拼多多被薅羊毛事件复盘


羊毛党,越来越成为商家闻之色变的存在。

2018年12月17日,星巴克上线“星巴克APP注册新人礼”营销活动,遭受黑灰产羊毛党大规模攻击。他们利用大量手机号注册星巴克APP的虚假账号,并成功领取活动优惠券,导致星巴克的营销活动两天即停止。

2019年1月20日凌晨,黑灰产羊毛党又利用电商平台拼多多“无门槛100元券”存在的bug薅羊毛,导致拼多多巨额资金损失。

可以说,如何防范羊毛党是摆在所有电商平台面前的一大防控挑战。

复盘薅羊毛路径图

下面,我们通过网络上流传的一个截图,来聊聊IP地址监控防范的必要性。

该截图红色方框内标记的内容,点出了常见的羊毛党套路:

(1)同一IP地址下,多个拼多多账户;
(2)该批账户在凌晨3点到早晨9点之前进行了虚拟商品的交易活动。

根据这两个特征,可以明显地看出,对羊毛党的防范,需要两段式监控:

(1)对同一IP地址的多账户行为的实时监控,包括同一IP地址上短时间内出现的大批量的账户注册和登录的监控。当同一IP地址上,短时间内出现了大量的注册和登录行为,系统需要马上识别出其潜在的风险。
(2)对异常时间段内(通常是凌晨2点到早晨8点之间),如果系统已经触发了异常群体登录的警告,该同一IP地址上多个账户发生的大量交易,需要进行实时的监控防范。

在此,我们将拼多多的遭遇进行深入剖析发现,这种黑产漏洞是一个连续的链式攻破行为。如果对于链条上的任意一个环节进行控制,就可显著降低黑产羊毛党带来的损失。

下面,具体来谈谈拼多多遭遇羊毛党事件中存在哪些必须的链式节点,再就每一个节点做一个初步的剖析:

步骤一,黑产羊毛党需要一个账户注册过程,若要多获利,需要大量的注册账户;
步骤二,账户注册完成后,用某一账户进行试探,发现“100元无门槛抵用券”可以用来充值消费的漏洞;
步骤三,发现漏洞后,通过大量的注册账户来领券;
步骤四,领券后,直接进行大批量的薅羊毛活动,如进行话费充值以便套现;
步骤五,进行套现活动,如利用话费充值进行游戏点卡充值,随后专卖游戏点卡,以达到获利套现的目的。

洞悉了上述链式节点,反欺诈风控有针对性地对关键节点进行风控布防,即可降低潜在的套现风险。具体步骤解析如下:

在步骤一,我们需要注意的是批量的账户注册(垃圾注册),通常表现为同一IP地址下,一段时间内的连续的注册监控。
步骤二属于单个账户的试探行为,此时很难识别其存在的风险特征,只能通过持续不断的账户安全行为预判来做防范。例如,苏宁金融的极目账户预警系统就是通过监控账户的异常行为、群组识别、异常交易识别等手段,提前对可疑账户进行预判检查,来做防范处理的。
当黑产分子进行到第三步骤时,批量活动的特征就表现出来了,即同一IP地址上,短时间内发生大量的账户登录行为。
当进行到步骤四时,此时批量活动的另外一个特征就表现出来了,即同一IP地址上,短时间内登录的账户发生了相同的交易行为(如话费充值)。
当进行到步骤五时,黑产已经成功套现,反欺诈的识别工作失败。

识别黑产分子的杀手锏

我们是怎么识别这些黑产分子,从而避免被其薅羊毛的呢?

首先,我们在账户注册阶段就进行垃圾注册防范。核心是同一IP地址短时间内大量注册账户的识别。短时间内,同一个IP的账户注册活动远超往常,且登录的时间密集发生在一小段时间内。如果平台监控到这种行为,就应该意识到可能存在问题了。

其次,我们还对账户进行周期性的团伙识别。我们通过账户登录行为的一致性来判断哪些账户存在步骤三表现的群体性特征。通常黑产分子参与的活动都具有一定的规模效应,他们的行为通常存在着团伙关联,这些关联表现在一段时间内的密集一致行为上,如同一IP,或者同时间段内密集领券,或者密集消费的行为。通常这种行为分析需要一定的历史积累,如月度、半年、一年间隔的账户行为一致性的分析,进一步对账户进行分组分群。对历史分组的账户,IP分别进行监控,从而达到防范的目的。例如,苏宁金融对每个账户一段时间内的行为进行分析,从而提前做好账户安全的识别,防范未实时识别的群体羊毛党信息:

最后,在发生交易时,我们同样会对同一IP地址上短时间内密集发生同一种交易的行为进行实时监控,对已经标记异常的账户群体拦截其交易。通常,我们重点对异常时间段内(凌晨2点到8点)的交易活动进行防控。例如,普通的用户行为大部分表现为朝九晚五的活动特征:

很多黑产相反,凌晨活跃的情况更为常见。主要原因在于,凌晨通常是系统值守,发现漏洞时,可利用操作的时间更充分。

以拼多多的这次被黑产攻击为例,凌晨两三点钟,黑产分子发现“100元无门槛抵用券”可以无限制申请,则利用程序进行批量的账户注册再领券。完成领券后,又可以直接用于手机账户充值。

这样大批量地复制相同的操作,实现短时间内成千上万账户的手机充值操作。后续又可以通过贩卖该充值手机号码,如购买游戏点卡等操作,进一步套现获利。

如果我们提前限制单一IP上,在一段时间内的注册账户不能超过xx个,再结合手机充值使用的各种业务规则限制(如凌晨延期到早晨到账)。经过多重组合防控,则可避免出现潜在的套现风险。

当然,仅仅依靠单一IP地址上发生的这些特征进行羊毛党的监控,也不能保证就万事大吉了。

比如,近几年慢慢在投入使用的IPv6的地址,将会对当前的IP地址聚集性的特征造成严重的影响。因为IPv6的可用地址远超当前IPv4, 黑产完全可能让每个账户都独立使用一个IP。在新的技术上,黑产也完全有可能将一致性的行为进行分散化处理,这需要我们实时掌控账户在电商平台上的行为特征变化情况。因此,IPv6的普及应用,对于金融黑产防控来讲,是增加了困难程度,带来新的挑战的。

除此之外,对黑产的识别和防范上,登录设备的分析以及关系网络都是非常重要的维度,未来我们慢慢聊每个维度上有趣的发现。

来源:苏宁财富资讯;作者:苏宁金融研究院数据风控实验室首席研究员 郑清正

热门