这里是数美与黑产对决的一个长期堡垒,攻防双方的手段交替进化,数美先后攻克了简单刷机(通过修改单个设备信息,如IMEI号,用一台手机模拟出多个移动设备)、复杂刷机(通过修改多维度设备信息模拟移动设备)、Hook改机(通过劫持系统函数、返还虚假信息模拟移动设备)和多开(通过劫持系统函数,同时在单台手机上打开几十个相同应用,如几十个微信,提高作恶效率),把黑产逼到了不得不启用“真机农场”的境地。 而真机农场,就是“老老实实”地把一台手机当做一个设备来用,相比用一台真实设计模拟数个虚假设备,其成本已十分高昂。 可很快,反欺诈工程师们也找到了应对真机农场的关键:即便不刷机、不Hook,群控却依然是黑产无法绕过的核心,所以在对群控多维痕迹进行专门检测后,真机农场也无所遁形。 设备农场,攻破。 2018年的黑产新动向:云手机、硬件插件和积分墙 从2018年起,数美又开始遇到齐头并进的3种黑产新趋势:云手机、硬件插件和积分墙。 2018年9月下旬,云手机横空出世。就像其名称所展示的,这是云计算在黑产界的最新应用。 和“云手机”的对决,让Sw0rdH01der记忆深刻。 当时,数美正在服务某直播平台,该平台推出了看内容返平台币和签到返人民币的推广优惠。 诱人的利益引得各路黑产纷纷来战,数美很快在其中发现了一种与虚拟机相似,但设备特征略有差异的新型黑产,且在快速起量,结合情报推测,这很有可能是当时刚兴起的云手机。 云手机和传统设备农场的最大区别是:它背后并不是一个真正的手机,而是一套搭载在云服务器上的虚拟手机。 在云手机加持的新型农场里,场景更加“科幻”——挂在墙上的不再是成百上千的手机,而是一片片装载了安卓的板卡,这些板卡可被电脑群控,模拟正常智能手机的注册、点击、分享等一系列用户行为。 数美团队随即加班加点,在发现异常的一天内收集了市面上全部11款云手机方案,在两天内实现了复现(即模拟黑产进行成功攻击)和环境检测,并具备了识别能力。 策略团队随后跟进,上线封堵方案——方兴未艾的云手机,被绞杀在了青春期。某视频平台因而避免了数千万元的潜在损失。 云手机,攻破。 在云计算之外,黑产也开始用起了硬件插件。 去年底,就在云手机的热潮刚刚平息时,一个新“网红”又在黑产圈流传,情报群里最火热的信息都关于它:买大牛了吗?用大牛了吗? 不过就像数美反欺诈产品“天网”的寓意:天网恢恢,疏而不漏。一周之内,大牛也被干掉了——原来大牛是一款可插装在苹果手机上的硬件,它最牛的功能是,是插上之后,能让苹果手机在不“越狱”(开放用户操作权限)的情形下实现改机和篡改GPS的目的。 搞清了这个原理后,只要识别出相关特征,大牛也就不牛了。 大牛,攻破。 最近半年,数美又遇到了目前这波黑产中最难搞定的Boss级手段——积分墙。 积分墙其实就是“人刷”,由羊头和羊群协作完成。 厉害的羊头能触及多达万级乃至十万级的职业、半职业羊毛党。一旦有大漏洞出现,羊头就会将消息层层放出,组织大家一起薅——在由各种信号、传输协议连接的“平静互联网”中,羊头引领这支大军,进行着“夺金不用刀”的无声“抢劫”。开篇电商平台今年初的优惠券漏洞,就可以理解成一次惊动全网的“积分墙”。 积分墙的攻防难点在于,背后是真人、真设备。 “很难识别,这也是我们近期对抗的重点,不过现在也快识别得差不多了。”Sw0rdH01der告诉「甲子光年」。 识别的方法也自成体系,主要通过团伙特征和行为时序异常等维度来综合判断,再结合通过大数据例行运营挖掘出的积分墙应用,一起做到风险可控。 在以上的具体攻防之外,Sw0rdH01der对黑产对抗有一个精到的认识:对抗黑产,其实是在与人斗,对抗的是人性,利用的也是人性。 在人性层面,一是要给对手创造“绝望感”。 “一定要做纵深防御,你的识别模型,要一上来就是一堵高不可攀的墙,不搞则已,一搞搞死,这种防才有意义,让黑产完全断了再试一试的念想。” 而更根本的,是要直击黑产的核心利益和软肋。 值得强调的是,黑产最在意、最痛的是“没得赚”。 因此,与黑产的对抗,本质是一场成本的对决。 轮番上演的“黑产战事”看似西西弗斯推石头,徒劳往复,但它却能持续提高黑产的成本,让他们真正肉痛。 比如,积分墙这种手段由来已久,但在过去不是主流,因为要组织真人,就要群分利益,对职业黑产来说成本太高。而随着数美这样的黑产对抗者通过轮轮攻防对黑产步步紧逼,越来越多的黑产不得不重启成本高昂的积分墙。 最后,“人性不仅在对手面”,最难的一场仗是自己。 当你凝视深渊时,深渊也在凝视你。 在与黑产的战事中,比业务和技术能力更重要的是这条“价值观底线”。 4.以一当百的法门 黑产数量如此庞大,而数美公司只有几百人。 如何以一当百? 这得益于数美形成的反欺诈整体逻辑——一个通用核心原则:打组合拳。 在经历了“简单规则”、“专家系统”、“机器学习引擎”等阶段后,数美将不同出击手法拧成一个拳头,提炼成了一个整体系统——“全栈式智能防御体系”。 数美还从近4年的实践中总结出了“反欺诈三定律”: 反欺诈定律一:“好人”是多种多样的“好”,“坏人”是类似的“坏”。 反欺诈定律二:“好人”行为表现出高度信息一致性,“坏人”存在潜在的信息矛盾。 反欺诈定律三:“好人”的朋友通常也是“好人”,“坏人”的朋友通常也是“坏人”。 从三定律出发,数美用数万基础特征、数千高级特征、数百组风险模型和专家系统构成了一套“智能模型策略体系”,其流程如下图所示: “智能模型策略体系”之外,反黑产的另一要点是构建“纵深防御体系”,全面考虑了黑产全流程,在APP启动、账号注册、登录、关键业务行为(如支付、邀请、领券、下单、提现)等多个环节设下层层关卡,“一山放过一山拦”,最终实现“全局欺诈风险可控”。 复杂的全栈式智能防御,需要高效的协作,支撑数美做到这点的,是他们建立的一套反欺诈的全流程运营闭环:通过攻防、模型、数据挖掘等团队通力合作支持多个产品线和客户——攻防团队负责打前站,研究每个场景的对应风险;策略团队负责设计策略和查漏机制;模型团队负责调整或设计新模型;数据挖掘团队从海量数据里抽取建模特征;架构团队则负责维护整个系统的基础设施。 Sw0rdH01der把这套流程形容为“不停旋转的环”: “反欺诈服务和一般SaaS不一样,我们提供给客户的风控解决方案同时包含全流程运营体系,从攻防到策略设计、策略验证、上线,再到效果监控,案例分析,最终又会回到攻防,这个环会不停地旋转,不停地旋转。” 以上各环节,数美深入使用了大数据、AI技术,以自动化的高效手段让团队得以精兵上阵。 5.进击的数美 在内部精兵的支撑下,成立近四年的数美每年保持着3倍以上的营收增速,已成为国内反欺诈领域头部公司。 目前,数美正着手推进行业、产品线和服务线的拓展。 数美创始人及CEO唐会军告诉「甲子光年」,从2018年开始,他明显感到直接面向C端的各类传统行业有了越来越强的反欺诈需求。 随着“互联网+”渗透进更多行业,传统龙头都在试图与消费者建立直接线上联系,而有线上运营的地方,就有黑产的可乘之机和数美的用武之地。 在行业上,数美的客户已从互联网公司扩展到银行、保险、证券、地产、航旅、新零售等行业。 在产品上,数美则开始围绕用户运营提供全生命周期服务。 数美打造了以欺诈账号识别为核心的天网产品系列,和以智能内容过滤为核心的天净产品系列,两大产品系列形成了完整的反欺诈产品矩阵,涵盖金融、直播、社交、电商、游戏等行业的解决方案。 在服务上,数美已从拉新环节的反欺诈,扩展到了留存运营和数据保护。 |