遭遇刷单、恶意注册?我这里有一本《如来神掌》

    相对于实体商品,虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。过去很长一段时间都在讨论实物产品的风控技术,今天我们谈谈虚拟供应链产品的风控。

实物商品风控有时间优势

电商平台上的实物商品交易,永远绕不开空间转换。无论你购买什么商品,下单付款后一定还要经过仓库、物流和配送等环节,才能完整地走完购物流程。这为平台风控系统预留了足够的风险计算时间,在此期间风控系统可以随时发出指令终止流程,遏制损失。

 

以上红色区域内任何时间点,电商平台都有机会对异常订单发起拦截操作。但虚拟供应链体系下的订单并没有类似的时间空档,这对风控系统提出了巨大的挑战。

虚拟供应链跨时空无物流环节

虚拟产品以在线交易和即时交付为基础,因此一旦完成付款,虚拟产品就应该立即交付给消费者,这中间几乎没有等待的时间。试想你在餐馆吃饭,结算时正要购买一张团购券。当你完成付款后,系统告诉你优惠码需要1小时候才能发送到你的手机,你是否能接受?虚拟供应链产品交付过程中的任何时间上的等待,都会导致用户体验的下降,更不要提2~3天的物流派送时间。

 

虚拟商品可复制,一经发货覆水难收

类似于团购激活码、会员充值码、门票兑换码这类虚拟商品,一旦商城发货,消费者就可以立即明文获取,并且能够快速复制和传播。电商平台通常都不可能直接获取已发货电子商品的使用状态,因此也无法在发现交易风险后快速撤销订单,取消“发货”。

举个例子,如果某电商平台X和迪士尼合作在线售卖迪士尼门票。如果下单人员就站在电子出票机前,前手下单后手就从自助机上取出门票。就在订单发生5分钟之后,电商平台X通过数据分析发现这笔订单存在欺诈交易风险,试图拦截交易。但因为此时电子码已经被兑换,取消订单已无意义……

 

当然在某些场景下,电商平台可以和线下供应商进行沟通和协调,取消或冻结某些电子券,但总体来看成本(时间、技术和商务)非常高,成功率难以保证,风险不可忽视。上述业务特性就决定了虚拟供应链安全不容忽视,那么典型的虚拟供应链风控场景包括那些呢?

虚拟供应链安全典型风控场景

团队在过去一年里与黑灰产在虚拟供应链交易环节做过无数PK,以下是我们总结的典型风控场景,希望对您有帮助:

●     盗卡交易

通过诈骗、木马等手段,盗用他人银行卡在平台购买虚拟产品。因为省去了仓库调拨、物流配送等环节,黑产可以快速购买商品并转手销赃。这类交易后期的损失和赔付往往由电商平台承担,因此风控系统必须能够遏制绝大多数的盗卡欺诈交易。

●     盗号获利

通过盗号攻击(例如以密码重用攻击为基础的身份盗用,也称为“撞库攻击”)获取大量用户身份,消费这类用户账户内的虚拟资产,购买虚拟产品等。例如,某电商平台支持以X豆兑换Y游戏的点卡。

●     批量养号

批量注册账户,并长期循环登录保持活跃,“积极”参与电商平台的各类领币、领券、赠积分等活动。等到账户内的积分、虚拟币等攒到一定级别,就可以转手倒卖或用于购买低价商品。

●     并发获利

工具党在利用积分、币、豆等兑换其它虚拟产品时,利用竞态条件采用并发操作的方式,产生多笔交易。例如,电商平台X网站开展活动以20积分兑换1个某视频网站黄金会员激活码。某用户账户只有20积分,但同时开了10个浏览器打开相同的兑换页面,以最快的速度同时向网站发起兑换操作。如果后台系统没有对账户积分做资源锁定,则很有可能该用户能够一次性兑换多个激活码。

●     套现获利

利用网站业务逻辑漏洞获取虚拟资产,再通过其它手段将虚拟财产转换为人民币资产从而实现非法套现。别问我怎么做到的……

●     破解算法

互联网上典型的虚拟产品是类似于优惠券、激活码、充值码等字符串形式的数字信息;最常见的形式,莫过于一串数字字母组合。以充值卡为例,好的充值密码在设计上做过充分的安全设计,特别是长度,字符类型等。但也有些厂商的充值密码存在重大设计缺陷,导致可被批量枚举,例如:某充值卡激活码样式类似SH81982。该验证码长度有限,且前两位是分销商区域标识(SH,上海)。攻击者在网站激活完全可以遍历最后5位数字。以现在的互联网速度和计算能力,用不了多久即可获取大量充值卡密码。

虚拟供应链风控建设

由于众所周知的原因,我们不在这里就技术实现的细节做展开讨论,但虚拟供应链风控的基本思想和策略还是可以和大家分享的。我们已经知道虚拟供应链与实体商品的售卖有重大的区别,因此对虚拟供应链风控系统、策略也提出了大量的挑战。风控系统必须能够做到精准识别风险交易,快速给出判定结果,有效地控制误报率和漏报率。推荐的一些思路如下:

●     使用同步和异步两种风控策略

为了提高虚拟产品购买体验,加速购买流程,风控系统必须提供强大的同步服务调用能力。业务系统在调用风控后,必须在数十毫秒内得到明确的结果,如:是否允许下单,是否允许付款等。针对单个交易,同步风控调用固然有效;但有些情况下异步风控仍然不可或缺。产品、业务方应该在尽其可能的情况下,提供风控系统异步决策的业务拦截机制,以应对那些通过跨时间段统计分析才能识别风险的欺诈交易场景。

●     建立特定标识的黑白名单

历史积累数据对风控决策有重要帮助作用。风控系统必须能够进行近实时、离线等数据计算,将计算结果写入某些中间集合。黑白名单是一个非常典型的技术手段。如果某些用户ID、IP、设备号等已经被列入黑名单,则风控调用过程中完全不需要再走风险计算逻辑,直接根据黑白名单即可输出结果。该方式将大大缩短风控响应时间,在保障安全性的同时提升了用户的购物体验。

●     做好项目安全评审

项目安全评审不仅仅包括代码安全评审,还包活从项目发起时的需求评审。例如公司要在线上做一期免费领券看电影的活动,那么风控团队就要评估:这个项目的在线活动是怎么个玩法(活动规则),主要风险点在哪,攻击者会使用何种方式来获利,现有的风控系统能否支撑该场景下的风险控制,是否需要调整部分规则规则以规避潜在的风险等。

限于时间和篇幅还有很多问题我们没有充分展开讨论,下一篇继续!在虚拟供应链安全这场对抗中,无论是黑灰产还是电商平台的风控团队,要想获胜就必须能做到以最快速度达到自身目的。一句话:手快有,手慢无!

  

本文作者:知情人士

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-09-30 12:52:55

遭遇刷单、恶意注册?我这里有一本《如来神掌》的相关文章

刷单入刑第一案追踪:庭审披露炒信细节,当事人黯然抹泪

在庭审最后陈述环节,"零距网商联盟"网站创始人李壹(化名)情绪低落,他表示后悔自己的所作所为,希望减轻处罚,早日回归社会,回到父母孩子身边.言及此,他黯然抹泪. 6月20日,全国首例网络组织刷单炒信(即信用炒作)入刑案,在杭州余杭区法院开庭审理.这是继去年12月,全国首例商家反向炒信入刑案后的又一起典型案例. 余杭区法院作了当庭宣判,李壹因创建网站在电商平台有偿吸纳商家入会组织刷单炒信,被以非法经营罪判处五年六个月有期徒刑,并处罚金90万元. 连同李壹牵涉另一起侵犯公民个人信息案,已被

京东用大数据打造风控“天网” 让刷单无处遁形

现如今,网购已经成为人们生活中的重要消费习惯,然而因为商品看得见.摸不着,用户只能透过店铺信誉.成交量.买家评价等信息来判断店家是否"靠谱".这些数据会形成用户对商家信赖度的重要影响,直接决定是否在该店铺进行消费. 这些本应是真实体现商家经营状况的数据,却出现了大量的造假行为--雇人通过虚假交易换取虚假好评,即使是空壳店铺也能通过刷单看起来和真实店铺一样,这不仅激化了电子商务领域的恶性竞争,更给大量假冒伪劣商品提供了发展空间,让普通消费者的利益蒙受巨大损失. 一直倡导公平消费环境的京东

京东称利用大数据打击黄牛与刷单:准确率99%

在刚刚过去的3·15晚会上,商家刷单的行为再度遭到曝光.事实上,在电商高速发展的同时,针对网购消费者的恶意行为也如影随形,其中最典型的就是黄牛抢单囤货和商家恶意刷单. 如今,网购已经成为人们生活中的重要消费途径,然而因为网上的商品看得见.摸不着,用户只能透过店铺信誉.成交量.买家评价等信息来判断店家是否"靠谱".这些数据成为用户对商家信赖度的重要因素,甚至直接决定了是否在该店铺进行消费. 然而,这些本应真实体现商家经营状况的数据,却出现了大量防不胜防的造假行为.如,雇人通过虚假交易换取

饿了么、滴滴用它对抗刷单和黄牛, “蚁盾”让黑产无处藏身

移动互联网时代,越来越多的交易和操作转移到了线上,而"黑色产业"却也随之扩散到各行各业.从电商行业出现的炒信刷单.O2O行业的垃圾小号.公众服务行业的黄牛倒卖,到羊毛党.骗贷骗保党.洗钱党--"黑产"从业者们利用数百万计的"黑卡".自动化的操作程序,遍及行业的情报系统来针对企业安全措施进,从中牟利. 据人民网统计,目前国内"黑产"从业人员150万,"黑产"市场规模超千亿,网民经济损失达915亿.而据国际金融

php利用验证码防止恶意注册学习笔记

 今天我们来研究下PHP验证码,我们通过简单的数字验证码来实现,首先来写一个生成验证码的代码:  代码如下   <?php //随机生成一个4位数的数字验证码 $num="";     for($i=0;$i<4;$i++){     $num .= rand(0,9);     } //4位验证码也可以用rand(1000,9999)直接生成 //将生成的验证码写入session,备验证页面使用 Session_start();     $_SESSION["C

坑爹新骗术:二维码刷单

现在生活在城里的年轻人,身上不带钱包太正常了.这群扫码达人的日常大概是: 路人甲:美女,扫个码呗?成为我家会有礼品送哦! 女主角:好呀好呀! 路人乙:美女,扫这个吃饭可以打折哦~ 女主角:好的. 路人丙:美女修眉吗?扫个码填写下资料就免费修眉哦! 女主角:好哇好哇! 路人--X:美-- 女主角:不用说了,拿出码来,我扫,有什么优惠呢? -- 然而这些看起来似乎很正常的扫码背后如果暗藏着杀机-- 套路啊!二维码刷单是个坑 雷锋网消息,最近做生意几十年的王女士接连收到数条陌生号码的"讨债"

解决PJBlog3 V3.2博客给恶意注册问题 修复验证bug

前天发现博客会员数增加了很多,查了下,很多属于恶意注册用户并且已持续了几个月: 搜索IIS日志,能查到对应的POST信息: 引用内容 2014-12-18 07:29:05 W3SVC179938905 42.121.105.222 POST /register.asp - 80 - 178.43.73.53 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/27.0.1453.116+Safar

电商信用流行造假 央视315曝光刷单黑产

本文讲的是电商信用流行造假 央视315曝光刷单黑产[IT168 资讯]随着互联网技术的发展,电商行业逐步滋生了以"刷单"为盈利模式的黑色毒瘤.前期有相关人士爆料,刷出蓝钻仅需1000元.这种行为很显然严重扰乱了电商行业的健康发展.今年3·15晚会,央视针对疯狂刷单黑色产业链进行了重点曝光,引起了业内关注. yy语音平台上刷单客服直接表示"刷单是普遍现象".只要给出佣金和本金,就能完成刷单交易.在淘宝上,刷单刷信誉每单价格为6元, 可以模拟真实购物过程,代发空包快递业

站长网播报:淘宝刷单只是空中楼阁 迅雷云播也倒下了

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 1. SNS军团地下产业链曝光 淘宝刷单只是空中楼阁 近期SNS军团正通过各种渠道散布"在家办公月入万元"的意向,吸引无数兼职者,而SNS军团也因此爆红网络.所谓SNS军团实际上就是"刷单军团",他们通过虚假购买和点评,帮助网店提升的销量和人气.现在,淘宝刷单军团已经形成了一个日进斗金的地下产业链. SNS军团地下产业链曝光 淘宝刷单只是空中楼阁 试想一下,如果是同样的产品,一家销售量极高,好评如潮,另一家则销