红包抢不到？瑞数信息三步四招帮你打击黑产“薅羊毛”

又到了一年一度的薅羊毛双十一购物季，各大平台营销活动纷纷上线，红包黑产红包 、到瑞打击优惠券
、数信秒杀……这些优惠你抢到了吗？息步

为了拉新促活，一家知名保险公司近期投入上百万的招帮营销费用，在自家APP、薅羊毛微信小程序上线了一个“抽奖得红包”的红包黑产用户活动。然而，到瑞打击这些红包真正被用户抢到了吗？数信恐怕很难。经过瑞数信息的息步后台诊断分析 ，大部分红包并没有按计划被发放至终端用户手上 ，招帮而是服务器租用薅羊毛被大量“羊毛党”薅走了 。

通过日志分析，红包黑产瑞数信息发现了大量的到瑞打击高级自动化行为和批量接口调用等可疑情况 ：仅8天时间
， 简单脚本攻击就超过140万次，高级自动化工具使用了2万+次
，重访攻击逼近1.5万次，令牌篡改请求也突破了6000次。

换句话说，黑产团伙早就盯上了这个活动 ，通过系统化的技术手段和数以万计的账号 ，利用自动化的脚本程序，来批量参与保险线上平台的香港云服务器营销活动，以此获取高额利润。除此之外，由于黑产的大量“进攻”，营销活动页面经常卡顿，后端服务器难以支撑
，严重影响了真实用户参与活动的体验
。

那么问题来了，

为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为 ？

瑞数信息又是如何发现并打击黑产的呢？

为什么用户无法发现黑产“薅羊毛”？

事实上 ，保险公司的云计算遭遇并不是个例
。由于黑产分工明确、合作流程成熟，并且逐渐向隐蔽、专业 、精准方向发展 ，已经越来越难以被消灭  。据《数字金融反欺诈白皮书》显示 ，目前羊毛党已形成15余工种 、160余万从业人员、产业规模不低于1000亿元人民币的产业链 。

从黑产自身来看，“薅羊毛”的技术正在不断精进。建站模板相比于过去人肉作假，现在黑产更多采用Bots自动化工具 ，批量参与营销活动，进一步提升了“薅羊毛”效率。同时，黑产攻击手法更加拟人化，大面积地使用虚拟机、改码设备、批量养号等各种高科技造假手段，足以模拟正常用户的行为
、设备
、身份等系列特征，作案手法更加隐蔽
。

从外部环境看 
，随着数字化业务快速增长，源码下载APP、微信 、小程序、H5等多种业务接入渠道产生，API接口大量被调用，带来了巨大的敞口风险 。

一方面，小程序这类新兴线上渠道被攻击者逆向难度很低，只要调取代码就可以直接获取微信用户身份认证信息 ，完成登录、下单、查询等用户行为 。另一方面
，API接口承载着大量客户信息、业务和交易数据、高防服务器认证信息等关键数据 ，经常面临接口越权、未授权访问等安全威胁。黑产不仅可以利用应用漏洞进行攻击，还通过各类拟人化Bots模拟业务操作 ，实现业务攻击，对数字化业务的影响也在快速攀升。

内外交困之下，传统的业务安全/风控产品也疲态尽显 。

传统业务安全/风控产品的关注点在于账号
、IP、设备信誉以及固定规则，需要频繁地更新数据库和规则来应对黑产攻击。但如今的黑产已经可以通过丰富IP、使用肉鸡
、设备root 、手机群控等手段 ，让传统的业务安全/风控系统疲于应对 ，甚至无法察觉黑产的存在。

瑞数信息解决的保险公司“薅羊毛”这一案例中，保险公司之所以拦不住黑产  ，很大原因也在于该公司部署的WAF产品，只能基于固定规则和签名对异常行为进行判定，因此感知不到模拟真人的黑产攻击行为 。

三步发现黑产“薅羊毛”

针对传统安全/风控产品的弊端，瑞数信息利用独创的“动态安全+AI”技术，三步精准定位黑产“薅羊毛”行为
 ，有效打击各类网络欺诈，包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。

1      批量调取接口行为分析（重放、脚本自动化）

以上述保险公司案例为例 ，通过单独分析抽奖路径，瑞数信息发现：20%的请求操作行为字段为空值，可以判断这一部分是使用的简单脚本进行攻击；30%的输入操作记录为0 ，说明可能是通过高级自动化攻击发起的请求，或者是使用重放工具发起的请求。

正常的抽奖逻辑需要先访问抽奖页面 ，然后通过该页面发起抽奖的接口请求  。但瑞数信息从接口调用的referer发现 ：其中20%的请求没有前置页面请求，referer值为空，说明这些请求是直接自动化调用的抽奖接口，没有按照正常的抽奖逻辑进行抽奖。

2      高级Bots工具

通过日志分析，瑞数信息发现了不少高级自动化工具 。这类工具的访问日志中操作行为字段为空  ，没有人为的输入、滑动等行为，所有请求都是脚本驱动浏览器完成。

3      黑产批量调取接口行为分析（代理池）

通过瑞数信息的cookie id（每个用户不会重复，具备唯一性）
，以及提取到的页面输入行为进行聚类分析，发现黑产团伙进行接口批量调用 ，直接参与抽奖行为。

以上种种分析，都指向了黑产团伙的行为路径 ：使用简单脚本，定时抓取活动页面，获取活动信息；使用高级自动化工具和重放攻击，模拟真人访问 ，自动化参与抽奖。

四招分层解决“薅羊毛”

在清晰洞察了黑产行为之后，瑞数信息采用四招分层解决黑产“薅羊毛”问题 。

招式一：针对简单脚本攻击和高级Bots工具

瑞数信息的“动态令牌”“动态验证”技术，能够确保运行环境 ，进行人机识别 ，对抗浏览器模拟化以及自动化攻击；同时 ，防止重放攻击和越权，确保业务逻辑正常进行。

招式二：针对黑产团伙

通过业务威胁感知、群控模型 、聚类分析指纹和IP对应关系 、分析页面输入行为 
、定制可编程对抗策略等方式 ，瑞数信息能够实时识别和拦截模拟合法操作的异常行为
，并梳理出黑产名单。

同时通过瑞数信息的“动态安全+AI”技术，大幅削减了自动化工具的攻击效率，拦截了大量的“薅羊毛”行为，也为客户服务器减轻了很大的压力。

不仅如此
，考虑到黑产一般在活动发起前就开始进行诸多准备 ，如扫描系统漏洞
、爬取用户信息
、分析活动页面信息等，瑞数信息在活动发起前就对业务做好防护 ，让业务“风险前置”。

招式三：漏洞防扫描

通过动态安全技术 ，使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测 ，无法发现可利用的漏洞及网页目录结构 。同时，在网站/APP等应用未打补丁或补丁空窗期 ，提供有效安全防护 。

招式四  ：用户信息防泄露

针对用户信息恶意爬取 ，瑞数信息利用“动态混淆”技术，将黑产每一次获取的信息都动态加密 ，让黑产无法获取真实信息；利用“动态封装”技术 ，将业务关键逻辑动态变化 ，防止攻击者分析网站代码。

总体而言，瑞数信息之所以能很好地解决黑产“薅羊毛”问题，一方面在于“动态安全+AI技术”具有自动化攻击防御、人机识别等独特优势；另一方面也在于能同时覆盖Web、H5、APP、小程序、API等多种业务渠道
，数据采集点更加丰富
，通过全量数据融合AI算法 ，使得防御能力更加精准，实现业务风控前置。

在黑产作案方式逐渐专业化、隐蔽化、团伙化的今天，线上营销需要新的安全技术方案才能更好地“应战”。瑞数信息作为Gartner 、IDC等国际知名咨询机构推荐的在线反欺诈领域代表厂商 ，将持续发挥自身技术优势，为业务安全保驾护航。