原标题:薅羊毛黑产攻防录:1秒定生死的水下暗战
1000毫秒,即1秒钟,是一位消费者网购下单时能忍受的等待时间。在你的耐心范围内,是一场网络安全工程师和黑客之间的对决,前者必须在几百毫秒内揪出并拦截来自后者的大流量攻击,避免他们抢走平台给消费者的优惠券。
换个角度看,这1秒钟也是你跟黑客间的战争,只不过一旦安全人员失手,你往往也一败涂地。当你在想抢下一款电商平台的大促产品时,你大概不知道,很多时候和你拼手速的并不是人类,而是黑客撒出去的机器账号军团。
我们所说的黑产羊毛党,不是日常抢个几块到几十块不等的红包以自娱的普通人,而是大规模靠技术或人工手段,钻漏洞以薅羊毛获取利润的群体。仅在中国,专门以薅羊毛为生的就有几百万人,或“全职”或“兼职”。从搜集优惠信息、购买账号、销售工具、实施攻击到倒卖、分赃,薅羊毛已经形成了一条分工细致的成熟产业链。
红包、优惠券、抽奖、打折、秒杀……都是他们紧盯的“机会”。堆积起来的“羊毛”利润可观,团伙作案的黑客羊毛党,月收入上百万者大有人在。“我们追踪黑客时,就见过支付宝账户里常年躺着几百万零花钱的人。”一位阿里内部人士告诉36氪。
在中国电商行业迅速崛起的10年里,薅羊毛黑产群体也逐渐庞大。美团安全部门接受36氪采访时表示,因为电商行业规模的加大和移动端技术研发更新迭代的迅速,今年黑产的技术手段和攻击变化频次有很大提升,防控的技术壁垒要求越来越高。
正如互联网的繁荣不止,安全工程师和羊毛党之间的攻防战也永不停息。
交易狂欢背后的风控战
2017年11月11日,这一天结束时阿里的电商成交额是1682亿元。消费者和商家看到的是一座金矿,但对于阿里,特别是安全部门和云计算这类技术支撑部门,双十一恰恰是一年中压力最大的时候。
电商造节,巨大的流量集中在一天释放出来,在这24小时内,电商平台的技术和安全防空要承受住庞大流量的冲击,其中不少流量就来自于黑产羊毛党的“贡献”。
所以阿里安全部安全工程师魏峰把双十一看作紧张的大考。为了这几百毫秒刀光剑影的“守门”,阿里安全和天猫等其他业务团队会提前半年开始准备。
年中拿到天猫促销商户的策划方案后,风控部门会先弄清楚每个活动的玩法,挖掘游戏和流程中可能出现哪些让黑产有机可乘的漏洞,根据情况或改变游戏、或想办法降低风险。在此之后,要设置常规的防羊毛党风控流程。
魏峰们甄别黑客的过程,是以微妙的方式体现在消费者的购物流程中的:
对于普通人,我们购物时屏幕上显示的是登陆、操作、下单、支付……不过这些环节在魏峰眼里,就是一道一道的门,用户每走过一个流程,就是过一道安检,每个安检口都埋藏着不同的甄别黑客的方法。
“比如你经常买买买,住址稳定,手机和电脑IP固定,我们就会把它加密存储,做成一个可信任的安全环境,当你在这个环境下操作,就被认为是安全的。但比方说当你用别人的手机登陆自己账号购物,或者连接公共场所的wifi,系统就会有所警觉,多设置些审查门槛,比如此时支付会让你输入短信验证码,甚至要求刷脸,弹出窗口警示风险。”魏峰解释称。
安全防控的最高境界是让用户无感知,尽可能的减少对用户的干扰,避免流程体验过于冗长,但同时也要保证风控的严密和甄别的精准性,如何取个平衡是最有技术含量的部分。
在阿里安全部门的设计中,被系统认定为优质或安全环境中的用户,一般只用过四五道工序,以保证下单顺畅,但如果被认为有欺诈风险的账户、商家刷量或者疑似羊毛党,检验工序就会上升为十几道甚至二十道,进入更复杂的风控流程。
“黑灰产的人或许能把某一方面伪造好,但是不可能把所有环节都伪造。其实风控策略的本质就是人与人之间的博弈。”魏峰举例称,用同一台设备注册三个账号会引起安全工程师的警惕,但为了避免误伤,安全工程师会同时考量其他维度,而黑客意识到这种风险,也会避免用同一台注册太多账号,防止被发现后一串账号全部被废。双方的每次较量,就存在于对其中微小变量的把控中。
羊毛大军的黑色运作链
羊毛党赚的是商家和平台的补贴差价。传统的羊毛党会以促销价大批量抢购促销品,再另找渠道卖出去,赚取价格差。而另一类羊毛党,则跟商户串通好,赚取电商平台的补贴。假意下单,商户在后台收到订单后不发货,而后两者再瓜分平台给的补贴金额,既刷了商户的量,也省去了羊毛党卖不出去把货砸在手里的风险。
不过运作这样一场薅羊毛,流程复杂, 薅一次羊毛需要跑通5个环节:评估风险并找到适合下手的活动-获取手机号-用手机号注册帐号并通过平台的认证-获取设备(手机)-购买秒杀工具-操作薅羊毛-分赃。
在高段位的薅羊毛里,上述链路中的每一个环节都有成规模的公司在运作。
由于每个环节都需要付出成本,羊毛党会谨慎选择攻击对象,衡量不同对象的攻击难度和需要付出的代价。根据京东安全部门的观察,羊毛党在发动攻击前会在各种信息共享群里互通消息,呈现出从点到面的传播,选择优惠补贴力度大的线上项目大量集中购买。
开始薅羊毛的前提是批量掌握大量帐号,有经验的黑客能同时控制上万甚至几十万个帐号。获取帐号的第一步是拿到手机号,而黑产的手机号提供者,多为卡商。
卡商是运营商的合作者,主业是帮运营商分销手机卡,不过很多卡商利用手头的卡号资源做起了to B的手机卡运营。简单说,就是羊毛党可以向卡商购买手机号或者收到的短信验证消息。这个环节的平均成本是1毛钱一个号。
有了手机号,羊毛党还要解决平台帐号的注册,需要身份证、手机号、甚至照片这类实名认证信息。大量包含这类信息的数据包,在黑市中非法交易,这成了羊毛党的购买渠道,一个帐号的成本在几毛钱左右。
每逢重要的电商大促前夕,秒杀工具这类作弊软件的销量都会攀升。
秒杀工具的作用是让羊毛党可以批量下订单,惯常的卖法是几百元包月,通过大量羊毛党混迹的QQ群中销售,极“好用”的工具可以卖到3000块。
在黑产攻防战里,情报对于交战双方非常重要。黑产会想方设法在互联网公司安插内鬼,里应外合的监守自盗,同样互联网公司也会在黑产团体放入间谍,时刻上演着无间道。
魏峰曾由此接触过一款软件,利用安全漏洞,可以一次性下几十万笔订单,“如果当时没发现,双十一当天有很多羊毛党用,订单量可能会损失几十亿甚至上百亿。”
如果羊毛党成功控制大量帐号,下一步就是弄到设备,开始薅羊毛。最传统的做法是人工薅羊毛:一个几平米的小房间,靠着四面墙壁放着四个五六层的货架,每排货架上从左到右挨着摆满了一排排手机,每台手机绑定着一个账号。当促销活动的时间到了,一个羊毛党的任务就是站在房子中间,一台台手机的点过去。
不过对于掌握着上万个帐号的人而言,这样的效率只能覆盖几千个帐号,黑产开始够买安卓模拟器,用机器集中操作。
一场大促背后,安全工程师需要准备半年,而黑产也做尽各种准备以求豪赌一把,交锋无形却往往异常激烈。京东安全工程师告诉36氪,几年华为荣耀一款新品手机在京东上线,黄牛党的抢购遭遇了京东的拦截,随即就雇佣大量水军对京东在线客服进行恶意报复,导致正常咨询堵塞。“魔高一尺,道高一丈。黑客的攻击手段在不断演进,安全工程师的防范手段得以更快的速度进行迭代,才能有效防止黑客的攻击。”
术的较量
魏峰说,网络安全工程师的圈子里流传着一句话——你在凝视深渊,深渊也在凝视你。
这个圈子里不乏技术高超的聪明人,从事黑产的利益诱惑巨大,有时候安全工程师、白帽子和黑客只是一念之差。他们之间的无形战争,是术与术的较量。
魏峰对一起黑产案件中,一位被捕的黑客印象深刻。三四十岁的中年男子,其貌不扬穿着一件夹克,孩子刚上小学,一家三口住在一间80平的房子里。他花了三个月的时破译漏洞,半年内赚了几十万。
“他当时很骄傲,觉得自己花了三个月什么都不干,像数学家把一道题目解出来了一样很厉害。后面我们的安全能力也在不断更新,但他第二天就能跟上我们的更新节奏。其实我们之间的较量不像是过招,三个月的解题就像是苦行僧一样,我们也不清楚他为什么有这么大的毅力。”
魏峰形容,安全工程师和黑客,其实是一种类似于互相解题的交往。安全工程师的日常工作,是不断反向研究黑客的手法,也会突然惊奇对方是怎么想到这一点的。被发现漏洞感觉,类似于有人花了几周不同摸索你的心思,找到漏洞后突然被别人拿过来一样。
他从警方了解到,那个黑客被捕的时候很平静,“估计他觉得这是早晚的事。毕竟黑客一旦要开始赚钱,就不可避免要把自己暴露出来,你要推广自己出来卖产品,这时候在网上留下的痕迹就越来越多。这跟传统意义上不为名不为利的黑客是不一样的,那种人不会留下太多东西,可能很难找到。”
或为钱,或为技术的偏执,羊毛党和安全工程师的较量还会继续,就掩藏在我们的每一次点击背后。
(应采访对象要求,魏峰为化名)