江苏龙网

  1. 首页 > 人文 > >

“再来一瓶”背后的快消黑产攻防战

“再来一瓶”背后的快消黑产攻防战

----“再来一瓶”背后的快消黑产攻防战//----[ http://www.caoding.cn]

题图来自:视觉中国

打开瓶盖 , 再来一瓶 , 在过去很长一段时间 , 拿着瓶盖去小卖部兑饮料 , 构成了我们对饮料行业促销手段的全部印象 。

2015年开始 , 玩法开始有了些变化 。 由于用户兑换、厂商物流的成本高 , 作假难辨认等问题 , 很多品牌开始放弃“再来一瓶”这样传统的方式 , 逐渐将营销向线上迁移 。

瓶盖上的“再来一瓶”悄然变成了二维码 , 扫码领红包的新玩法开始在快消行业风行起来 。 哪里有促销 , 哪里就有羊毛党 , 伴随着营销方式往线上的迁移 , 羊毛党也嗅着利益的味道紧跟而来 。

从“

再来一瓶”

到“扫码

领红包”

“再来一瓶”这种模式最早是由康师傅提出的 , 之后所有的饮料厂商几乎都效仿了这一方式 , 直到2015年 , 很多饮料生产企业开始发现 , 这一模式越来越难以为继 。

一来这种促销模式单一且不灵活 , 二来围绕着“再来一瓶”羊毛党们逐渐发展起了一整套的产业链 , 有人去废品站回收瓶盖 , 有人专门负责开模 。 简单粗暴的方式是直接仿造瓶盖 , 升级的手段则是将回收回来的“谢谢品尝”改成“再来一瓶” , 不断扩大的损失 , 让饮料厂商们被迫求变 , 东鹏特饮就是其中之一 。

作为深圳的一家老字号饮料生产企业 , 东鹏特饮在2015年之前也一直采用“再来一瓶”的促销方式 , 在最严重的时候 , 羊毛党曾给东鹏特饮带来几千万的损失 , 这让东鹏特饮不得不谋求营销方式的转型 。

2015年前后 , 微信生态内的各种功能服务日渐完备 , 基于微信扫码领红包的方式开始在营销圈扩散开来 , 这让受假瓶盖问题困扰已久的东鹏特饮看到了新的方向 , 开始探索数字化的促销手段 。

2015年8月 , 东鹏特饮正式上线了扫码领红包的促销活动 , 消费者扫一下瓶盖上的二维码 , 就可以获得现金红包 , 红包金额从2.8元到888元不等 。 活动一上线就吸引了单天150万左右的消费者参与 , 在最高峰的时候 , 单天参与人数可以达到近200多万 。

而嗅觉敏锐的羊毛党们也很快就嗅到了利益的味道 , 紧跟而来 。 东鹏特饮技术负责人董文波告诉钛媒体 , 在活动上线后 , 团队在对扫码记录做分析后 , 发现存在很多异常 。 比如会出现同一个ID号 , 在短时间内出现非常大量的扫码行为 。

这让东鹏特饮意识到 , 自己再次被黑产盯上了 , 按照技术团队当时的估算 , 有接近5%的红包的都是被羊毛党薅走 。 但事实上 , 实际的情况要比这更糟 , 在把整个数据跑出来之后发现 , 事实上被羊毛党薅掉的金额已高达8%-10% , 这个数据来自于腾讯安全旗下的产品——腾讯安全天御 。

瓶盖码背后的羊毛党江湖

天御是腾讯将其多年来黑产攻防经验产品化后的产物 , 主要为平台和品牌提供智能风控服务 , 帮助他们在营销风控、金融风控、内容安全等领域预防欺诈识别风险 。

东鹏特饮在2016年引入了这套产品 , 事实上在引入天御之前 , 东鹏特饮就已经将服务器迁到了腾讯云 , 此外 , 其在数字化的系统改造过程中 , 腾讯也参与了很多 , 包括派架构师与东鹏的团队一起做最早的架构规划 。

谈及为什么与腾讯走的如此近 , 董文波坦言 , 线下目前仍然是东鹏最大的业务来源 , 而腾讯在社交方面的资源 , 是东鹏颇为看重的 。 “我们快销行业的这个电商的这种占比是太低了 , 占我们总体营业额比重很低 , 所以这个也是为什么我们跟腾讯走的比较近的一个原因 。 ”

在2016年以前 , 东鹏还没有如今这个50多人的IT团队 , 很多相关工作都是外包给外部的团队 , 而发展到今天 , 公司IT团队的大部分人员还是在主要从事数字营销工 。 , 靠自己组建团队 , 去做大规模的安防技术开发与维护 , 对于一家做快消的公司来说并不现实 , 技术和投入都是很高的门槛 。

而基于之前的一系列合作 , 东鹏后来在得知天御这套产品后 , 双方顺理成章就继续在安防方面达成合作 。 来自东鹏特饮的数据显示 , 在接入腾讯天御后 , 黑产造成的损失比例被控制在了1%以内 , 从8%-10%到1% , 这为东鹏特饮挽回的营销损失是巨大的 , 平均每年为东鹏特饮节省3000万营销费用 。

直接看数据会有更直观的感知 , 2015年刚刚开始试水扫码领红包的东鹏特饮投入了一千多万元的资金 , 随后在看到营销效果后不断加码 , 从2015年到现在 , 东鹏特饮已累计为用户送出了超过15亿个现金红包 。

具体而言 , 天御主要从设备、行为、网络三个层面去对营销活动生成保护体系 。

其中 , 设备风险识别指对虚拟机、设备农场等风险设备等进行识别 , 发现欺诈设备;行为风险识别指可以识别机器注册、机器养号、撞库共计、帐号盗用、问题渠道、薅羊毛等风险操作和风险行为;网络风险识别指知识图谱对欺诈团队、高危群体进行识别 。

这背后对应着的 , 是瓶盖码背后的一整条薅羊毛产业链 。

线上与线下配合作战 , 是快消行业黑产区别与其他行业的最大地方 , 围绕着瓶盖码 , 羊毛党目前已经形成了瓶盖收集、分发、兑奖、变现一套完整的产业链 。

分布在全国各地的废品站是这条产业链的最上游 , 事实上 , 所有的营销活动都有一个参与率的问题 , 也就是说 , 不是所有人都会在打开瓶盖后去扫一扫 。 根据东鹏特饮的统计 , 扫码领红包的参与率一般在60%左右 , 最高的时候为67% , 也就是说有超过30%的瓶盖实际上是被消费者丢掉了 。

丢弃掉的瓶盖被黑产们通过各地的废品回收站回收回去 , 再用专业的扫码枪去把这些码转化成url链接 , 然后再通过各种线上平台分发出去 。

还有一种获取码的方式是被泄露的IP码包 , 2015年底东鹏特饮就出现过一次由于内部安全管控失误造成的码包泄露 , 这在当时造成了近乎灾难性的后果 。

很多消费者再开盖扫码发现该二维码已经被使用 , 批量的码包被黑产通过上述的方法大规模分发 。 东鹏当时了解到的情况是 , 有几万个号码在不断的进行刷红包操作 。

被转化后的url链接 , 会通过各大平台售卖获利 , 分发渠道主要包括社交群、社交媒体还有一些黑产自建的信息网站 。 根据品牌、可用率、中奖概率、红包力度的不同 , 不同品牌的瓶盖会在平台贴出不同的报价 , 在几毛钱不等 。

在规模化交易之下 , 羊毛党们可以获得十分可观的收入 , 来自腾讯安全获取的信息显示 , 以某品牌功能性饮料为例 , 分发平台针对此瓶盖码的单日收入可高达60万元 。

购买这些瓶盖码的有专业的团伙也有零星的散客 , 其中以散客居多 , 占比超过85% , 而这种羊毛党则恰恰是当下最难打击的一部分 。 帐号来自天南地北 , 不在同一台设备上 , IP地址也不一样 , 被伪装的与正常用户无异的羊毛党大大提高的攻防的难度 。

两种思路三道防线

从把一个羊头抓出来 , 到分散对抗千万个小羊毛党 , 腾讯安全高级产品经理闫阳坦言 , 这个对抗过程确实非常痛苦 。 但羊毛党作恶的不断进化也反过来推动了对抗手段的不断升级 , 腾讯天御在这个过程中逐渐形成了两条对抗思路 。

一来是利用已有的风控模型和经验来去做对抗 。 从文娱到社交 , 涉及几百项业务的腾讯 , 一直都身处黑产对抗的第一线 , 腾讯在业务上的广度和深度 , 是天御能够建立起一套成体系的风控模型的基础 。

“在这20年之间我们积累了非常丰富的风控模型和手段 , 对于什么样的行为 , 什么样的参数 , 什么样的环境 , 很多都是有关联性的 , 我们这边是用非常多的模型来去做识别和甄别的 , 这是很多厂商所不具备的经验 , 只有知道黑产怎么玩我才知道怎么对抗 。 ” 闫阳如是说 。

二来对抗零散的小羊毛党 , 则主要通过基于动态关联评估的黑名单共享机制下的联防联控 。

事实上 , 很多零散的小羊毛党都并非玩票的普通消费者 , 而是会频繁的参与到各种品牌活动中的“常客” , 所以通过对扫码行为的监测和不同品牌间黑产数据的动态关联分析 , 就能将很大一部分小羊毛党识别出来 。

举例来说 , 扫码行为都是发生在腾讯生态下 , 所以每发生一次行为触点腾讯就会有一次感知 , 而频繁的抽奖行为往往对应着风险 。

同时 , 一批黑产往往出现在多个品牌的营销活动中 , 目前腾讯天御在快消领域接入的知名品牌上已超过30家 , 积累了大量的恶意黑产样本 , 品牌间的黑名单动态关联分析可以帮助彼此规避很多风险 。

在具体的操作上 , 天御主要通过三道防线来帮助品牌识别风险 。 据腾讯防水墙安全专家介绍 , 第一道防线是从营销的最终节点C端客户着手 , 天御会通过腾讯社交网络的黑灰产数据 , 去判断用户是不是羊毛党 , 然后给出一个风险值 。

对于腾讯没有的一些黑产数据 , 包括一些异常数据 , 则会由合作伙伴提供 , 天御在对外输出风控接口的同时 , 也会获得品牌返回的问题数据 , 通过行业间联防联控 , 可以提高黑产识别的成功率 。

第三道防线被布置在更加靠前的节点——码的环节 。 黑产在收集完二维码后 , 会通过一系列动作去对码做验证 , 也就是判断这个码有没有被用过 , 这一环节被称作“洗码” , 而在这个环节黑产就已经会留下一些蛛丝马迹 。

为了在码的维度提高抗风险能力 , 天御会与一些码商进行合作 , 参与到从制码到扫码 , 到最终领奖的整个环节 , 从过去的单点防控 , 到与整个营销的每一个环节逐渐互通 。

但即使在如此的天罗地网下 , 黑产的攻防却永远是现在进行时 。 受利益驱使的黑产始终有源源不绝的动力去不断开拓新手段作恶 , 这难免让黑产攻防陷入一种不对称的状态 。

在闫阳看来 , 攻和防的本质在于提高对手的作恶成本 , 让他望而却步 。 “安全从来没有百分之百 , 我们要做的就是不断的抬高他的门槛 , 有一天他发现成本是越来越高 , 没有钱可赚了 , 自然就不会去骚扰品牌了 。

另外 , 整个行业在数据互通共享上的缺陷也是制约黑产攻防往前更进一步的原因 。 在整个黑产链条上 , 会涉及到品牌、运营商、交易支付、搜索、银行等诸多节点 。 而大家彼此间的数据是不共享 , 这就形成了一个个数据孤岛 。

“如果说我们整个行业有一个互联互通的黑产数据共享平台 , 这时候其实坏人不管去哪里 , 都属于过街老鼠 , 一下子就会被识别出来 , 这样对我们的整个行业 , 是会有非常大的帮助的 。 ”腾讯防水墙安全专家说道 。

而与很多行业面临的问题一样 , 这种数据上的互通共享很难通过单个企业去推动 , 企业一方面会担心自己的数据安全问题 , 另一方面也会顾虑合作的公平性问题 , 所以制约互通共享的核心在于 , 没有一个比较好的机制去确保各方利益的关注点 。

但业界的一个共识是 , 在黑产攻防这条路上 , 单靠单个企业的去升级打怪是行不通的 , 要想将攻防能力在往前更进一步 , 还需要仰赖整个行业的携手 , 比起技术的升级 , 开放与共享可能会更为重要 。 (本文首发钛媒体 , 作者/谢康玉)


    推荐阅读


    上一篇:蓝港互动王峰谈冯鑫被抓:他绝对不是做恶之人

    下一篇:55国接入中国支付,你的钱包被安排得明明白白