百万用户福利被黑产套现，线上营销如何防“刷奖”？

百万用户福利被黑产套现，线上营销如何防“刷奖”？-存储在线

又到了一年一度的双十一购物季，各大平台营销活动纷纷上线，红包、优惠券、秒杀……这些优惠你抢到了吗？

为了拉新促活，一家知名保险公司近期投入上百万的营销费用，在自家APP、微信小程序上线了一个“抽奖得红包”的用户活动。然而，这些红包真正被用户抢到了吗？恐怕很难。经过瑞数信息的后台诊断分析，大部分红包并没有按计划被发放至终端用户手上，而是被大量“羊毛党”薅走了。

通过日志分析，瑞数信息发现了大量的高级自动化行为和批量接口调用等可疑情况：仅8天时间， 简单脚本攻击就超过140万次，高级自动化工具使用了2万+次，重访攻击逼近1.5万次，令牌篡改请求也突破了6000次。

换句话说，黑产团伙早就盯上了这个活动，通过系统化的技术手段和数以万计的账号，利用自动化的脚本程序，来批量参与保险线上平台的营销活动，以此获取高额利润。除此之外，由于黑产的大量“进攻”，营销活动页面经常卡顿，后端服务器难以支撑，严重影响了真实用户参与活动的体验。

那么问题来了，

为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为？

瑞数信息又是如何发现并打击黑产的呢？

为什么用户无法发现黑产“薅羊毛”？

事实上，保险公司的遭遇并不是个例。由于黑产分工明确、合作流程成熟，并且逐渐向隐蔽、专业、精准方向发展，已经越来越难以被消灭。据《数字金融反欺诈白皮书》显示，目前羊毛党已形成15余工种、160余万从业人员、产业规模不低于1000亿元人民币的产业链。

从黑产自身来看，“薅羊毛”的技术正在不断精进。相比于过去人肉作假，现在黑产更多采用Bots自动化工具，批量参与营销活动，进一步提升了“薅羊毛”效率。同时，黑产攻击手法更加拟人化，大面积地使用虚拟机、改码设备、批量养号等各种高科技造假手段，足以模拟正常用户的行为、设备、身份等系列特征，作案手法更加隐蔽。

从外部环境看，随着数字化业务快速增长，APP、微信、小程序、H5等多种业务接入渠道产生，API接口大量被调用，带来了巨大的敞口风险。

一方面，小程序这类新兴线上渠道被攻击者逆向难度很低，只要调取代码就可以直接获取微信用户身份认证信息，完成登录、下单、查询等用户行为。另一方面，API接口承载着大量客户信息、业务和交易数据、认证信息等关键数据，经常面临接口越权、未授权访问等安全威胁。黑产不仅可以利用应用漏洞进行攻击，还通过各类拟人化Bots模拟业务操作，实现业务攻击，对数字化业务的影响也在快速攀升。

内外交困之下，传统的业务安全/风控产品也疲态尽显。

传统业务安全/风控产品的关注点在于账号、IP、设备信誉以及固定规则，需要频繁地更新数据库和规则来应对黑产攻击。但如今的黑产已经可以通过丰富IP、使用肉鸡、设备root、手机群控等手段，让传统的业务安全/风控系统疲于应对，甚至无法察觉黑产的存在。

瑞数信息解决的保险公司“薅羊毛”这一案例中，保险公司之所以拦不住黑产，很大原因也在于该公司部署的WAF产品，只能基于固定规则和签名对异常行为进行判定，因此感知不到模拟真人的黑产攻击行为。

三步发现黑产“薅羊毛”

针对传统安全/风控产品的弊端，瑞数信息利用独创的“动态安全+AI”技术，三步精准定位黑产“薅羊毛”行为，有效打击各类网络欺诈，包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。

1. 批量调取接口行为分析（重放、脚本自动化）

以上述保险公司案例为例，通过单独分析抽奖路径，瑞数信息发现：20%的请求操作行为字段为空值，可以判断这一部分是使用的简单脚本进行攻击；30%的输入操作记录为0，说明可能是通过高级自动化攻击发起的请求，或者是使用重放工具发起的请求。

正常的抽奖逻辑需要先访问抽奖页面，然后通过该页面发起抽奖的接口请求。但瑞数信息从接口调用的referer发现：其中20%的请求没有前置页面请求，referer值为空，说明这些请求是直接自动化调用的抽奖接口，没有按照正常的抽奖逻辑进行抽奖。

• 高级Bots工具

通过日志分析，瑞数信息发现了不少高级自动化工具。这类工具的访问日志中操作行为字段为空，没有人为的输入、滑动等行为，所有请求都是脚本驱动浏览器完成。

• 黑产批量调取接口行为分析（代理池）

通过瑞数信息的cookie id（每个用户不会重复，具备唯一性），以及提取到的页面输入行为进行聚类分析，发现黑产团伙进行接口批量调用，直接参与抽奖行为。

以上种种分析，都指向了黑产团伙的行为路径：使用简单脚本，定时抓取活动页面，获取活动信息；使用高级自动化工具和重放攻击，模拟真人访问，自动化参与抽奖。

四招分层解决“薅羊毛”

在清晰洞察了黑产行为之后，瑞数信息采用四招分层解决黑产“薅羊毛”问题。

招式一：针对简单脚本攻击和高级Bots工具

瑞数信息的“动态令牌”“动态验证”技术，能够确保运行环境，进行人机识别，对抗浏览器模拟化以及自动化攻击；同时，防止重放攻击和越权，确保业务逻辑正常进行。

招式二：针对黑产团伙

通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为、定制可编程对抗策略等方式，瑞数信息能够实时识别和拦截模拟合法操作的异常行为，并梳理出黑产名单。

同时通过瑞数信息的“动态安全+AI”技术，大幅削减了自动化工具的攻击效率，拦截了大量的“薅羊毛”行为，也为客户服务器减轻了很大的压力。

不仅如此，考虑到黑产一般在活动发起前就开始进行诸多准备，如扫描系统漏洞、爬取用户信息、分析活动页面信息等，瑞数信息在活动发起前就对业务做好防护，让业务“风险前置”。

招式三：漏洞防扫描

通过动态安全技术，使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测，无法发现可利用的漏洞及网页目录结构。同时，在网站/APP等应用未打补丁或补丁空窗期，提供有效安全防护。

招式四：用户信息防泄露

针对用户信息恶意爬取，瑞数信息利用“动态混淆”技术，将黑产每一次获取的信息都动态加密，让黑产无法获取真实信息；利用“动态封装”技术，将业务关键逻辑动态变化，防止攻击者分析网站代码。

总体而言，瑞数信息之所以能很好地解决黑产“薅羊毛”问题，一方面在于“动态安全+AI技术”具有自动化攻击防御、人机识别等独特优势；另一方面也在于能同时覆盖Web、H5、APP、小程序、API等多种业务渠道，数据采集点更加丰富，通过全量数据融合AI算法，使得防御能力更加精准，实现业务风控前置。

在黑产作案方式逐渐专业化、隐蔽化、团伙化的今天，线上营销需要新的安全技术方案才能更好地“应战”。瑞数信息作为Gartner、IDC等国际知名咨询机构推荐的在线反欺诈领域代表厂商，将持续发挥自身技术优势，为业务安全保驾护航。