“双十一”不仅是剁手党的消费盛宴,也是黑灰产的牟利狂欢。电商平台遭遇到的薅羊毛、刷单炒信、账号盗用、恶意爬取等业务风险是平常的数倍。
“双十一”期间,电商遭遇的什么业务风险*多?顶象2018年第三季度业务风险监测数据显示,恶意爬取是Q3所有业务风险中占比*高的,排在第二位的是虚假注册,其次是账号盗用、推广作弊及其他、薅羊毛等。
电商平台面临的五大业务风险
恶意爬取
*近爆发的马蜂窝事件中, 揭露出旅游平台数据作弊的问题。从其他网站抓取页面商家内容和用户点评数据非常简单,使用“爬虫”技术和人工编辑就能做到。其实,这种恶意的数据爬取不仅发生在旅游网站上,在电商、视频、航空、资讯、社交等平台上也很普遍。
顶象2018年第三季度业务风险监测数据显示,数据恶意爬取在所有业务风险中占比超过65%。该监测与网宿发布的《2018上半年中国互联网安全报告》数据一致(其报告显示:今年上半年,恶意“爬虫”攻击数量环比增长了55.79%)。由于网络爬虫是程序化操作,24小时不停歇爬取数据,因此网站平台遭遇的爬虫威胁也不间断。
数据是互联网的重要资产,在知识产权日益受到重视的今天,数据被窃取给企业造成重大损失。这种恶意爬取消耗了大量带宽和服务器资源,给企业造成严重浪费。而被恶意爬取的数据不仅可以被黑灰产进行转售,更可能被用于制作假冒的电商网站进行钓鱼诈骗等。
虚假注册
2017年9月,广东省公安厅网警总队查获了某虚假注册账号的团伙。该团伙在某出行App注册了数十万虚假注册账号进行出售,这种不实信息注册的账号,给平台和用户带来经济损失,也给社会治安带来*大隐患。
虚假注册是黑灰产进行牟利的重要工具。顶象2018年第三季度业务风险监测数据显示,虚假注册在所有业务风险中的占比超过15.4%。
薅羊毛、恶意爬取数据、推广作弊、网络欺诈等等都离不开虚假的账号注册。针对 “双十一”、“双12”、“618”等购物节,黑灰产会提前几周或几个月就开始进行大批量的注册虚假账号,以备薅羊毛、诈骗等牟利使用。
账号盗用
账号盗用不仅给平台和用户带来直接威胁,也是薅羊毛、推广作弊的牟利的重要工具。顶象2018年第三季度业务风险监测数据显示,账号盗用在所有业务风险占比超过7.8%。
账号盗用与账号信息泄露有非常大关系。今年发生了数起大规模的账号泄密事件,包括华住集团、AcFun弹幕视频网等,涉及账号密码数亿条,这些泄露的账号很大一部分通过地下黑市流入到了黑灰产手中。
黑灰产拿到泄漏的用户和账户信息,进行洗库、“撞库”后,除了网络诈骗、电信诈骗,还会转走账户内的余额、积分等,更会操纵账号进行薅羊毛、刷单、刷票、刷粉等。
薅羊毛
薅羊毛是网友们广为所知且喜闻乐见操作。薅羊毛分两种:一种是企业通过折扣促销等的主动让利,吸引真正的消费者来薅,从而提升交易规模,增强用户体验;另一种是黑灰产利用企业的业务漏洞,借助技术手段,批量抢夺原本属于用户的优惠和福利,再转售出去进行获利。
顶象2018年第三季度业务风险监测数据显示,各平台遭遇到薅羊毛风险是在所有业务风险中比例达5.6%。
由于操作简单、参与门槛低,薅羊毛已成为电商领域*大的业务风险之一。每年的“双十一”购物节,为了避免影响消费者的购物体验以及业务系统的稳定,很多电商平台会削弱风控的力度,或是部分开放风控规则,由此暴露出更多已知和未知的业务漏洞,给了羊毛党更多的可乘之机。羊毛党更会利用更先进的技术手段、更大规模的攻击力量来进行薅羊毛。
推广作弊及其他风险
每年“双十一”前后,各个电商平台会公布或处罚一批刷单炒信的商家。
2016年4月以来,杭州市西湖区市场监督管理局查获四家涉刷单炒信的网站,涉案刷单金额累计高达1.2亿元,涉案商家1.86万家,涉案刷手6.36万名;2016年9月,河南省工商部门查处了一个特大网络炒信团伙,虚构交易数近500万单,总流水金额超17亿元,涉及两千余个京东商家。
刷单炒信属于推广作弊的一类:商家为了提高销量和增加用户好评,雇佣网络刷手“购买”商品,然后将购买款返还并收回货物,从而达到增加人气、提升销量的目的,也就是刷单炒信。
另一类是平台的合作伙伴或内部人员,为了达到推广目标,利用各种技术手段伪造推广结果,骗取市场费用;部分进行数据恶意爬取的行为也是基于该目的。
顶象2018年第三季度业务风险数据显示,推广作弊及其他风险在所有业务风险占比达6.2%。
预防业务风险的技术手段
针对恶意的数据爬取
恶意爬取可以通过技术手段防御。
很多进行恶意爬取的爬虫程序头或者UA中,默认含有类似python-requests/2.18.4等固定字符串;还有很多恶意爬虫经常使用某些固定IP.....常规的技术性防护很容易被绕过,采用智能验证码+实时决策引擎是目前比较有效的一种防御组合方式。
智能验证码能够实时检测访问者行为,当某一爬虫程序或虚假用户访问页面次数过多后,系统就自动请求跳转到一个验证码页面,只有在输入正确的验证码之后才能继续访问网站。再结合设备指纹、决策引擎的等综合判断,实现对于爬虫的有效拦截。
针对虚假注册、账号盗用、薅羊毛和推广作弊
黑灰产的虚假注册量非常大,会使用模拟器、群控、刷机改机后的设备等手段,这些操作与正常用户的人工行为有很多差异。而且,注册账号需要手机号码,以进行注册登录、实名认证、奖券礼品领取等,这就需要大量的“黑卡”(黑灰产用于批量操作的手机号码)以及“猫池”设备,进行批量的账号注册和绑定。
设备指纹能够有效侦测模拟器、刷机改机、团伙作弊等操作,防范设备伪造、批量虚假注册等恶意行为。而且顶象数据服务提供了5000万风险手机号检验、1.2亿风险IP检验服务,能有效拦截恶意号码和风险IP的注册。再利用智能无验证和实时决策引擎,能及时检测到针对账号的异常登陆、批量登陆、账号盗用等恶意行为,有效防范黑灰产的盗卡盗刷、薅羊毛、推广作弊等威胁。
此外,监管机构也有针对推广作弊的监管规定。
2018年1月1日起施行的新修订的《反不正当竞争法》中明确规定,经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者。同时,经营者不得通过组织虚假交易等方式,帮助其他经营者进行虚假或者引人误解的商业宣传。不久前,十三届全国人大常委会第五次会议表决通过《电子商务法》,将自2019年1月1日起施行。该法律对规范电商领域各主体行为,维护电商行业市场秩序,引导电商行业持续健康发展都有重要意义。