本篇文章2329字,读完约6分钟

羊毛聚会正在成为企业的存在。

2018年12月17日,星巴克推出了营销活动“星巴克应用注册新人仪式”,遭到了黑灰色羊毛党的大规模攻击。他们使用大量手机号码注册星巴克应用的假账户,并成功收到活动优惠券,导致星巴克的营销活动在两天内停止。

拼多多被薅羊毛事件复盘

2019年1月20日凌晨,黑灰羊毛生产方利用电子商务平台,与“100元无门槛凭证”的漏洞薅羊毛进行了斗争,造成了巨大的经济损失。

可以说,如何防范毛方是防范和控制所有电子商务平台的一大挑战。

薅羊毛路线图

下面,我们通过网络上流传的截图来谈谈ip地址监控和防范的必要性。

此屏幕截图的红色方框中标记的内容指出了常见的羊毛派对惯例:

(1)在同一个ip地址下,有多个帐户;

(2)这批账户从凌晨3: 00到9: 00交易虚拟商品。

根据这两个特点,可以清楚地看出,羊毛党的预防需要两个阶段的监控:

(1)实时监控同一ip地址的多账户行为,包括监控同一ip地址上的大规模账户注册和短时间登录。当同一ip地址在短时间内出现大量注册和登录行为时,系统需要立即识别其潜在风险。

拼多多被薅羊毛事件复盘

(2)在异常时间段(通常在凌晨2: 00到8: 00之间),如果系统已经触发了异常组登录的警告,则需要实时监控和防止在同一ip地址上的多个账户中发生的大量交易。

拼多多被薅羊毛事件复盘

在这里,我们将对许多遭遇进行深入分析,发现这种黑色财产漏洞是一个连续的链式缺口。如果链条中的任何一个环节得到控制,黑羊毛党造成的损失就可以大大减少。

拼多多被薅羊毛事件复盘

下面,我们来谈谈羊毛聚会中必要的链节点,然后对每个节点进行初步分析:

第一步:黑羊毛党需要一个账户注册过程。为了赚取更多的利润,它需要大量的注册账户;

第二步:账户注册完成后,用账户进行测试,发现“100元无门槛券”可以用来充值消费漏洞;

第三步:发现漏洞后,通过大量注册账户收集凭证;

第四步,收到代金券后,直接进行大量的薅羊毛活动,比如充值手机账单来兑现;

第五步:进行套现活动,如用手机话费充值游戏卡,然后垄断游戏卡,从而达到套现的目的。

反欺诈风险控制了解上述链节点,通过对关键节点进行有针对性的风险控制和保护,可以降低潜在的套现风险。具体步骤如下:

在第一步中,我们需要注意批量帐户注册(垃圾注册),它通常显示在同一ip地址下一段时间内的连续注册监控。

第二步属于单个账户的探索性行为,此时难以识别其存在的风险特征,只能通过对账户安全行为的持续预判来预防。例如,苏宁金融的极端账户预警系统就是通过监控账户异常行为、集团识别、异常交易识别等方式,提前对可疑账户进行预判。

拼多多被薅羊毛事件复盘

当黑生产商进行到第三步时,批量活动的特征出现了,即大量的帐户登录行为在短时间内发生在同一个ip地址。

当我们转到步骤4时,批处理活动的另一个特征将在此时出现,即在相同的ip地址,短时间登录的帐户具有相同的交易行为(如充值电话费用)。

当进行到步骤5时,黑色产品已经被成功兑现,并且反欺诈识别工作失败。

识别黑色分子的杀手

我们如何识别这些黑色分子,以避免被他们薅羊毛?

首先,我们在帐户注册阶段采取措施防止垃圾注册。核心是在短时间内识别出大量具有相同ip地址的注册账户。短时间内,同一个ip的账户注册活动远远超过平时,短时间内登录时间密集。如果平台监控这种行为,它应该知道可能会有问题。

拼多多被薅羊毛事件复盘

其次,我们还定期对账户进行团伙识别。我们通过帐户登录行为的一致性来判断哪些帐户具有步骤3所示的组特征。通常,黑人生产者参与的活动具有一定的规模效应,他们的行为通常具有帮派关联,表现为一段时间内的密集一致行为,如相同的知识产权,或同一时间内的密集收券或密集消费。通常,这种行为分析需要一定的历史积累,如月度、半年度和一年间隔的账户行为一致性分析,以及进一步的账户分组。按历史分组的账户和ip被分别监控,以达到预防的目的。例如,苏宁金融分析一段时间内每个账户的行为,以便提前识别账户安全性,防止未实时识别的集团毛方信息:

拼多多被薅羊毛事件复盘

表1异常账户组行为的统计分析

最后,当交易发生时,我们还将实时监控同一交易在短时间内在同一ip地址上集中发生的行为,拦截已标记为异常的账户组的交易。通常,我们的重点是预防和控制异常时段(凌晨2: 00至8: 00)的交易活动。例如,最常见的用户行为以朝九晚五的活动为特征:

拼多多被薅羊毛事件复盘

相反,许多黑色产品在清晨更活跃。主要原因是该系统通常在清晨值班,当发现漏洞时,运行时间更充足。

以品多多被黑色产品攻击为例。凌晨两三点,black products发现“100元无门槛优惠券”可以无限制地使用,于是他们使用该程序批量注册自己的账户,然后收到优惠券。代金券收款后,可直接用于手机账户充值。

拼多多被薅羊毛事件复盘

这样,同样的操作被大量复制,可以在短时间内实现数千个账户的手机充值操作。在接下来的日子里,你可以通过出售充值的手机号码,如购买游戏卡,来进一步套现和获利。

拼多多被薅羊毛事件复盘

如果我们预先限制单个ip上注册的账户数量,我们在一段时间内不能超过xx,然后结合各种业务规则进行手机充值(比如将账户的到达时间从清晨推迟到清晨)。经过多重组合防控,可以避免潜在的套现风险。

拼多多被薅羊毛事件复盘

当然,仅仅依靠单个ip地址的这些特性来监控羊毛党并不能保证一切都会好起来。

例如,近年来投入使用缓慢的ipv6地址将对当前ip地址聚合的特性产生严重影响。因为ipv6的可用地址远远超过当前ipv4的可用地址,所以每个帐户完全可以独立使用一个ip。就新技术而言,黑色产品完全有可能分散一致的行为,这要求我们实时控制电子商务平台上账户行为特征的变化。因此,ipv6的推广应用增加了难度,也给金融黑财产的防控带来了新的挑战。

拼多多被薅羊毛事件复盘

此外,登录设备和关系网络的分析是识别和防止黑产品的非常重要的方面。在未来,我们将慢慢谈论每个维度的有趣发现。

标题:拼多多被薅羊毛事件复盘

地址:http://www.lyxyzq.com.cn/lyzx/7602.html