生鲜电商拉新场景业务安全测评报告.pdf
版权所有:深圳永安在线科技有限公司 1 数据来自永安在线 生 鲜电商拉新场景业务安全测评报告 出品方 : 鬼谷 实验室 版权所有:深圳永安在线科技有限公司 2 数据来自永安在线 目录 前言 . . . . . . 3 一、 概述 . . . . . . 6 二、 多维横评 . . . . . 7 2.1、 攻击消损比 ACL . . . . . 7 2.2、 攻击效率 AE . . . . . 10 2.3、 团伙规模 (:>> 0/1 美团买菜 $ %& $ (5 734(892:(49:=(5 $ 892<34 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 2.2 、 攻击效率 AE 攻击效率 AE( Attack Efficiency)描述当前黑产的攻击效率对收益产出的影响情况,用以 体现黑产单位时间可以对测试项活动造成损害的能力。 黑产的攻击效率越高,平台此模块评分 越低,遭受的损失倾向于更大。 攻击效率评分用以 表现攻击效率对 盈利产出的 影响,在营销活动拉新场景下以上 各平台 攻 击效率仅处于中 等水平,但在代下场景中,变现能力主要取决于下游渠道的大小,各平台当前 的 攻击效率足以支撑变现的速度, 对收益产出的影响 较小, 参照 “攻击效率评分表 ”得出以下 评分。 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 2.3 、 团伙规模 &攻击流量占比 ATR 攻击流量占比 AT R( Attack Traffic Ratio)描述攻击流量占总体业务流量的比例, 帮助估 算羊毛党造成的损害,在横评中使用实际攻击流量数据进行计算。如下图为主要生鲜电商平台 在 2020年第一季度遭受攻击的情况。 攻击流量越高,平台面临的风险越大 ,平台此模块评分 越低。 本 来 生 活 , 7 . 49 % 叮 咚 , 59 . 15 % 每 日 优 鲜 , 1.15% 京 东 到 家 , 0.11% 食 行 生 鲜 , 0.37% 中 粮 我 买 网 , 0.05% 永 辉 生 活 , 21.08% 美 团 买 菜 , 0.27% 淘 宝 , 10 . 33 % 生 鲜 电 商 平 台 2020 一 季 度 受 攻 击 情 况 饼 图 本 来 生 活 叮 咚 每 日 优 鲜 京 东 到 家 食 行 生 鲜 中 粮 我 买 网 永 辉 生 活 美 团 买 菜 淘 宝 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 代下场景的风险与攻击规模是伴随着平台成长而逐年增长的,外卖行业 是代下类羊毛的主 要攻击行业之一 。如下图为外卖行业与上文 8家(未将淘宝数据计算入内)生鲜电商受攻击情 况对比。 需要警惕的是 : 羊毛党关注度跟随平台用户的增长而增加 : 变现出口的大小是决定羊毛党关注度的重 要因素,而变现出口某种程度上会与平台用户增长保持一样的速度,即平台成长,用 户数量增多,需要代下单的“客户”增多,变现出口变大,羊毛党关注度升高。 如上 图 当前处于稳定发展阶段的头部外卖平台 也“稳定地”吸引着相关攻击流量。 代下场景中的攻击团伙具有高流动性 ,生鲜平台将面临数十倍于当前的攻击者 : 由于 代下场景攻击套路基本一致,且攻击门槛与难度偏低, 除去代下“客户”群体的大小 外,活动力度是决定攻击者关注度 最重要的因素之一。 当前攻击外卖行业的攻击者也 可以便利地对生鲜平台发起攻击,并且这 个群体 在 与外卖平台风控的数年的相爱相杀 后 ,早已积累了 丰富 的绕过技巧。 处在旺盛生长阶段的 生鲜行业也将 很快 面临 这些 数 十倍与当前的潜在攻击者 。 此处使用 10分制 攻击流量占比记作 AT R数值, 叮咚买菜 ATR=10-5.91=4.09,盒马生鲜 A TR=10-1.03=8.97(使用淘宝数据替代,相当于最大化估算,实际情况将小于此值) ,每日优鲜 ATR=9.89,美团买菜 ATR=9.97。 饿 了 么 62 % 美 团 36 % 前 文 8家 生 鲜 平 台 2% 代 下 场 景 相 关 平 台 2020 一 季 度 受 攻 击 情 况 饼 图 饿 了 么 美 团 前 文 8家 生 鲜 平 台 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 2.4 、 攻击项产生的额外价值 EV 攻击产生的额外价值 EV( Extra Value) 用于 描述攻击产生额外价值的大小,如一些社交 支付账号带来的引流洗钱等能力,攻击产生的额外价值越大,稳定攻击测试项的团伙越多 ,平 台面临的长期风险越高,此模块评分越低 。 代下场景中可能具备额外价值的主要是账号 , 参考 “账号额外价值评分参照表 ”, 各平台 额外价值如下: 得出评分:叮咚买菜及每日优鲜 EV=7,美团买菜 EV=6, 盒马生鲜 EV=3。 2.5 、 上游供给链成熟度和稳定度 SCS 网络 黑产发展至今,已经形成了上下游分级协作的资源服务供应生态,诸如 代下 这样的攻 击并非是一个人或一个团伙一条龙完成,而是向上下游购买 IP、设备信息、手机号码、实名信 息、支付账号等等资源后实施攻击。和其他行业的供应链一样,不同质量层次的资源价格高低 有别,甚至一些特定资源只有某些大型团伙才有能力获取。 上游供给链成熟度和稳定度 SCS( Supply Chain Stability) 用于 描述测试项攻击中 所 依赖 的上游资源自身的成熟稳定度,稳定度越高,上游变化对攻击产生的影响越小 , 平台面临的长 期风险越高,此模块评分越低 。 参考 “攻击资源供给链成熟度评分参照表 ”,各平台代下场景 所需资源及其稳定度如下: 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 得出评分:叮咚买菜 SCS=2,盒马生鲜 SCS=5, 每日优鲜 SCS=1, 美团买菜 SCS=1。 三、 综合评价及建议 五维图 将各指标切换为 十分制 后绘制 ,整体面积越大,该场景下的业务安全健壮性越高。 叮咚买菜: 0 2 4 6 8 10 ACL AE ATR EV SCS 综 合 评 分 雷 达 分 析 图 叮 咚 买 菜 盒 马 生 鲜 每 日 优 鲜 美 团 买 菜 ACL : 攻 击 消 损 比 , 值 越 大 , 越 不 容 易 吸 引 和 遭 受 攻 击 ; AE : 平 台 控 制 攻 击 效 率 的 能 力 , 值 越 大 , 控 制 越 好 , 当 前 的 攻 击 效 率 越 限 制 盈 利 ; ATR : 攻 击 流 量 占 比 评 分 , 评 分 越 高 , 攻 击 占 比 越 低 , 平 台 风 险 越 小 ; EV : 攻 击 产 生 的 额 外 价 值 评 分 , 值 越 低 , 攻 击 产 生 的 额 外 价 值 越 高 , 长 期 团 伙 越 多 ; SCS : 攻 击 所 需 资 源 供 给 链 的 成 熟 稳 定 度 评 分 , 值 越 低 , 攻 击 团 伙 的 稳 定 性 越 高 , 平 台 面 临 的 长 期 风 险 越 大 。 ISVS 11.58 32.60 26.36 20.59 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 手机号码获取渠道较不稳定,无法直接使用接码平台常见号码,需要特殊的私接渠道, 将 手机号维度攻击成本提高了 24倍。 手机号判别处置的信号较明显,攻击者能够从是否触发语音验证等快速判断卡源是否 可用 ,整体手机号维度可以过滤掉初级小白,但仍可以吸引很多代下场景的长期团伙。 券额较高是吸引黑产的主要原因。 严格 限制了新人券的使用时间, 能够良好 地避免了黑产囤号,修改相关规则后不会留 下历史遗留问题。 在 设备识别 维度 攻击者的绕过成本较低 。 盒马生鲜: 券额 设置很高 ,但由于 账号获取门槛 高, 提高了攻击团伙的资源门槛 ,降低了攻击收 益,只针对盒马的小型团伙将非常少。 阿里系账号的额外价值很高,针对淘宝和支付宝的攻击 会时 有动态波动,但 持续会有 大型团伙 长期关注。活动合适时,一些团伙将通过跳转的方式顺带攻击阿里系下的其 他 APP。 每日优鲜: 手机号 等相关资源获取门槛较低 , 但由于券额设置很低 ,攻击流程复杂 ,攻击收益很 低,攻击团伙关注度不高。 拉新助力类活动高度依靠微信 ,大幅提高了作弊成本,进一步以压低了攻击收益。 美团买菜: 判黑信号模糊, 美团买菜并未在注册、发券环节对账号做出信号明显的限制, 只有到 支付环节,才知道账号能不能使用优惠券后付款 ,模糊了焦点,攻击团伙走到支付环 节已经使用了的黑产资源有手机号、改机、代支付账号 等 , 可能是任意一个环节 没有 通过风控规则, 大幅增加了黑产 排除 试验的成本。 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 美团买菜的账号与美团系账号通用,美团系是代下场景攻击的主要行业的主要目标之 一,当活动合适时,可能出现攻击团伙一号多用的局面 ,攻击的资源成本将被拉低 。 生鲜电商基本为区域配货,使用虚拟商品和实体商品变现相对不太容易, 长期来看“代下” 将是主要的风险和问题。 针对生鲜电商 活动的特点以及 黑产攻击流程的特点, 可 从以下几个方 面提升攻击门槛,整体控制攻击的量级: 1、 模糊 判黑 信号 , 在核心矛盾点周围设限, 放宽其他流程节点的限制 : 代下场景的风险 规避目标 是,降低 羊毛党作弊消耗新人福利 。 核心点是限制羊毛党 “用券”, 那么除 使用优惠券以外的流程可以仅识别标记不限制。如,在账号注册环节 ,系统 通过手机 号、 IP信誉库静态规则匹配,判定为高危作恶,但允许其注册,甚至 发放新人优惠券, 并允许其支付购买商品,但在跳转至付款时提示账号异常不允许使用优惠券,仅可以 直接下单。 类似 这样 的做法 好处有二:( 1) 提升了攻击者的试验周期及复杂度 , 到支 付环节 为止 攻击团伙已经使用了黑卡资源、 IP资源、改机资源以及代支付账号资源等 多个伪造账号 用途的 非自然人资源, 攻击团伙无法直接判断出是哪一个环节被识别, 甚至可能是多个环节被识别判黑,试验难度和复杂度变高,且单次试验的流程被拉长, 试验过程中也需要消耗相关资源,增高了试验成本;( 2)另一方面我们可以 收集多维 的黑数据 。 如, 我们是在注册环节通过手机号和 IP识别标记风险的,但我们可以在 剩 余 流程环节中收集 其他维度的 恶意 数据, 如 尝试提取恶意代支付账号特征、恶意设备 指纹特征等 , 用于优化系统当前的识别方案 以及复盘过程中识别更多黑色流量。 2、 模糊判黑原因: 对于 非 用户相关的 异常提醒,尽量模糊原因,避免黑产直接定位 到问 题资源 ,包含报错的提示语,以及统一的验证方式,如 对于某一环节异常统一要求语 音验证等,可结合第一点,验证置后。 3、 结合 黑产 资源特征 拉高攻击成本: 手机号 ,注册和后续验证采取不同方式,一个语音, 一个短信 l 二次验证 : 基础渠道的黑卡掌握在接码平台的卡商手中,在线时间随机(手机黑卡 供应链的盈利情况是:卡商通过猫池设备统一管理手机卡收发短信,猫池设备数量 是有限,一批卡源占用有限的猫池端口,随着时间推移,可以注册的平台将逐渐减 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 少,而卡商与接码平台是通过项目 个数 手机号用于注册某平台,则称某项目,项 目数量即这张卡注册的平台个数 结算的,可注册的项目数量会直接影响卡商的收 益,故卡商会通过频繁换卡,让手里的卡源轮流在线来达到收益最大化,这就是羊 毛党注册后有时无法第二次取到同一个号码验证码的原因,该手机卡当时没有插入 猫池。),若平 台要求再次验证手机号,随着时间的推移(距离首次注册),羊毛 党有 30% 60% 以上的概率无法再次接收相同手机号的验证码,账号作废率很高。 对于注册作恶中间有养号环节以及针对固定日期大型促销活动的囤号,可利用此特 征,对攻击团伙造成 不小的 账号损耗。 l 羊毛党通过沟通卡商可以解决二次验证问题 黑卡的生命周期是 3个月 1年, 羊毛党可以沟通卡商重新上卡或是注册前预先约定卡源在线时间来解决二次验证 问题。但这并不意味着二次验证是无效的。上小节提到卡商会频繁换卡来达到收益 最大化,所以卡商约定在线时长(某一批卡源固定占 用部分猫池设备)时,会通过 提高取号单价来保证收益。这对于作为供应方的卡商来说是符合盈利需求的,但对 于下游羊毛党来说取号成本将是原来的 2 10倍, 618和双十一等大促活动时通常 还会再提升 25倍。当单个账号的盈利降低时,羊毛党通常需要以量取胜保证总收 益,对于一些设备数量有限的小团伙就可能由于收益过低放弃攻击,转而寻找 LOS 更高的平台进行攻击。小团伙的特征是规模小但数量多,提升攻击成本至此类小型 团伙流走,攻击量级同样会大幅降低。 l 不同的卡类型: 如 短信验证和语音验证背后的黑卡其实是不同的卡源 , 开放语音功 能的卡 由于可能会流至电信诈骗,风险较高,只有某个圈子内固定的卡商可以出卡, 质量与价格高于短信卡, 短信卡无法接收语音验证, 也就是说如果注册时要求短信 验证,而消费时 可能会触发 语音验证,那么两次验证 攻击团伙 都必须使用 同一张 语 音卡 。 对于下游攻击团伙来说, 语音二次卡的总体 拿卡 渠道窄,价格高,找卡和消 费成本均得到提高。 l 第三方跳转: 三方跳转号是 一种 常见的 批量恶意注册账号, 对于实名要求不严格, 可批量注册小号类型的第三方平台, 用户 使用其账号跳转登录后,需增加额外 的规 版权所有:深圳永安在线科技有限公司 1数据来自永安在线 则 验证。 4、 增加黑产攻击的运营流程 l 如二次验证造成的随机账号损耗,是一种高运营成本,自动化 脚本 需要 额外写 容错 部分,且运行浪费时间,如果倒卖账号 流转到下游需要售后人力 给下游补号 , 并非 无法 攻击 , 只是很多团伙会嫌“麻烦” 选择其他 不需要这些 额外 运营的项目。 l 商品页部分随机变动,动态加载随机的推荐商品、随机弹出提醒页等,都是增加运 营成本的方式。 本报告意在为大家提供不同的视角,评估拉新营销场景下业务安全遭受的风险与挑战。读 者有任何意见建议与想法,都 欢迎 随时与我们 讨论。 _ 版权所有:深圳永安在线科技有限公司 1数据来自永安在线
