您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

1

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

本文作者: 史中 2016-11-09 10:43
导语:这里有超出你想象的薅羊毛方法,以及电商们超出你想象的对策。

在女人眼里,

世上最让人快乐的是购物,

世上最让人绝望的是欺骗。

更让人绝望的是:在购物的时候被欺骗。

每年剁手节,各大电商内部神经最为绷紧的,也许就是风控部门的童鞋了。屏幕前剁手的少女萝莉御姐大妈们的快乐之舟,漂浮在风控童鞋的血泪之上。

这世上的欺骗

如果想衡量各大电商安全做得好不好,有一个魔性的指标:

这些账号在淘宝上的交易价格。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

【淘宝上待价而沽的电商账号】

当然,这是个玩笑。不过电商账号之所以在网络上被交易,一个重要的原因就是:有人可以从中获利。简单来说,至少羊毛党可以利用这些“小号”盈利颇丰。

“羊毛党”人思维广

京东风控研发总监吴鹍为雷锋网讲述了几个针对京东薅羊毛的方法:

  • 2015年5月。京东风控团队通过大数据发现,在深圳有30多个商家的行为极其古怪。他们似乎组成了一个贸易圈,互相买货,互相评价。经过进一步分析,这些商家都是在2014年几乎同时注册的。原来,在当时京东正在进行购买返京豆(1京豆大约相当于一分钱)的优惠活动。而这些商家们通过“空包”,也就是低价从物流公司搞到的单号,而不存在真正的发货,来骗取京东的京豆。


  • 2016年7月。此时京东某些产品正在进行促销,但是同一个账号限定购买数量。团队通过数据发现一个奇怪的现象,全国很多购买者最后都把邮寄地址写到了安徽某地。经过调查发现,幕后的主使者很可能自己经营了一个线下超市,控制了无数个小号,用这种方法来“进货”。


  • 2016年8月。团队发现某人一次性购买很多产品,全部附加购买了运费险,然而在收到货之后,又全部选择退货。这个奇葩动作的盈利方式是:退货时,他把所有的货品装入一个快递,而另外所有的运费险都可以被收入囊中。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

【相比2015年,2016年黑产恶意注册的京东账户也在变化,规律更加难以捉摸,并且附带绑定邮箱(网易躺枪)】

“诈骗犯”们办法多

你刚刚在网上下单购买了商品,马上就接到“客服”的电话,告诉你在支付的时候银行卡出现了问题,需要到ATM机上操作一下;或者告诉你定单出现了问题,要到“官方网页”上确认一下。

包括我们最近痛心疾首的徐玉玉事件,都属于这类个人信息泄露导致的诈骗。

虽然在电商领域,诈骗发生的次数要远远低于薅羊毛。但是,每一个用户被诈骗,都让电商风控的同学内心煎熬。

诈骗来自于交易信息泄露,而交易信息有可能发生泄漏的环节非常多,有些甚至是电商安全体系内无法控制的。蘑菇街电商风控架构师陈朝钢为雷锋网展示了他的研究。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

如上图所示,从买家自身的账户安全意识,到订单页面被截取的风险,到卖家被木马监控的可能,到打单物流过程中信息被外贼内鬼泄露的情况,都是让电信诈骗的烈火能够燃烧的干柴。

陈朝钢说:

在黑市中,淘宝当天的订单每个可以卖到十几块,而历史订单也有人买。有时被泄露出来的当天交易信息并不完整,例如只有 UserID 和购买的商品。这时如果比对历史订单,就能得到这个人完整的联系信息。

“刷单侠”们组织严

刷单和其他灰色产业所不同的是,它需要在双十一之前完成。为了备战剁手节,此刻就是各图谋不轨的商家刷单最为猖狂的时候。

刷单是一项古老的职业。根据陈朝钢的研究,刷单的发展大概经历如下几个阶段:

2010年,刷单初起。随着电商平台上的商家竞争加剧,开始有商家依靠熟人关系刷单,此时电商平台基本不打击这类虚假交易。


2011年,互刷诞生。人脉毕竟有限,很多有刷单需求的商家通过QQ群聚集在一起,互相刷单。这时电商平台意识到问题的严重性,开始打击刷单。


2012年,刷单平台。哪里有需求,哪里就有市场。这个时候大规模的商家都有了刷单需求,于是“刷单平台”应运而生。商家提交任务,刷手接任务领钱。不过这种玩法太过公开,很容易被打击。


2013-2014年,刷单平台进化。刷单阻止从“平台”转向“工作室”性质。一般通过 YY、QT 等语音聊天室私下招募刷手,并且大量注册黑号。


2016年,商家自建刷单群。大一点的商家建立自己“御用”的刷单组织。群里有商家、熟人、刷手。这些人大都“案底清白”,受商家信任。由于很难确定刷手身份,所以打击难度很大。

而在这个隐秘的世界,刷单已经成为一项需要认真对待,有诸多操作规程和组织结构的独特世界了。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

【专业化的刷单流程】

陈朝钢说:

为了对抗电商平台越来越强大的风控措施,在一次合格的刷单中,刷手需要严格地模拟真实购买者的行为。


只能通过关键词(而不是店铺名、价格等)搜索到商品,在宝贝的页面停留的时长要达到一定的标准,要打开推荐的宝贝,甚至还要浏览竞品的宝贝。最后才能选定下单。


为了保证刷手按照这样的规范来操作,刷单平台会在一开始,就收取刷手的保证金,还会举行响应的考试,通过者才能有资格刷单。

所有的刷单,都必须全程截图,供“监工”监控。这样的刷手,俨然就是卓别林《摩登时代》中在生产线上连喘气都要请假的劳工。

如果你只想了解黑产究竟用什么奇葩方法来套路你,那么到此为止,你可以关掉文章了。你只需要知道电商的风控童鞋们正在使出很厉害的招数保护你,你的处境并不危险就好了。

至于他们用什么方法来保护你,就是接下来要说的。

数据是解药

京东风控研发总监吴鹍告诉雷锋网,京东和这些灰色产业做斗争,主要依靠这三样:

数据、规则、算法。

无数的京东订单数据,其中必然有风险订单。而风控的目的也是把他们调出来。而揪出坏人的秘密,就在这些数据中。通过规则化的拦截,可以减少很多风险订单。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

【一些根据规则可以判定的,存在风险的订单。图中所有姓名都是“正常名+白”结构,在地址后都加入了本市并不存在的街道名】

然而那些黑产专门组织人力用来刷单或者薅羊毛的订单,就很难用规则来屏蔽。这个时候,就要对无数的订单数据进行大数据计算,用机器学习的方式筛选出来其中的风险模型——找到刷单行为之间共通而隐秘的,人脑难以判断的复杂特性。

通过判断风险订单,可以进一步回溯下单的设备、IP、手机号这些重要的特征。这些会形成新的数据,那就是订单背后用户的画像。

双十一专题 | 羊毛、空包、运费险诈骗,京东、聚美、蘑菇街们如何死磕黑产?

【风险订单背后的特征存在明显的网络结构】

可以看出,风险订单中无论是 IP 还是地址还是手机号的关联性,都远远强于一般用户。这恰证实了这些订单都是有组织的团伙所为。

吴鹍概括了京东的风控策略:

订单产生30-50毫秒内,利用用户画像规则在线检测订单的风险


订单产生10-60分钟内,利用规则和算法模型对订单进行进一步筛查。


订单产生后的一天内,利用完整的算法模型对订单进行最强筛查。

对于其他电商来说,风控措施也有很多类似之处。此外,京东、蘑菇街、聚美优品还有诸多共同点。例如他们都是吞吐量巨大的电商,例如他们的业务都架构在腾讯云之上。

说到底,电商对于非法订单的防护能力,都来自于数据。之所以提到腾讯云,是因为腾讯云还可以在电商自己的安全机制上,提供多一层的安全数据。

腾讯云的杀手锏

腾讯云有很多安全能力,但非要说一条最狠的,莫过于如下:

每台正常的电脑或手机上,都会安装QQ或微信。

原理并不复杂,可以这样简单理解:一个会下正常订单的用户,一般都会在同一部设备安装了或安装过 QQ 或微信。单单这一条优势,就为腾讯云的安全风控能力提分无数。

  • 通过这些数据,腾讯云安全策略可以对订单背后的 IP 进行画像,例如:判断某 IP 是代理 IP 还是服务器 IP,是国内 IP 还是国外 IP,该 IP是否参与过腾讯的活动,是否一个 IP 曾经登陆过大量账号,或者此 IP 是否有攻击、刷单的黑历史等等。


  • 至于背后的自然人,也可以利用设备上安装的 QQ 或微信关联手机号码和设备指纹进行统一计算,得出自然人的画像。

通过这些画像之间的交叉验证,可以给出一个订单请求背后真实的客观风险。

说到底,对于黑产的打击,需要充足的数据,而数据的产生,往往需要代价。例如一个各个维度对于蘑菇街都是新的“小白”用户,有可能正是刚刚攻击过聚美优品的“野兽”。如果此时数据可以互通,那么蘑菇街就可以免去被“咬一口”的代价。

而这也是电商都在积极推进数据共享机制的原因。

因为大数据每“大”一点,也许都会产生奇妙的新效果。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说