道高一尺魔高一丈。跟专业的羊毛党作斗争,就像跟着魔鬼一起跳舞。敌我双方打的都是升级战,彼此都在进化。
创业公司靠优惠活动来拉新,羊毛党靠薅羊毛来谋利。
创业公司主业是做产品。面对众多敌手,资源再多,也抵不住一对多。羊毛党就只专注一件事,薅完这家干下家。打不赢大的,也能欺负小的。
羊毛党产业
羊毛党产业有着很成熟的产销模式。
- 刷单组织注册大量账号,刷取优惠券。
- 然后将优惠券低价卖给专业的销售组织。
- 销售人员将优惠券挂到淘宝平台。
- 高价卖给普通用户获得套利。
直到现在,淘宝还有人会卖滴滴的优惠券,这已经是很小的优惠力度了。
2014,2015年,互联网行业涌入大量的创业公司,大部分公司都铺天盖地做高额补贴活动。专业的羊毛党收入达到了顶峰,有的月收入上百万。
阿里聚安全发布了《2015年数据风控报告》,称Uber 2015 年的订单中有40%是虚假的。Uber 在回应彭博社的采访时表示,中国市场的虚假订单比例不超过10%。
媒体报道说,Uber 在中国市场上总共投入了 20 亿美元,大部分用于用户补贴。按照官方说的 10% 比例来算的话,羊毛党薅走的也有 2 亿美元。
羊毛党的危害远远要比想像严重。比如,发放 50万张优惠券,活动结束后,有一大半的优惠券都被些奇奇怪怪的帐号领走了。领取的手机号都是连着的,一样的IP。活动最后的结果优惠券是发完了,一大半却被「一个人」刮走了。活动可能都白做了,做得越多,亏得越多。
所以,现在的活动对帐号的审核越来越严。系统会结合不同的信息来判定是用户是不是参与过活动。特别是对优惠力度比较大的优惠活动。
抵御羊毛党
再高级的羊毛党,他们的帐号活动都会与普通的用户不一样。想要拦截他们,有两件事要做:
- 不要直接暴露接口。
- 识别可疑的用户。
第一点是最基本的要求。如果你的接口没有做安全限制,对方写个自动化软件,可以把你的资源刷爆。
第二点要做就是,发现可疑的用户,然后限制他们的活动。
在重视信息安全的公司,会有专门的人做「风控系统」来处理这些的事情。他们会根据用户的各项行为数据来给帐户安全打分,就像「芝麻信用」一样。
处理思路
一般的活动都会限制用户参与的次数。羊毛党想要刷单获利,就得先注册大量的虚假帐号。防羊毛党本质就是识别他们,然后限制他们的行为。按帐号参与活动的生命周期,可以从以下三个环节入手,每个环节都有相应的防御措施。
帐号注册
虚假帐号是活动的源头。
手机合法性识别。对可疑手机号段、IP段实施限制,让用户做进一步验证。比如:
- 上网专用手机号,可以接收短信,但不能接打电话。针对这类帐号,要求做语音验证。
- 建立黑名单。专业卡商可能通过网络平台向刷单组织提供验证码服务,不需要使用实体卡。对于这种情况,可以用爬虫抓取手机号,拉到黑名单。
优惠券的领取
IP 异常判定。活动环节对IP的访问情况进行监控。发现异常活跃的 IP,要求用户输入验证码或限制用户在一定时间内不能够操作。比如:
- 同1秒内,同一个IP对服务某个节点进行上百次访问。
- 代理IP。浦发银行的手机客户端有这样限制,不允许使用代理IP进行访问。但是代理IP本身很难被识别到。
优惠券使用
同一用户识别。前两个环节可以拦截掉一批自动化操作高级羊毛党,但无法拦掉使用人力操作的帐户。一般性的活动,都会考虑同一用户识别,保障每个用户只能参与一次活动。系统需要从多个方面来去判断多个帐号是同一个用户:
- 手机号。
- 身份证号。
- 支付信息。支付宝,微信的帐号信息。银行的姓名,手机号,卡号。
- 订单信息。姓名,手机号,收货地址。
行为分析。建立用户行为分析模型,根据用户不同的行为进行打分,判断其危险级别,然后对优惠券的使用作出相应限制。用户的行为分析需要行为数据,大量的数据分析需要时间,可以放到闲时时间去处理。在需要使用的时候,帮助系统做出预判。比如:
- URL访问路径。普通用户除了会参与活动之外,还会有一些周边的访问数据。
- URL连续性。普通用户参与活动时,访问的页面都是正常有连贯性的,从1-2-3。羊毛党可能会跳过2,直接到了3。
大的科技公司有着较为完善的信息安全防护。这些公司都是有多个产品,每个产品本身又有大量行为数据。
不同的产品组合起来,形成庞大用户行为体系,能够支撑他们去做这些事情。在防刷单这块,有公司提供这种第三方的解决方案,费用还挺高的。
虽然使用第三方方案来得方便,我觉得这事还是得自己做:
- 信息安全最关键。防刷单只是其中一部分,业务漏洞的最要命。被羊毛党盯上会掉血,被黑客盯上遭攻击就要命了。这部分工作没法让别人代劳,必须自己做。
- 数据即是未来。如何从数据中挖掘价值,将是公司竞争力体现的一部分。你肯定不会愿意把数据交给别人,让其它人帮你做吧。
