近期,某电商小程序举办美食节营销活动,提供高额折扣券,并允许用户进行秒杀。然而,羊毛党团伙利用作弊手段,抢购囤券,然后倒卖变现,严重损害了商家的利益。

八成秒杀账户是羊毛党

根据顶象防御云编号为BSI-2023-rutq业务安全情报发现,某电商平台为吸引人气和促进销售推,推出高额折扣券福利,凡是注册用户均可免费领取。同时,为了进一步拓展影响范围,还一键分享到微信群,吸引更多人参与到领券的活动中。随着越来越多的人加入秒杀和囤券行列,羊毛党也开始利用作弊手段进行囤券,然后将抢到的优惠券低价出售牟利,由此给平台和商家带来巨大经济损失。
顶象防御云业务安全情报中心监测发现,该电商一天有3场秒杀活动。在秒杀活动的15分钟内,羊毛党开始聚集,最高峰时竟然达到95。开始前5分钟内,羊毛党账户最高达84.15%。秒杀活动结束后,羊毛党活动量骤降,风险量占比仅6.84%左右。
综合分析,参加促销抢购的羊毛党具有以下技术特征:
1、同一设备存在多个账号。监测发现,多个设备高频切换账号,其中某设备在10分钟内切换了1096个账号参与抢夺优惠券。
2、同一账号频繁更换设备。监测发现,某个羊毛党高频切换设备信息,其中某账号1分钟内切换了324个设备信息。
3、大量账号来自风险IP。监测发现,大量账号请求来自风险IP,占总请求量的11.07%,此类数据同IP平均关联用户数只有2个,平均下单次数仅5次。

羊毛党风险分析

一个账号对应一台设备,如果发现一台设备存在大量关联用户抢单的情况,就可以高度怀疑账号存在作弊行为,进而采取相应的制措施。同理如果一个账户频繁切换设备信息,就可能存在作弊的可能性。
IP地址是账户所在网络位置,一般是固定的。秒拨IP工具能够频繁更换地址,让攻击者可以伪装地址,规避业务安全规则的限制。通过对IP地址的监测与分析,能够及时发现该类工具的使用情况。
账户指纹token是基于设备信息、登录IP等因素生产的一种唯一标识码,一旦出现异常,表示存在刷接口等异常行为。
基于上安全规则,顶象防御云业务安全情报中心建议业务安全体系做如下调整。
1、快速识别异常风险。有效识别风险IP来源账号,异常token设备、异常行为的操作等。
2、及时拦截羊毛党账号。对异常操作、异常IP来源请求、异常设备请求直接拦截,中风险验证码升级二次验证,防止黑产批量刷。
3、实时优化安全体系。实时沉淀恶意手机号、恶意抢购账号、恶意IP地址等风险数据,及时补充到风控中,并适时调整安全策略。

安全防护及产品组合建议

基于安全规则,顶象防御云业务安全情报中心推荐如下防控产品组合。
1、配置设备指纹+决策引擎。通过配置防秒杀抢单场景策略规则,从黑产设备风险、设备关联多账号行为、IP批量刷任务行为、同设备、同用户、同IP频次限制等维度进行风险防控。
2、进行多链路联合防控。在注册、登录、秒杀这3个场景接入引擎联合防控,并将用户历史消费行为加工统计成离线表,供策略调用。
3、配置验证码。在登录注册等界面部署验证码,进行人机风险防控,识别并拦截机器批量自动刷风险。
4、接入IP地址库。对用户所关联IP进行风险匹配,识别代理、秒拨IP风险。顶象设备指纹通过用户上网设备的硬件、网络、环境等特征信息生成设备的唯一标识,覆盖安卓、iOS、H5、小程序,可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险,做到有效监控和拦截。
顶象无感验证集13种验证方式,多种防控策略,以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。汇集了4380条风险策略、112类风险情报、覆盖24个行业、118种风险类型,防控精准度>99.9%,1天内便可实现从风险到情报的转化,行业风险感知能力实力加强,同时支持安全用户无感通过,实时对抗处置能力更是缩减至60s内。
顶象Dinsight实时风控引擎可以在营销活动、支付下单、信贷申请等场景,对业务前端发送的请求进行风险判断,并于毫秒内返回决策结果,以提升业务系统对风险的防控能力。日常风控策略的平均处理速度仅需20毫秒,聚合数据引擎,集成专家策略,支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台;聚合反欺诈与风控数据,支持多方数据的配置化接入与沉淀,能够进行图形化配置,并快速应用于复杂策略与模型;能够基于成熟指标、策略、模型的经验储备,以及深度学习技术,实现风控自我性能监控与自迭代的机制;集成专家策略,基于系统+数据接入+指标库+策略体系+专家实施的实战;支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台。


业务安全产品:免费试用

业务安全交流群:加入畅聊