，拥有人机识别、风险名单、IP画像、设备模型、行为模型、关联分析、检测系统八大模块，可一对一精准识别恶意请求（薅羊毛、爬虫、恶意注册、撞库等异常行为），实时检测和监控业务流量，并从账号、设备、行为、IP、工具等层面进行拦截和封杀。目前，易盾反作弊平台已在综合电商、直播短视频、智能出行、互联网金融等多个行业落地。

值得一提的是，针对营销反作弊，易盾最近又推出了面向微信小程序的大数据反作弊产品，源于网易20年的核心业务风控技术与全面稳健的策略模型，有机整合了设备指纹、IP画像、规则引擎等八大能力，可广泛应用电商营销、金融支付、生活服务类小程序场景，帮助企业防范微信小程序端的黑灰产作弊侵害。

以上是易盾对于怎样有效杜绝“羊毛党“的薅羊毛行为的方法解读，如果你有任何网络安全方面的问题想要咨询，欢迎给易盾留言，入选问题将会在question栏目中进行定期解答。

点击免费试用网易云易盾营销反作弊服务。