紅包搶不到？瑞數信息三步四招幫你打擊黑產“薅羊毛”

又到了一年一度的雙十一購物季，各大平臺營銷活動紛紛上線，紅包、優惠券、秒殺……這些優惠你搶到了嗎？

為了拉新促活，一家知名保險公司近期投入上百萬的營銷費用，在自家APP、微信小程序上線了一個“抽獎得紅包”的用戶活動。然而，這些紅包真正被用戶搶到了嗎？恐怕很難。經過瑞數信息的后臺診斷分析，大部分紅包并沒有按計劃被發放至終端用戶手上，而是被大量“羊毛黨”薅走了。
 
通過日志分析，瑞數信息發現了大量的高級自動化行為和批量接口調用等可疑情況：僅8天時間， 簡單腳本攻擊就超過140萬次，高級自動化工具使用了2萬+次，重訪攻擊逼近1.5萬次，令牌篡改請求也突破了6000次。
 
換句話說，黑產團伙早就盯上了這個活動，通過系統化的技術手段和數以萬計的賬號，利用自動化的腳本程序，來批量參與保險線上平臺的營銷活動，以此獲取高額利潤。除此之外，由于黑產的大量“進攻”，營銷活動頁面經?？D，后端服務器難以支撐，嚴重影響了真實用戶參與活動的體驗。
 
那么問題來了，
為什么部署了大量安全設備的保險公司沒有發現黑產團伙的行為？
瑞數信息又是如何發現并打擊黑產的呢？
 
為什么用戶無法發現黑產“薅羊毛”？
事實上，保險公司的遭遇并不是個例。由于黑產分工明確、合作流程成熟，并且逐漸向隱蔽、專業、精準方向發展，已經越來越難以被消滅。據《數字金融反欺詐白皮書》顯示，目前羊毛黨已形成15余工種、160余萬從業人員、產業規模不低于1000億元人民幣的產業鏈。
 
從黑產自身來看，“薅羊毛”的技術正在不斷精進。相比于過去人肉作假，現在黑產更多采用Bots自動化工具，批量參與營銷活動，進一步提升了“薅羊毛”效率。同時，黑產攻擊手法更加擬人化，大面積地使用虛擬機、改碼設備、批量養號等各種高科技造假手段，足以模擬正常用戶的行為、設備、身份等系列特征，作案手法更加隱蔽。
 
從外部環境看，隨著數字化業務快速增長，APP、微信、小程序、H5等多種業務接入渠道產生，API接口大量被調用，帶來了巨大的敞口風險。
 
一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，只要調取代碼就可以直接獲取微信用戶身份認證信息，完成登錄、下單、查詢等用戶行為。另一方面，API接口承載著大量客戶信息、業務和交易數據、認證信息等關鍵數據，經常面臨接口越權、未授權訪問等安全威脅。黑產不僅可以利用應用漏洞進行攻擊，還通過各類擬人化Bots模擬業務操作，實現業務攻擊，對數字化業務的影響也在快速攀升。
 
內外交困之下，傳統的業務安全/風控產品也疲態盡顯。
 
傳統業務安全/風控產品的關注點在于賬號、IP、設備信譽以及固定規則，需要頻繁地更新數據庫和規則來應對黑產攻擊。但如今的黑產已經可以通過豐富IP、使用肉雞、設備root、手機群控等手段，讓傳統的業務安全/風控系統疲于應對，甚至無法察覺黑產的存在。
 
瑞數信息解決的保險公司“薅羊毛”這一案例中，保險公司之所以攔不住黑產，很大原因也在于該公司部署的WAF產品，只能基于固定規則和簽名對異常行為進行判定，因此感知不到模擬真人的黑產攻擊行為。
 
三步發現黑產“薅羊毛”
針對傳統安全/風控產品的弊端，瑞數信息利用獨創的“動態安全+AI”技術，三步精準定位黑產“薅羊毛”行為，有效打擊各類網絡欺詐，包括偽裝成正常交易的業務作弊、利用合法賬號竊取敏感數據、假冒終端應用等。
 
1.批量調取接口行為分析（重放、腳本自動化）
以上述保險公司案例為例，通過單獨分析抽獎路徑，瑞數信息發現：20%的請求操作行為字段為空值，可以判斷這一部分是使用的簡單腳本進行攻擊；30%的輸入操作記錄為0，說明可能是通過高級自動化攻擊發起的請求，或者是使用重放工具發起的請求。
 
正常的抽獎邏輯需要先訪問抽獎頁面，然后通過該頁面發起抽獎的接口請求。但瑞數信息從接口調用的referer發現：其中20%的請求沒有前置頁面請求，referer值為空，說明這些請求是直接自動化調用的抽獎接口，沒有按照正常的抽獎邏輯進行抽獎。
 
2.高級Bots工具
通過日志分析，瑞數信息發現了不少高級自動化工具。這類工具的訪問日志中操作行為字段為空，沒有人為的輸入、滑動等行為，所有請求都是腳本驅動瀏覽器完成。
 
3.黑產批量調取接口行為分析（代理池）
通過瑞數信息的cookie id（每個用戶不會重復，具備唯一性），以及提取到的頁面輸入行為進行聚類分析，發現黑產團伙進行接口批量調用，直接參與抽獎行為。
 
以上種種分析，都指向了黑產團伙的行為路徑：使用簡單腳本，定時抓取活動頁面，獲取活動信息；使用高級自動化工具和重放攻擊，模擬真人訪問，自動化參與抽獎。
 
四招分層解決“薅羊毛”
在清晰洞察了黑產行為之后，瑞數信息采用四招分層解決黑產“薅羊毛”問題。
 
招式一：針對簡單腳本攻擊和高級Bots工具
瑞數信息的“動態令牌”“動態驗證”技術，能夠確保運行環境，進行人機識別，對抗瀏覽器模擬化以及自動化攻擊；同時，防止重放攻擊和越權，確保業務邏輯正常進行。
 
招式二：針對黑產團伙
通過業務威脅感知、群控模型、聚類分析指紋和IP對應關系、分析頁面輸入行為、定制可編程對抗策略等方式，瑞數信息能夠實時識別和攔截模擬合法操作的異常行為，并梳理出黑產名單。
 
同時通過瑞數信息的“動態安全+AI”技術，大幅削減了自動化工具的攻擊效率，攔截了大量的“薅羊毛”行為，也為客戶服務器減輕了很大的壓力。
 
不僅如此，考慮到黑產一般在活動發起前就開始進行諸多準備，如掃描系統漏洞、爬取用戶信息、分析活動頁面信息等，瑞數信息在活動發起前就對業務做好防護，讓業務“風險前置”。
 
招式三：漏洞防掃描
通過動態安全技術，使得漏洞掃描或漏洞利用工具無法發起有效自動化掃描探測，無法發現可利用的漏洞及網頁目錄結構。同時，在網站/APP等應用未打補丁或補丁空窗期，提供有效安全防護。
 
招式四：用戶信息防泄露
針對用戶信息惡意爬取，瑞數信息利用“動態混淆”技術，將黑產每一次獲取的信息都動態加密，讓黑產無法獲取真實信息；利用“動態封裝”技術，將業務關鍵邏輯動態變化，防止攻擊者分析網站代碼。
 
總體而言，瑞數信息之所以能很好地解決黑產“薅羊毛”問題，一方面在于“動態安全+AI技術”具有自動化攻擊防御、人機識別等獨特優勢；另一方面也在于能同時覆蓋Web、H5、APP、小程序、API等多種業務渠道，數據采集點更加豐富，通過全量數據融合AI算法，使得防御能力更加精準，實現業務風控前置。
 
在黑產作案方式逐漸專業化、隱蔽化、團伙化的今天，線上營銷需要新的安全技術方案才能更好地“應戰”。瑞數信息作為Gartner、IDC等國際知名咨詢機構推薦的在線反欺詐領域代表廠商，將持續發揮自身技術優勢，為業務安全保駕護航。