頂象防禦雲業務安全情報BSL-2022-a3c11號顯示,某短視頻平臺部分Up主在中秋節平臺活動期間借助黑灰產工具分設備牧場、代理IP、黑卡、自動化程序等進行批量刷票,嚴重影響其他用戶參與的積極性,給平臺的帶來大額的資產損失和大量虛假用戶,不僅嚴重破壞瞭平臺生態,而且使得刷票風氣盛行,平臺活動公平性被質疑,信譽受損。
野蠻生長的短視頻行業
不可否認,短視頻相對於文字、圖片來說,更具感染力也更容易獲得用戶自發地傳播,也更符合年輕人充分利用碎片化時間瞭解社會和全民娛樂的心理,因此才能在社會文化中扮演越來越重要的角色。
近年來,隨著國內移動互聯網產業的發展與網絡通訊技術的迭代,信息媒介載體由文字、圖片一步步發展至今已全面進入視頻時代,而短視頻作為視頻時代發展出的更適應移動通信設備的產品形態,在近2-3年來經歷瞭爆發性的增長發展。根據CNNIC發佈的第49次《中國互聯網絡發展狀況統計報告》數據顯示,我國網民規模大10.32億,互聯網普及率達73%。截至2021年,我國短視頻用戶為9.34億人,我國短視頻滲透率為90%。
需要註意的是,短視頻行業主要是信息流模式,平臺本身對信息流具有極強的控制能力,基於此,部分平臺開始上線廣告推廣業務,需要推廣的用戶選擇與平臺合作,平臺可以在信息流中投放廣告推廣。
但暴利的廣告變現模式下,也讓黑灰產盯上瞭短視頻平臺的生意。從基本的刷贊、刷粉、刷流量,到銷售工具軟件,再到與短視頻平臺相關的牟利方式,幾乎都有黑灰產的參與,甚至已經形成瞭完整的黑灰產產業鏈。
刷票工具作弊,批量套現
那麼,黑灰產是如何通過作弊實現批量刷票的。
據頂象防禦雲業務安全情報BSL-2022-a3c11號顯示,黑灰產通過設備牧場、代理IP、虛擬號、自動化工具來實現垃圾註冊、批量養號、自動化完成積分任務,並通過提供刷榜服務收取服務費。
一般流程是:
1、基礎資源獲取:黑灰產從“卡商”手上獲取大量的手機卡用於註冊,通過接碼平臺提供的服務批量獲取手機號驗證碼完成註冊。平臺攻擊使用的黑卡主要是物聯網卡和虛擬卡,這兩種卡使用成本和獲取門檻都極低,比較受黑產歡迎;
2、獲取線報,瞭解平臺規則:事先瞭解平臺的積分獲取、紅包兌換規則,關註羊頭發佈任務和活動情況,等待時機:
3、註冊養號:黑灰產通過一系列的黑產作弊工具如秒撥IP、設備牧場等工具對平臺進行自動化攻擊;
4、批量變現:黑灰產通過現金獎勵提現、積分、優惠券等實物商品、積分等經二手平臺進行售賣。
黑產作弊工具:機器刷票+人工刷票
其黑產作弊工具主要有兩種:
一種是機器刷票。
機器刷票,可以給指定投票活動自動循環投票的票輔助刷票工具,主要是通過編程模擬手工網頁投票然後進行自動投票的過程。搭配秒撥IP使用可實現突破IP限制,自動輸入驗證碼,自動投票,快速增加票數的功能,輕松實現短時間上萬票。
另一種就是人工刷票。
相較機器刷票,人工刷票成本更高,進而也發展出瞭兩種刷票模式。
一是通過 “賬號托管平臺”獲取大量真人賬號,可以托管的賬號包括微信、微博、抖音等,用戶隻要將小號托管到平臺,平臺使用用戶小號“幹活”獲取收益,而用戶將獲得分成。二是發佈眾包懸賞、積分墻任務。
其變現鏈路主要分三步。
第一步:通過百度、論壇、電商平臺等發佈刷票服務信息,增加服務曝光;
第二步:將有需求用戶引流至QQ群、微信群,在微信群完成需求溝通及交易,機刷價格一般在幾分錢1票左右,人工價格一般2元1票左右;機刷一般會要求1000票起刷,人工刷票100票起刷;
第三步實施刷票,完成交易。
頂象防控建議及措施
針對短視頻平臺的黑灰產作弊手段,頂象防禦雲業務安全情報中心建議在終端、通信傳輸端進行防范,同時在業務側進行防范,多場景全鏈路防控。
具體防控建議如下:
終端加固:
從客戶端安全考慮,App需要加終端加固。通過加固技術,實現端安全防護,如Android端的DEX文件保護、SO文件保護、資源文件保護、數據文件保護及程序運行保護;通過對APP中可執行文件進行深度混淆、加固保護,讓黑產無法直接對App進行逆向、破解;
通信傳輸安全保障:
在終端增加環境檢測等模塊後,環境檢測模塊產生的數據往往沒有和業務數據進行綁定,這就造成黑產有可能會篡改報文中的一些數據,所以本方案裡運用瞭一些安全手段,防止終端安全檢測模塊的數據被篡改和冒用。
終端風險環境檢測
黑產會使用模擬器、註入等技術,結合秒撥IP池、自動化程序的方式進行批量攻擊;所以終端集成安全SDK以後,會對App運行環境進行檢測,檢查是否有代碼註入、hook、模擬器、雲手機、註入、調試、代理、VPN、root、越獄等風險;
業務安全策略防控
道高一尺魔高一丈,經過多次的攻防對抗,有些黑產會不惜提高成本繼續接攻擊,當黑產攻擊方式升級後,防控方案也要對應的升級;建議多場景接入業務安全風控,將註冊、登錄、積分任務、提現、投票等關聯場景業務數據一同發送給風控系統,通過風控系統配置安全策略規則進行完整鏈路營銷作弊風險識別,隻傳投票一個場景的業務數據進行單場景防控,防控力度遠沒有多場景全鏈路防控力度強。
風控維度建議
設備終端運行環境檢測,校驗運行環境是否正常,如識別指紋ID是否合法、端是否有註入、調試、模擬器、VPN、代理等特征,通常營銷作弊設備大多具備以上特征;
多場景行為檢測,設備使用限制,如限制多賬號使用同一設備註冊,多賬號使用同一設備登錄、賬號對應的設備經常變化、IP短時間高頻訪問等行為維度檢測;
維護本地黑白名單,基於風控數據、歷史投票數據,沉淀並維護對應黑白名單數據,包括用戶ID,IP地址,設備黑名單等;
外部數據服務,建議對接IP黑庫,投票場景黑產為瞭規避IP風險,經常會結合IP代理池一起組合使用,一票一IP的刷票方式,導致IP行為策略無法覆蓋,通過IP黑庫可以覆蓋此類代理、秒撥、機房及歷史黑產行為風險IP模型,線上數據有一定積累以後,通過風控數據以及業務的沉淀數據,對用戶行為進行建模,模型的輸出可以直接在風控策略中使用。
防控產品組合建議
設備指紋+決策引擎:設備指紋可以針對端上風險進行識別,例如註入、模擬器、調試等,配合決策引擎使用,可以實時發現風險並給予處置;
行為驗證碼:據黑產作弊手段分析,該黑產主要還是以低成本的機刷作弊方式進行惡意攻擊,對於機刷,輕部署且最簡單的識別工具就是行為驗證碼,在批量註冊、批量養號、刷票、刷積分等業務場景,行為驗證碼可對請求進行人機校驗,可有效攔截此類黑產攻擊;
風險IP名單庫:機刷為瞭規避IP風險,經常會結合IP代理池一起組合使用,IP黑庫可以覆蓋此類風險IP。
——————業務安全產品:免費試用