1000毫秒��,即1秒鐘����,是一位消費者網(wǎng)購下單時能忍受的等待時間。在你的耐心范圍內(nèi)����,是一場網(wǎng)絡安全工程師和黑客之間的對決���,前者必須在幾百毫秒內(nèi)揪出并攔截來自后者的大流量攻擊,避免他們搶走平臺給消費者的優(yōu)惠券�����。
換個角度看����,這1秒鐘也是你跟黑客間的戰(zhàn)爭,只不過一旦安全人員失手��,你往往也一敗涂地�。當你在想搶下一款電商平臺的大促產(chǎn)品時,你大概不知道���,很多時候和你拼手速的并不是人類�����,而是黑客撒出去的機器賬號軍團���。
我們所說的黑產(chǎn)羊毛黨,不是日常搶個幾塊到幾十塊不等的紅包以自娛的普通人��,而是大規(guī)模靠技術(shù)或人工手段���,鉆漏洞以薅羊毛獲取利潤的群體���。僅在中國,專門以薅羊毛為生的就有幾百萬人���,或“全職”或“兼職”���。從搜集優(yōu)惠信息�、購買賬號、銷售工具�����、實施攻擊到倒賣�����、分贓�,薅羊毛已經(jīng)形成了一條分工細致的成熟產(chǎn)業(yè)鏈。
紅包���、優(yōu)惠券��、抽獎���、打折�、秒殺……都是他們緊盯的“機會”�����。堆積起來的“羊毛”利潤可觀���,團伙作案的黑客羊毛黨���,月收入上百萬者大有人在?����!拔覀冏粉櫤诳蜁r����,就見過支付寶賬戶里常年躺著幾百萬零花錢的人。”一位阿里內(nèi)部人士告訴36氪�。
在中國電商行業(yè)迅速崛起的10年里,薅羊毛黑產(chǎn)群體也逐漸龐大��。美團安全部門接受36氪采訪時表示��,因為電商行業(yè)規(guī)模的加大和移動端技術(shù)研發(fā)更新迭代的迅速����,今年黑產(chǎn)的技術(shù)手段和攻擊變化頻次有很大提升,防控的技術(shù)壁壘要求越來越高��。
正如互聯(lián)網(wǎng)的繁榮不止�,安全工程師和黑產(chǎn)羊毛黨之間的攻防戰(zhàn)也永不停息。
交易狂歡背后的風控戰(zhàn)
2017年11月11日��,這一天結(jié)束時阿里的電商成交額是1682億元�����。消費者和商家看到的是一座金礦�,但對于阿里���,特別是安全部門和云計算這類技術(shù)支撐部門����,雙十一恰恰是一年中壓力最大的時候。
電商造節(jié)�,巨大的流量集中在一天釋放出來,在這24小時內(nèi)��,電商平臺的技術(shù)和安全防空要承受住龐大流量的沖擊����,其中不少流量就來自于黑產(chǎn)羊毛黨的“貢獻”。
所以阿里安全部安全工程師魏峰把雙十一看作緊張的大考���。為了這幾百毫秒刀光劍影的“守門”����,阿里安全和天貓等其他業(yè)務團隊會提前半年開始準備��。
年中拿到天貓促銷商戶的策劃方案后��,風控部門會先弄清楚每個活動的玩法��,挖掘游戲和流程中可能出現(xiàn)哪些讓黑產(chǎn)有機可乘的漏洞�,根據(jù)情況或改變游戲、或想辦法降低風險����。在此之后��,要設置常規(guī)的防黑產(chǎn)羊毛黨風控流程����。
魏峰們甄別黑客的過程�,是以微妙的方式體現(xiàn)在消費者的購物流程中的:
對于普通人,我們購物時屏幕上顯示的是登陸����、操作、下單�、支付……不過這些環(huán)節(jié)在魏峰眼里,就是一道一道的門���,用戶每走過一個流程���,就是過一道安檢,每個安檢口都埋藏著不同的甄別黑客的方法�����。
“比如你經(jīng)常買買買��,住址穩(wěn)定�����,手機和電腦IP固定�,我們就會把它加密存儲,做成一個可信任的安全環(huán)境��,當你在這個環(huán)境下操作�����,就被認為是安全的��。但比方說當你用別人的手機登陸自己賬號購物�����,或者連接公共場所的wifi���,系統(tǒng)就會有所警覺�����,多設置些審查門檻���,比如此時支付會讓你輸入短信驗證碼����,甚至要求刷臉��,彈出窗口警示風險�。”魏峰解釋稱�。
安全防控的最高境界是讓用戶無感知,盡可能的減少對用戶的干擾�����,避免流程體驗過于冗長����,但同時也要保證風控的嚴密和甄別的精準性,如何取個平衡是最有技術(shù)含量的部分�。
在阿里安全部門的設計中,被系統(tǒng)認定為優(yōu)質(zhì)或安全環(huán)境中的用戶����,一般只用過四五道工序,以保證下單順暢�,但如果被認為有欺詐風險的賬戶、商家刷量或者疑似黑產(chǎn)羊毛黨��,檢驗工序就會上升為十幾道甚至二十道��,進入更復雜的風控流程�。
“黑灰產(chǎn)的人或許能把某一方面?zhèn)卧旌茫遣豢赡馨阉协h(huán)節(jié)都偽造����。其實風控策略的本質(zhì)就是人與人之間的博弈?���!蔽悍迮e例稱,用同一臺設備注冊三個賬號會引起安全工程師的警惕�����,但為了避免誤傷��,安全工程師會同時考量其他維度�����,而黑客意識到這種風險��,也會避免用同一臺注冊太多賬號,防止被發(fā)現(xiàn)后一串賬號全部被廢�。雙方的每次較量,就存在于對其中微小變量的把控中���。
羊毛大軍的黑色運作鏈
黑產(chǎn)羊毛黨賺的是商家和平臺的補貼差價���。傳統(tǒng)的黑產(chǎn)羊毛黨會以促銷價大批量搶購促銷品,再另找渠道賣出去��,賺取價格差���。而另一類黑產(chǎn)羊毛黨�����,則跟商戶串通好�,賺取電商平臺的補貼��。假意下單���,商戶在后臺收到訂單后不發(fā)貨����,而后兩者再瓜分平臺給的補貼金額,既刷了商戶的量����,也省去了黑產(chǎn)羊毛黨賣不出去把貨砸在手里的風險����。
不過運作這樣一場薅羊毛,流程復雜, 薅一次羊毛需要跑通5個環(huán)節(jié):評估風險并找到適合下手的活動-獲取手機號-用手機號注冊賬號并通過平臺的認證-獲取設備(手機)-購買秒殺工具-操作薅羊毛-分贓�。
在高段位的薅羊毛里,上述鏈路中的每一個環(huán)節(jié)都有成規(guī)模的公司在運作���。
由于每個環(huán)節(jié)都需要付出成本���,黑產(chǎn)羊毛黨會謹慎選擇攻擊對象,衡量不同對象的攻擊難度和需要付出的代價��。根據(jù)京東安全部門的觀察��,黑產(chǎn)羊毛黨在發(fā)動攻擊前會在各種信息共享群里互通消息��,呈現(xiàn)出從點到面的傳播�,選擇優(yōu)惠補貼力度大的線上項目大量集中購買。
開始薅羊毛的前提是批量掌握大量賬號��,有經(jīng)驗的黑客能同時控制上萬甚至幾十萬個賬號。獲取賬號的第一步是拿到手機號�,而黑產(chǎn)的手機號提供者,多為卡商����。
卡商是運營商的合作者,主業(yè)是幫運營商分銷手機卡�����,不過很多卡商利用手頭的卡號資源做起了to B的手機卡運營�����。簡單說��,就是黑產(chǎn)羊毛黨可以向卡商購買手機號或者收到的短信驗證消息�。這個環(huán)節(jié)的平均成本是1毛錢一個號。
有了手機號�����,黑產(chǎn)羊毛黨還要解決平臺賬號的注冊����,需要身份證��、手機號�、甚至照片這類實名認證信息��。大量包含這類信息的數(shù)據(jù)包�����,在黑市中非法交易����,這成了黑產(chǎn)羊毛黨的購買渠道����,一個賬號的成本在幾毛錢左右。
每逢重要的電商大促前夕�����,秒殺工具這類作弊軟件的銷量都會攀升����。
秒殺工具的作用是讓黑產(chǎn)羊毛黨可以批量下訂單,慣常的賣法是幾百元包月,通過大量黑產(chǎn)羊毛黨混跡的QQ群中銷售�����,極“好用”的工具可以賣到3000塊�。
在黑產(chǎn)攻防戰(zhàn)里,情報對于交戰(zhàn)雙方非常重要��。黑產(chǎn)會想方設法在互聯(lián)網(wǎng)公司安插內(nèi)鬼�,里應外合的監(jiān)守自盜,同樣互聯(lián)網(wǎng)公司也會在黑產(chǎn)團體放入間諜���,時刻上演著無間道����。
魏峰曾由此接觸過一款軟件�,利用安全漏洞,可以一次性下幾十萬筆訂單����,“如果當時沒發(fā)現(xiàn),雙十一當天有很多黑產(chǎn)羊毛黨用�,訂單量可能會損失幾十億甚至上百億?���!?/span>
如果黑產(chǎn)羊毛黨成功控制大量賬號����,下一步就是弄到設備�,開始薅羊毛。最傳統(tǒng)的做法是人工薅羊毛:一個幾平米的小房間����,靠著四面墻壁放著四個五六層的貨架,每排貨架上從左到右挨著擺滿了一排排手機��,每臺手機綁定著一個賬號�����。當促銷活動的時間到了��,一個黑產(chǎn)羊毛黨的任務就是站在房子中間�����,一臺臺手機的點過去��。
不過對于掌握著上萬個賬號的人而言�,這樣的效率只能覆蓋幾千個賬號����,黑產(chǎn)開始夠買安卓模擬器,用機器集中操作�。
一場大促背后��,安全工程師需要準備半年����,而黑產(chǎn)也做盡各種準備以求豪賭一把,交鋒無形卻往往異常激烈����。京東安全工程師告訴36氪,幾年華為榮耀一款新品手機在京東上線�����,黃牛黨的搶購遭遇了京東的攔截��,隨即就雇傭大量水軍對京東在線客服進行惡意報復�����,導致正常咨詢堵塞���?���!澳Ц咭怀撸栏咭徽?��。黑客的攻擊手段在不斷演進��,安全工程師的防范手段得以更快的速度進行迭代�����,才能有效防止黑客的攻擊�����。”
術(shù)的較量
魏峰說���,網(wǎng)絡安全工程師的圈子里流傳著一句話——你在凝視深淵�,深淵也在凝視你����。
這個圈子里不乏技術(shù)高超的聰明人���,從事黑產(chǎn)的利益誘惑巨大,有時候安全工程師��、白帽子和黑客只是一念之差��。他們之間的無形戰(zhàn)爭���,是術(shù)與術(shù)的較量����。
魏峰對一起黑產(chǎn)案件中����,一位被捕的黑客印象深刻。三四十歲的中年男子��,其貌不揚穿著一件夾克����,孩子剛上小學,一家三口住在一間80平的房子里���。他花了三個月的時間破譯漏洞�,半年內(nèi)賺了幾十萬。
“他當時很驕傲�,覺得自己花了三個月什么都不干,像數(shù)學家把一道題目解出來了一樣很厲害�����。后面我們的安全能力也在不斷更新���,但他第二天就能跟上我們的更新節(jié)奏���。其實我們之間的較量不像是過招,三個月的解題就像是苦行僧一樣�,我們也不清楚他為什么有這么大的毅力?!?/span>
魏峰形容,安全工程師和黑客��,其實是一種類似于互相解題的交往���。安全工程師的日常工作,是不斷反向研究黑客的手法�,也會突然驚奇對方是怎么想到這一點的。被發(fā)現(xiàn)漏洞感覺�����,類似于有人花了幾周不同摸索你的心思,找到漏洞后突然被別人拿過來一樣�����。
他從警方了解到��,那個黑客被捕的時候很平靜���,“估計他覺得這是早晚的事��。畢竟黑客一旦要開始賺錢�����,就不可避免要把自己暴露出來��,你要推廣自己出來賣產(chǎn)品���,這時候在網(wǎng)上留下的痕跡就越來越多。這跟傳統(tǒng)意義上不為名不為利的黑客是不一樣的���,那種人不會留下太多東西���,可能很難找到�?��!?/span>
或為錢��,或為技術(shù)的偏執(zhí)�����,黑產(chǎn)羊毛黨和安全工程師的較量還會繼續(xù)�����,就掩藏在我們的每一次點擊背后�。
