引言
随着各大企业针对业务安全的风控手段逐渐趋于成熟,
批量、通用、简易
的黑灰产作恶手段已被有效遏制。然而,造成企业资损的黑灰产行为依然屡禁不止。如上图所示,某视频行业代表性企业近九个月的真人众包任务数节节攀升,且从上个月以来,针对该平台的真人作恶任务数具有大幅度增长的趋势,增长幅度达到了
52.34%
。
图1-1 某视频行业代表性企业近七个月真人众包任务变化情况
而经过业务安全情报平台新增的
真人作恶风险识别能力
的
识别分析,发现该平台上线了“随刻版、极速版app拉新裂变活动”,两个活动共吸引黑灰产借助真人众包平台发布了
3500+
次
众包任务,发布者共计
156人
,累计参与人数达到了
1600+人次
。
而在与客户沟通的过程中,客户表示针对此活动已经使用过传统风控手段,也就是基于“IP、手机号”等维度的风险识别及风控手段,却收效甚微,
依然无法阻止活动结束后用户留存率大幅下降
。
而该视频行业客户遇到的困扰已经逐渐形成了全行业的共同担忧。
传统风控手段无法识别、无法解决真人作恶
,而真人作恶的数量、攻击的业务场景已无法再被忽略。
——真人作恶成为企业无法监控、难以处置的业务风控新漏洞。
图1-2 自2014年以来全网真人众包平台变化情况
真人众包平台的发展在近几年间处在“井喷式”激增的增长态势,黑灰产借助真人众包平台发动真人作恶行为已成趋势。以下图为例,此为真人众包平台app《悬赏猫》,黑灰产从业者通过发布针对全网正在进行线上活动的企业活动任务进行真人攻击,参与者完成任务后可以获得几毛到数十元不等的奖励。此外,从图中我们也可以发现,当前黑灰产借由真人众包平台已将黑手伸向了
“下载注册、砍价红包、关注拉票”等
的业务场景的每个角落。
图1-3 真人众包平台《悬赏猫》软件内截图
图1-4 近一年内众包任务排名top100企业
根据
永安在线业务安全情报平台
的监控,我们可以发现在全年真人众包任务量排行前一百的企业中,涵盖了
电商、金融、社交、出行、生活服务等
几乎所有行业。其中任务数最高的企业全年众包任务量达到了
249418条
,而任务量最低的企业,全年也有
5000+
真人众包任务。
图1-5 遭受真人作恶攻击业务场景占比
根据对众包任务攻击场景的分类分析,可以发现当前黑灰产借由真人众包平台,将真人作恶的黑手伸向了当前互联网业务推广场景的每一个角落,在
“下载、投票、助力、砍价、关注(刷赞)、注册等”
全场景均可通过真人作恶完成黑灰产攻击。
图1-6 某电商企业遭受真人作恶业务场景占比
以一个真人作恶任务排名前十的电商企业为例,全年任务量达到了
451763条
,分场景来看则可以发现,真人作恶在“助力砍价、拉新、店铺刷量”等多个场景对企业造成了大量的损害。以拉新为例,近一个月平台推出了“亲友面对面扫码领红包”、“砍价助力”、“新版本拉新红包奖励”三个活动。以“亲友面对面扫码领红包”活动为例:
图1-7 某电商企业“亲友面对面扫码领红包”众包任务变化情况
距
永
安在线业务安全情报平台
第一次监控到针对该活动的真人作恶行为起(2020年3月4日),全网已有
4707条
针对该活动的真人众包任务,任务发布人数达到了
700+
。
通过真人众包平台的助力后,仅任务发布者便可从该活动中直接带走
70000元
,而通过对参与人数的统计,仅购物红包一项损失,便能达到
50000余元
。
图1-8 真人众包平台助力线上带看,协助中介违规刷量
真人作恶由于其“真人”的特殊性质,其在作恶场景的分布上俨然突破了人们的既有认知,以上图为例,某房仲企业线下门店业务员为完成带看业绩,通过真人众包平台,以一块钱的单价悬赏参与者协助其刷业绩。而在任务介绍中,真人作恶的“优势”展现的淋漓尽致。
参与者需要与中介先就该房源进行文字沟通,随后需要在中介的带领下vr实景看房,此过程中要求客户保持语音聊天。
图1-9 某贷款平台绑定微信直接转出50元现金,众包任务流程截图
结合以上几种真人作恶方式及其所攻击的业务场景,我们可以发现,真人作恶的攻击范围
不仅存在于裂变拉新、组团拼购等传统业务风险场景
,其攻击范围正在逐步扩大,危害到企业业务推广的方方面面,且例如
线上带看、渠道刷量、违规骗贷等
场景的出现,导致企业原本信赖的风控处置方案无法再有效打击真人作恶,对企业造成了大量损失。
-
作恶设备:群控、云手机、模拟器→个人手机
-
作恶资源:黑卡、黑IP→个人手机号、IP
-
作恶特征:协议破解/模拟操作→真人操作
结合以上传统黑灰产作恶方式与真人作弊的对比我们可以直观的了解到,传统风控手段对真人作恶无法有效发现及风控。传统风控手段主要依赖
“黑卡+黑IP+工具特征+设备维度”
对黑灰产的行为进行判定及风控,然而在风控手段日益健全的当下,真人作恶的出现使得传统风控识别黑灰产的方法论出现了偏差。
以某视频行业客户为例,客户企业业务部门判定为真人的账号,在活动结束后从业务行为中快速消失,而客户之所以判定客户为真人账号,就是基于传统的“猫池卡+代理IP”判黑方法。由于对于真人作恶缺乏有效监控、风控手段,导致传统风控失效,企业蒙受资损。
通过对情报的分析,我们可以得出以下结论:
-
通过真人作恶造成的企业资损规模已经无法忽视;
-
真人作恶行为具有
难发现,难风控
的特点;
结合以上四点真人作弊当前趋势,永安在线基于自身业务安全情报平台,新增了以下三项
真人作恶风险识别能力
:
3.1 真人作恶受攻击业务活动预警能力
以某银行业客户为例,该客户旗下信用卡平台在
2021年1月26日和3月15日
两次上线针对该平台的“新用户注册领话费”活动,通过情报平台真人作恶风险识别能力监控,两次活动开始时均出现了大量众包任务的攻击,及时为客户预警,协助企业降低损失。
图2-1 某银行业客户“新用户注册领话费”活动真人作恶攻击趋势
业务安全情报平台当前对
全网500+
真人众包平台进行覆盖,对其中
50+高任务量
的活跃平台重点监控,当前每日可捕获
32000条左右
真人众包任务。真人作恶风险识别能力基于大量任务为基础,通过自动化识别、分类,每日可监控到全网正在遭受真人作恶攻击的活动
400+
。
图2-2 遭受真人作恶攻击业务活动预警+作恶ID识别样本示例
3.2 真人作恶者ID提取能力
以某金融类客户为例,旗下信用卡平台、两个贷款平台同时有三个活动在线,且三个活动均受到真人作恶攻击,通过情报平台真人作恶风险识别能力监控,三个活动下均精准定位到借由众包平台进行活动“薅羊毛”的作恶者个人ID。
图2-3 某银行业客户“贷款app拉新”活动真人作恶ID样本
通过众包平台发布任务的个人或团体可以定性为互联网黑灰产
。
根据永安在线情报平台捕获到的真人作恶情报分析,
70%以上
的众包平台“大师傅”会在真人作恶过程中留下个人信息,这些信息来自于
“二维码、小程序码、邀请码、邀请口令、邀请链接等”
渠道。永安在线业务情报平台真人作恶风险识别能力
依托海量情报支撑,结合自动化识别风险ID的能力
,高时效性、高准确性的为各企业在真人作弊攻击中精准定位核心作恶者。
2.3 真人作恶者设备特征识别能力
以某短视频客户为例,客户表示:“目前存在一种黑灰产的作弊方式是挂机工具形式的众包平台,在这个工具app平台后端是连接可以调起快手app,只需要登上账号即可自动操作,进行刷赞刷粉不固定的随机操作,一定程度上可有效避开风控系统。如果可以监控到这些众包形式的挂机app,对业务风控是有价值的。”通过对当前applist能力的测试后发现,客户可以借由applist能力,通过设备识别,对真人作弊者设备进行风控。
业务安全情报平台当前对
全网500+
真人众包平台进行覆盖,对其中
50+高任务量
的活跃平台重点监控,且量级保持不断更新增长。当前结合永安在线业务安全情报平台的applist能力对于设备方面的识别判定后,真人众包平台活跃设备ID
“imei”
量级在
18
00000+
。因此,结合“applist+imei”的能力,可以协助企业针对真人作弊者设备特征进行提取风控。
