雙十一將近,黑產壓境電商平臺應該何去何從
前言
雙十一強勢來襲,一年一度的剁手季我們怎能放過,結果開啟各大電商APP,emmmmmmm……這些不都是中文嗎,為什麼我有點看不懂?規則越來越複雜,商家看不懂,買家看不懂,萬萬沒想到“厲害”的羊毛黨還能從中“爽”到……
你有你的張良計,我有我的過牆梯
首先回顧一下過去,從2009年淘寶開展“雙十一購物狂歡節”之後,國內電商一年一度的盛會慣例逐漸形成。發展到今天,玩的花樣越來越多,參與其中的消費者也越來越多,其消費規模也在不斷擴大,2017年雙十一全網交易額竟然高達2539.7億元。
但是在這樣的巨大的流量背後,“羊毛黨”很可能成為各個平臺方最為頭疼的一群人。 從曾經的瘋搶優惠券到後來的 “壟斷0元搶購”,在這些背後,都是一場黑產與平臺方的安全對抗。
優惠券: “羊毛黨”,大多采用群控軟體+改碼軟體的手段,不斷重新整理移動裝置的Mac地址,imei等手段,把已有的裝置偽造成很多新的裝置,從而繞過平臺的監控,以此方式薅取電商平臺的優惠。
這種情況給店家帶來的傷害是巨大的,比如很多優惠券、滿減活動一經展出,在“羊毛黨的努力”下,不到半小時就會被哄搶一空。
“0元搶購”:當我們在迷思“為啥我總是搶不到”時,羊毛黨們早就穩操勝券搶到手。他們背後大多借助機器批量操作,“人機大戰”下普通使用者自然難以招架。目前來說,薅羊毛中的技術思路大體一致,和之前差異不大。
羊毛黨一次次的“擦邊”,而各個商家、平臺也不斷解決,並且努力的嘗試完善活動規則,提高平臺的風控能力。比如在優惠券的設定上限定個人只能使用一張、再比如對於領取環節也適當增加了門檻……
但是攻防之路不會如此輕鬆就結束,在利益的驅使下,這些“羊毛黨”似乎總是有空可鑽。
蠢蠢欲動,黑產見縫插針
而今年的雙十一的規則更加細(fu)化(za),別怪消費者數學不好了,現在是就連商家都一臉懵……
萬萬沒想到的是“羊毛黨”不僅看懂了,還能薅錢!
以淘寶為例,今年開展“集能量瓜分紅包”的活動,主要被包裝為以下三種玩法:
① 簽到:10月20日到11月9日期間,去預設的各個店鋪簽到獲得能量值。
關鍵詞:除天貓店鋪以外,其他數個阿里系平臺均可獲得能量。
② 組隊PK人氣:邀請好友,最多組成5人戰隊。並在10月20日到10月31日期間開啟PK。 邀請好友助力,每個使用者每天最多可以給3個非自己所在戰隊的其他戰隊助力;勝方隊伍可以獲得能量池中的能量;Top11隊伍獲得清空購物車大獎。
③ 挑戰奇蹟:11月1日到11月9日期間,完成系統分配的任務,拉好友助力,將其歷史雙十一購買情況和淘氣值計入戰隊任務,最終隊員瓜分能量。 (關鍵詞:無歷史雙十一購買記錄或淘氣值的使用者無被邀請價值。)
簡單來說,活動的基本邏輯就是是通過各種方式賺取能量值,最後支援100能量值兌換1元現金的遊戲。特別的是,平臺方在多個環節引入了“好友助力”。 一時之間,我們的生活變成了這樣……
與此同時,羊毛黨也坐不住了,各種互贊群群應運而生。
當然也由於平臺方規則限制,一個賬號每天最多隻能為3支隊伍助力。但是你懂得,除了想薅點羊毛之外,有些時候我們組隊可是為了尊嚴而戰。
於是,賣讚的行當黑產也沒有放過,十點之後2元一個贊。這黑產未免有些黑了(黑產有點黑沒毛病…),畢竟100能量=1元,而每天贊數最高的能量也不過288元起,很可能勞累一圈僅換來300能量=3元……
還不算完,還有各種引申出來的亂象軟體,所謂的“雙十一點贊神器”只有0KB……
黑產大軍壓境,電商平臺何去何從
我們知道,近年來“羊毛黨”的不斷髮展,我們不能將其定義為簡單“佔小便宜”的群體,而應該認識到其已經逐漸形成了一條龐大的利益鏈條。
而這其中,除了存在巨大的利益空間之外,更多在於他們不斷的“擦邊球行為”——難以劃分的灰色地帶。如何看待“羊毛黨”的具體行為是否越界,可以從以下兩個角度參考:
① 他們的交易行為是否屬於虛假消費;
② 他們是否作弊,即有沒有大規模惡意研發、使用相關軟體、工具進行批量操作的行為。
比如後者,在法律層面已經給出了參考,2017年11月底,山西法院通報一起製作、銷售黃牛搶購軟體案件,3名犯罪嫌疑人分別被判2年、3年、3年有期徒刑,並處罰金3萬元。這成為國內首起“薅羊毛”領域的入刑案件。
除了法律層面存在難點,在聊到“羊毛黨”時,絕大部分企業也同樣是苦不堪言的。雖然羊毛黨會在短期交出一個“流量資料”相對好看的答卷。但是這樣以投機心理為出發點的“使用者”,難以留存;並且一定程度上損害了正常使用者的權益;如不加以管理很可能出現“良幣驅逐劣幣”的現象,與活動初心相悖。更有甚者,很可能被“薅死”……
而未來到底該何去何從,在這場博弈中,平臺方註定需要投入更多。為此,我們專門邀請到極驗深知產品負責人王文達。
他指出,首先我們必須要認識到,對抗“薅羊毛”乃至所有的黑產,這都不是一件一蹴而就的事情。正如我們常說的“安全的本質是對抗”。也就註定與黑產的對抗將在一個持續的過程中進行,這世間不存在一勞永逸的安全解決方案。
就像我們此次討論的“薅羊毛”,傳統思維會單純依靠在一個“登入/註冊”一勞永逸解決所有問題,但效果或許並不如人意。因為黑產除了從比較有技術含量的純程式碼及資料邏輯角度出發,還有一大批手工薅羊毛者,其中集合“工具+大量人工”的方式,並且近年來產業鏈日趨成熟,不僅攻擊手法是多樣化的,攻擊群體也不斷變化。
所以重要的是除了純粹的技術方案,還要構建起一種系統性工程。“儘可能的提高黑產成本,損失最小的業務資源”,這種思路看似“雞肋”,但卻是在註定長期的“消耗戰”中最應當持有的態度。
一方面,我們注重當下的識別和判斷,另一方面也要讓安全策略擁有更長的生命週期。這意味著,簡單的攔截不再是我們的最優方案了,因為這不僅白白浪費提高黑產成本的機會,更可能使黑產利用風控來“訓練”技術。所以,建立長期的防禦體系更為可取,在察覺異常時,做好長期的監控與分析,採取不同的處理方法,甚至嘗試“迷惑”黑產,最終讓黑產疲於應付不同的處理手法,消耗成本。
*本文作者:GEETEST極驗,轉載請註明來自FreeBuf.COM