顶象 · 6月19日 · 浙江

广告作弊和薅羊毛,让电商618的推广营销白做了

电商购物节不仅是消费者的饕餮盛宴,也是黑灰产的牟利蜜糖。一方面,在618年中大促这样的活动中,为了避免影响客户体验以及业务系统稳定,很多电商平台会降低业务安全灵敏度,对部分风控规则放开。另一方面,黑灰产会使用一些新的欺诈手段,以更隐蔽复杂的方式发动攻击,谋取最大化利益。

根据顶象防御云业务安全情报中心监测此前发布的数据显示,双十一、618等网购促销日风险最多。其中,11月风险占比为39.72%,6月占比为20.69%

电商平台的营销周期从狂欢日的前半个月到一个月之前开始,整个营销投入贯穿1—2个月,这给了黑灰产充分的时间去研究各个电商平台的活动流程和规则,为后续的营销欺诈活动做攻击准备。电商平台的热门商品和推广,成为黑灰产牟利的手段。

薅羊毛,让商家的热门商品被抢走

购物节期间无数消费者摩拳擦掌,很多优惠或特价商品却总是出现“已售罄”或“暂时缺货”。这是什么原因呢?原来很多热门、限售商品或者高性价的商品被羊毛党抢走。

羊毛党抢优惠券、秒杀特价商品等行为,不仅损害了消费者合法利益,也给消费者、商家、电商平台带来重大的经济损失。数据统计,电商企业70%~80%的营销费用会被羊毛党吞噬,每年造成千亿损失。

羊毛党抢优惠券、秒杀特价商品、虚假用户注册等行为,不仅损害了消费者合法利益,更给企业带来诸多潜在的数据泄露风险,给消费者、商家、电商平台带来重大的经济损失。

批量注册虚假账号。注册是创建一个账号的关键流程。黑灰产利用注册机能够进行批量自动化账号注册,从而注册几百乃至几万个账号,以实现大量抢货、囤货。

使用群控对账号进行操控。黑灰产利用群控可以实现一台电脑控制上几十、几百部乃至几千台设备,进行统一的注册、登录、抢购、下单等。群控还提供模拟定位、摇一摇、批量导入通讯录等功能,还可以进行消息推送。

伪造IP位置。IP 地址就是用户上网时的网络信息地址。黑灰产使用秒拨 IP 的工具,能够自动调用全国甚至国外的动态IP地址,具有自动切换、断线重拨、自动清理浏览器的Cookies缓存、虚拟网卡信息等功能,能够快速无缝切换国内国外不同区域的 IP 地址。

伪造GPS定位。GPS 定位就是用户使用网络服务时所处的地理位置信息,黑灰产利用模拟软件、第三方工具,就可以改变所在位置的经纬度,可以实现任何地方的瞬间“穿越”。

伪造设备属性。设备的型号、串码、IMEI等具有唯一性。黑灰产利用改机工具能够从系统层面劫持设备接口,当应用调用这些接口来获取设备的各项参数时,获取到的都是改机工具伪造出来设备的属性信息。一般来说,2~3分钟改机工具就能完成1000个设备属性。

商家如何防范薅羊毛

业务风险欺诈不断变化,手段更迭快速,新攻击手段对既有的防控措施进行了调整甚至免疫,传统措施不能及时对新风险进行识别和预警。而且网购平台很多业务安全流程上很容易互相矛盾,甚至相互打架, 一旦出现误判,将直接影响订单交易和店铺运营。

识别并预警风险IP地址。接入IP风险库,对用户所关联IP进行风险匹配,识别代理、秒拨IP风险,拦截恶意IP地址。

识别并预警风险设备。识别客户端的设备指纹是否合法,是否存在注入、hook、模拟器等风险,识别客户端的设备指纹是否合法,快速识别刷机改机、Root、越狱、劫持注入等风险。快速识别同设备多次激活、同设备关联IP行为异常,同IP短时间大量聚集、同一渠道中老设备型号占比异常、同一渠道中老操作系统占比异常等维度。

识别并拦截风险账号。判断完成验证时的验证环境信息和 token,及时发现异常和风险操作。检测账号异常行为。基于用户行为进行策略布控,针对同设备切换大量账号进行订单发起的账号进行布控。

分析与预测未来风险行为变化。建立本地名单动态运营维护机制,基于注册数据、登录数据、激活数据,沉淀并维护对应黑白名单数据,包括用户ID、手机号、设备等维度的黑名单。线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对注册、登录、下单、抢购行为进行建模,模型的输出可以直接在风控策略中使用。

广告欺诈,让电商的巨额推广打水漂

网购节电商平台会通过投放大量广告和信息流进行推广,以吸引更多消费者。不法分子利用多种方式如进行广告点击、推广数据作弊等谋取利益。环。一方面广告投放后只能拿到相应的点击量、激活量、注册量,留存率却很低;另一方面数据中大量的虚假流量,没有真人用户的转化,投入人力对转化失败的数据进一步分析也无法定位到真正的原因。这不仅浪费了广告方的推广成本、时间成本、开发成本,更给广告主带来大额的资产损失和大量无价值的虚假用户。

顶象防御云业务安全情报中心分析显示,不法分子进行电商广告作弊主要有人肉刷、机器刷和积分墙刷等三种形式。

人肉刷。肉刷是以真机作为载体,通过特殊的刷机软件,篡改手机的环境参数,如:IMEI号、手机号码、IMSI、MAC地址等关键参数,在人工的操作下,假冒多用户下载、激活、注册和使用的流量作弊行为。

机器刷。攻击者使用一大批手机反复改机,伪装成新手机对同一APP反复进行“安装-激活-删除-安装-激活-删除-安装-激活”,达到刷激活量的方式,俗称机器刷。机刷设备从指纹端识别一般都有root、模拟器、vpn等风险,且从设备的充电状态、GPS信息、SIM卡信息检测上都会存在异常行为;可结合设备信息、追踪用户行为信息、留存率、在线时长等业务数据结合防控;

积分墙刷。积分墙是真人真机操作,墙上的用户都是真实的手机用户,虽然大多数用户在完成任务后就将APP卸载了,但是存在一定比例的转化率,所以不少广告主还是会选择积分墙的推广方式。

因为有实际的奖励刺激,用户会想尽一切办法通过积分墙获取奖励,这就催生了积分墙作弊薅羊毛行为;部分用户会通过操控批量虚假用户做任务作弊的方式大量赚取推广费用,造成推广试玩对象数据大量掺假,对广告主造成了大额损失。

电商平台如何防范广告作弊

基于推广作弊手段,顶象防御云业务安全情报中心建议广告主可在终端加固进行防护,同时结合业务侧进行多组合产品进行防控,进一步保障推广效果。

保障客户端安全,防范黑灰产篡改劫持。顶象自适应的App加固基于图神经网络技术,通过深度分析并提取代码的特征,能够根据不同代码块的特点,自动选择适合的方法进行混淆,大幅提升提高代码的逆向分析难度,有效降低50%的计算性能消耗。其通过加密混淆引擎,对App代码进⾏加密、混淆、压缩,可以⼤⼤增加App代码的安全性,有效防⽌App被攻击者破解、复制、二次打包。

保障账号安全,防范账号遭盗用。顶象无感验证基于AIGC技术,能够防止AI的暴力破解、自动化攻击和钓鱼攻击等威胁,有效防止未经授权的访问、账户被盗用和恶意操作,从而保护系统的稳定性。它集成了13种验证方式和多种防控策略,汇集了4380条风险策略、112类风险情报、覆盖24个行业和118种风险类型。其防控精准度高达99.9%,并能快速实现从风险到情报的转化。同时支持安全用户无感通过,实时对抗处置能力也缩减至60s内,进一步提高了用户登录服务体验的便捷性和效率。

识别伪造的设备,防范各类恶意异常行为。顶象设备指纹通过将多端设备信息的内部打通,对每个设备生成统一且唯一设备指纹。并搭建基于设备、环境、行为的多维度识别策略模型,识别出虚拟机、代理服务器、模拟器等被恶意操控等风险设备,分析设备是否存在多账号登录、是否频繁更换IP地址、频是否繁更换设备属性等出现异常或不符合用户习惯的行为,追踪和识别欺诈者的活动,帮助企业实现全场景各渠道下同一ID的运营,助力跨渠道的风险识别与管控。

挖掘潜在欺诈威胁,防范各类新欺诈攻击。顶象Dinsight实时风控引擎帮助企业进行风险评估、反欺诈分析和实时监控,提高风控的效率和准确性。Dinsigh的日常风控策略的平均处理速度在100毫秒以内,支持多方数据的配置化接入与沉淀,能够基于成熟指标、策略、模型的经验储备,以及深度学习技术,实现风控自我性能监控与自迭代的机制。与Dinsight搭配的Xintell智能模型平台,能够对已知风险进行安全策略自动优化,基于风控日志和数据挖掘潜在风险,一键配置不同场景支持风控策略。其基于关联网络和深度学习技术,将复杂的数据处理、挖掘、机器学习过程标准化,提供从数据处理、特征衍生、模型构建到最终模型上线的一站式建模服务。


业务安全产品:免费试用

业务安全交流群:加入畅聊

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息