每當(dāng)雙十一、黑五、雙十二等等購(gòu)物節(jié)來(lái)臨，各大平臺(tái)紛紛上線的營(yíng)銷活動(dòng)，紅包、優(yōu)惠券、秒殺……這些優(yōu)惠你搶到了嗎？

　　為了拉新促活，一家知名保險(xiǎn)公司近期投入上百萬(wàn)的營(yíng)銷費(fèi)用，在自家APP、微信小程序上線了一個(gè)“抽獎(jiǎng)得紅包”的用戶活動(dòng)。然而，這些紅包真正被用戶搶到了嗎？恐怕很難。經(jīng)過(guò)瑞數(shù)信息的后臺(tái)診斷分析，大部分紅包并沒(méi)有按計(jì)劃被發(fā)放至終端用戶手上，而是被大量“羊毛黨”薅走了。

　　通過(guò)日志分析，瑞數(shù)信息發(fā)現(xiàn)了大量的高級(jí)自動(dòng)化行為和批量接口調(diào)用等可疑情況：僅8天時(shí)間， 簡(jiǎn)單腳本攻擊就超過(guò)140萬(wàn)次，高級(jí)自動(dòng)化工具使用了2萬(wàn)+次，重訪攻擊逼近1.5萬(wàn)次，令牌篡改請(qǐng)求也突破了6000次。

　　換句話說(shuō)，黑產(chǎn)團(tuán)伙早就盯上了這個(gè)活動(dòng)，通過(guò)系統(tǒng)化的技術(shù)手段和數(shù)以萬(wàn)計(jì)的賬號(hào)，利用自動(dòng)化的腳本程序，來(lái)批量參與保險(xiǎn)線上平臺(tái)的營(yíng)銷活動(dòng)，以此獲取高額利潤(rùn)。除此之外，由于黑產(chǎn)的大量“進(jìn)攻”，營(yíng)銷活動(dòng)頁(yè)面經(jīng)?？D，后端服務(wù)器難以支撐，嚴(yán)重影響了真實(shí)用戶參與活動(dòng)的體驗(yàn)。

　　那么問(wèn)題來(lái)了：

　　為什么部署了大量安全設(shè)備的保險(xiǎn)公司沒(méi)有發(fā)現(xiàn)黑產(chǎn)團(tuán)伙的行為？

　　瑞數(shù)信息又是如何發(fā)現(xiàn)并打擊黑產(chǎn)的呢？

　　為什么用戶無(wú)法發(fā)現(xiàn)黑產(chǎn)“薅羊毛”？

　　事實(shí)上，保險(xiǎn)公司的遭遇并不是個(gè)例。由于黑產(chǎn)分工明確、合作流程成熟，并且逐漸向隱蔽、專業(yè)、精準(zhǔn)方向發(fā)展，已經(jīng)越來(lái)越難以被消滅。據(jù)《數(shù)字金融反欺詐白皮書(shū)》顯示，目前羊毛黨已形成15余工種、160余萬(wàn)從業(yè)人員、產(chǎn)業(yè)規(guī)模不低于1000億元人民幣的產(chǎn)業(yè)鏈。

　　● 從黑產(chǎn)自身來(lái)看，“薅羊毛”的技術(shù)正在不斷精進(jìn)。相比于過(guò)去人肉作假，現(xiàn)在黑產(chǎn)更多采用Bots自動(dòng)化工具，批量參與營(yíng)銷活動(dòng)，進(jìn)一步提升了“薅羊毛”效率。同時(shí)，黑產(chǎn)攻擊手法更加擬人化，大面積地使用虛擬機(jī)、改碼設(shè)備、批量養(yǎng)號(hào)等各種高科技造假手段，足以模擬正常用戶的行為、設(shè)備、身份等系列特征，作案手法更加隱蔽。

　　● 從外部環(huán)境看，隨著數(shù)字化業(yè)務(wù)快速增長(zhǎng)，APP、微信、小程序、H5等多種業(yè)務(wù)接入渠道產(chǎn)生，API接口大量被調(diào)用，帶來(lái)了巨大的敞口風(fēng)險(xiǎn)。

　　一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，只要調(diào)取代碼就可以直接獲取微信用戶身份認(rèn)證信息，完成登錄、下單、查詢等用戶行為。另一方面，API接口承載著大量客戶信息、業(yè)務(wù)和交易數(shù)據(jù)、認(rèn)證信息等關(guān)鍵數(shù)據(jù)，經(jīng)常面臨接口越權(quán)、未授權(quán)訪問(wèn)等安全威脅。黑產(chǎn)不僅可以利用應(yīng)用漏洞進(jìn)行攻擊，還通過(guò)各類擬人化Bots模擬業(yè)務(wù)操作，實(shí)現(xiàn)業(yè)務(wù)攻擊，對(duì)數(shù)字化業(yè)務(wù)的影響也在快速攀升。

　　內(nèi)外交困之下，傳統(tǒng)的業(yè)務(wù)安全/風(fēng)控產(chǎn)品也疲態(tài)盡顯。

　　傳統(tǒng)業(yè)務(wù)安全/風(fēng)控產(chǎn)品的關(guān)注點(diǎn)在于賬號(hào)、IP、設(shè)備信譽(yù)以及固定規(guī)則，需要頻繁地更新數(shù)據(jù)庫(kù)和規(guī)則來(lái)應(yīng)對(duì)黑產(chǎn)攻擊。但如今的黑產(chǎn)已經(jīng)可以通過(guò)豐富IP、使用肉雞、設(shè)備root、手機(jī)群控等手段，讓傳統(tǒng)的業(yè)務(wù)安全/風(fēng)控系統(tǒng)疲于應(yīng)對(duì)，甚至無(wú)法察覺(jué)黑產(chǎn)的存在。

　　瑞數(shù)信息解決的保險(xiǎn)公司“薅羊毛”這一案例中，保險(xiǎn)公司之所以攔不住黑產(chǎn)，很大原因也在于該公司部署的WAF產(chǎn)品，只能基于固定規(guī)則和簽名對(duì)異常行為進(jìn)行判定，因此感知不到模擬真人的黑產(chǎn)攻擊行為。

　　三步發(fā)現(xiàn)黑產(chǎn)“薅羊毛”

　　針對(duì)傳統(tǒng)安全/風(fēng)控產(chǎn)品的弊端，瑞數(shù)信息利用獨(dú)創(chuàng)的“動(dòng)態(tài)安全+AI”技術(shù)，三步精準(zhǔn)定位黑產(chǎn)“薅羊毛”行為，有效打擊各類網(wǎng)絡(luò)欺詐，包括偽裝成正常交易的業(yè)務(wù)作弊、利用合法賬號(hào)竊取敏感數(shù)據(jù)、假冒終端應(yīng)用等。

　　01 批量調(diào)取接口行為分析（重放、腳本自動(dòng)化）

　　以上述保險(xiǎn)公司案例為例，通過(guò)單獨(dú)分析抽獎(jiǎng)路徑，瑞數(shù)信息發(fā)現(xiàn)：20%的請(qǐng)求操作行為字段為空值，可以判斷這一部分是使用的簡(jiǎn)單腳本進(jìn)行攻擊；30%的輸入操作記錄為0，說(shuō)明可能是通過(guò)高級(jí)自動(dòng)化攻擊發(fā)起的請(qǐng)求，或者是使用重放工具發(fā)起的請(qǐng)求。

　　正常的抽獎(jiǎng)邏輯需要先訪問(wèn)抽獎(jiǎng)頁(yè)面，然后通過(guò)該頁(yè)面發(fā)起抽獎(jiǎng)的接口請(qǐng)求。但瑞數(shù)信息從接口調(diào)用的referer發(fā)現(xiàn)：其中20%的請(qǐng)求沒(méi)有前置頁(yè)面請(qǐng)求，referer值為空，說(shuō)明這些請(qǐng)求是直接自動(dòng)化調(diào)用的抽獎(jiǎng)接口，沒(méi)有按照正常的抽獎(jiǎng)邏輯進(jìn)行抽獎(jiǎng)。

　　02 高級(jí)Bots工具

　　通過(guò)日志分析，瑞數(shù)信息發(fā)現(xiàn)了不少高級(jí)自動(dòng)化工具。這類工具的訪問(wèn)日志中操作行為字段為空，沒(méi)有人為的輸入、滑動(dòng)等行為，所有請(qǐng)求都是腳本驅(qū)動(dòng)瀏覽器完成。

　　03 黑產(chǎn)批量調(diào)取接口行為分析（代理池）

　　通過(guò)瑞數(shù)信息的cookie id（每個(gè)用戶不會(huì)重復(fù)，具備唯一性），以及提取到的頁(yè)面輸入行為進(jìn)行聚類分析，發(fā)現(xiàn)黑產(chǎn)團(tuán)伙進(jìn)行接口批量調(diào)用，直接參與抽獎(jiǎng)行為。

　　以上種種分析，都指向了黑產(chǎn)團(tuán)伙的行為路徑：使用簡(jiǎn)單腳本，定時(shí)抓取活動(dòng)頁(yè)面，獲取活動(dòng)信息；使用高級(jí)自動(dòng)化工具和重放攻擊，模擬真人訪問(wèn)，自動(dòng)化參與抽獎(jiǎng)。

　　四招分層解決“薅羊毛”

　　在清晰洞察了黑產(chǎn)行為之后，瑞數(shù)信息采用四招分層解決黑產(chǎn)“薅羊毛”問(wèn)題。

　　招式一 針對(duì)簡(jiǎn)單腳本攻擊和高級(jí)Bots工具

　　瑞數(shù)信息的“動(dòng)態(tài)令牌”“動(dòng)態(tài)驗(yàn)證”技術(shù)，能夠確保運(yùn)行環(huán)境，進(jìn)行人機(jī)識(shí)別，對(duì)抗瀏覽器模擬化以及自動(dòng)化攻擊；同時(shí)，防止重放攻擊和越權(quán)，確保業(yè)務(wù)邏輯正常進(jìn)行。

　　招式二 針對(duì)黑產(chǎn)團(tuán)伙

　　通過(guò)業(yè)務(wù)威脅感知、群控模型、聚類分析指紋和IP對(duì)應(yīng)關(guān)系、分析頁(yè)面輸入行為、定制可編程對(duì)抗策略等方式，瑞數(shù)信息能夠?qū)崟r(shí)識(shí)別和攔截模擬合法操作的異常行為，并梳理出黑產(chǎn)名單。

　　同時(shí)通過(guò)瑞數(shù)信息的“動(dòng)態(tài)安全+AI”技術(shù)，大幅削減了自動(dòng)化工具的攻擊效率，攔截了大量的“薅羊毛”行為，也為客戶服務(wù)器減輕了很大的壓力。

　　不僅如此，考慮到黑產(chǎn)一般在活動(dòng)發(fā)起前就開(kāi)始進(jìn)行諸多準(zhǔn)備，如掃描系統(tǒng)漏洞、爬取用戶信息、分析活動(dòng)頁(yè)面信息等，瑞數(shù)信息在活動(dòng)發(fā)起前就對(duì)業(yè)務(wù)做好防護(hù)，讓業(yè)務(wù)“風(fēng)險(xiǎn)前置”。

　　招式三 漏洞防掃描

　　通過(guò)動(dòng)態(tài)安全技術(shù)，使得漏洞掃描或漏洞利用工具無(wú)法發(fā)起有效自動(dòng)化掃描探測(cè)，無(wú)法發(fā)現(xiàn)可利用的漏洞及網(wǎng)頁(yè)目錄結(jié)構(gòu)。同時(shí)，在網(wǎng)站/APP等應(yīng)用未打補(bǔ)丁或補(bǔ)丁空窗期，提供有效安全防護(hù)。

　　招式四 用戶信息防泄露

　　針對(duì)用戶信息惡意爬取，瑞數(shù)信息利用“動(dòng)態(tài)混淆”技術(shù)，將黑產(chǎn)每一次獲取的信息都動(dòng)態(tài)加密，讓黑產(chǎn)無(wú)法獲取真實(shí)信息；利用“動(dòng)態(tài)封裝”技術(shù)，將業(yè)務(wù)關(guān)鍵邏輯動(dòng)態(tài)變化，防止攻擊者分析網(wǎng)站代碼。

　　總體而言，瑞數(shù)信息之所以能很好地解決黑產(chǎn)“薅羊毛”問(wèn)題，一方面在于“動(dòng)態(tài)安全+AI技術(shù)”具有自動(dòng)化攻擊防御、人機(jī)識(shí)別等獨(dú)特優(yōu)勢(shì)；另一方面也在于能同時(shí)覆蓋Web、H5、APP、小程序、API等多種業(yè)務(wù)渠道，數(shù)據(jù)采集點(diǎn)更加豐富，通過(guò)全量數(shù)據(jù)融合AI算法，使得防御能力更加精準(zhǔn)，實(shí)現(xiàn)業(yè)務(wù)風(fēng)控前置。

　　在黑產(chǎn)作案方式逐漸專業(yè)化、隱蔽化、團(tuán)伙化的今天，線上營(yíng)銷需要新的安全技術(shù)方案才能更好地“應(yīng)戰(zhàn)”。瑞數(shù)信息作為Gartner、IDC等國(guó)際知名咨詢機(jī)構(gòu)推薦的在線反欺詐領(lǐng)域代表廠商，將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢(shì)，為業(yè)務(wù)安全保駕護(hù)航。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<