黑产揭秘 之 攻与防-鸟哥笔记

本篇接上篇《黑产揭秘》，说说电商行业的黑产的常见玩儿法和手段，以及对应的风控手段。黑产的面很广，几乎涉及每个垂直领域，我在这里主要说都是我最熟悉电商领域的，并不涉及金融、电信、媒体等其它领域的黑产（这些领域可能更多是诈骗盗刷犯罪团伙了）。

黑产常见玩儿法

1. 刷券

互联网公司通常会划拨一笔可观的费用补贴给用户，用于拉新、提升活跃度、打造忠诚度、改善体验、引导消费方向、促进转化，或在大促阶段聚集流量。这些补贴常见的发放形式为，

抵用券
新人红包（大多也是抵用券，往往实际权益较高，但只有新人可以使用）
小额购物津贴（常通过签到、红包雨、小游戏等形式发放）
平台权益单位（如京豆、淘金币等）
积分
有条件的返现

这些补贴，自然也就成为了黑产的猎取对象。

第一步：自动领券

黑产常会利用技术手段，扫描系统相关接口，当发现目标券出现时（如京东上午10点放出来一批plus会员券），就通过电脑脚本操作手机群控系统的客户端账号，来批量领券。

除了通过群控系统操作真实手机领券外，厉害的黑产也可能通过技术方式直接向系统发领券指令完成批量领券，方式如下图。

黑产刷券

当真实用户操作手机app领券时，app会通过互联网向电商系统后台发出一个领券指令，这个指令实质是一个数据包，包含领券用户账户id、券id等信息，这样的数据包显然也可以被电脑模拟。

大家可能会问，黑产怎么知道这个数据格式？答案有两种，一种是数据传输的加密保护不够强大，容易被破解；而更有甚者，很多黑产本身，就是互联网公司内部可以访问券管理系统代码的程序员。

这种通过系统控制大批账号自动抓券的手段，就叫“刷券”。

我碰到过的一个特别夸张的案例是，有一度运营团队发现刷券情况严重，发放的抵用券均在极短的时间里被领完。有一个运营同学做了个测试，当运营在券后台刚刚生成了一个券，甚至还没放到前台领券页面去的时候，发现该券已被瞬间领走……唯一的解释，就是黑产的程序正在扫描领券接口，发现券出现立刻发送领取指令，根本没有通过前台券露出页面（如领券中心）来领取。

第二步：券变现

一种就是简单地把刷到的券直接在淘宝售卖。当然因为券通常与账号绑定，此时黑产通常是帮买券的用户代下单来完成权益转移。

淘宝上的京东、考拉券

另外一种，就是直接低价进货，再进行转卖。比如一个日常售价100元的商品，刷到100减50元的券以后（或者新客高返商品），黑产实际支付50元拿到手，再以80元低价卖出，净赚30元，批量操作，利润就颇为可观了。曾见到过一个黑产，堆了满满一屋子的各种商品，全都是平台赠品或券后价格很低的商品，在淘宝上挂着转卖。

2. 刷红包、刷游戏、刷补贴、刷积分

这个和上述刷券操作相比更为复杂，因为对应权益的发放规则更复杂，技术手段也就需要升级了。下面以红包雨为例。

我们知道红包雨本质上是一个连续抽奖游戏，在准点开始，限定时间里红包不断出现，玩家不断戳红包，每次戳中红包会有一个抽奖，获取小额抵用金或券，并最终计算总额，存入玩家账户。红包雨游戏本身是跑在手机客户端上的，系统会下发一个概率，在概率控制范围内控制中奖情况，并最终把中奖数据上传到游戏后台。

那么就简单了，前台可以根本不玩这个游戏，生成模拟的中奖数据格式，直接上传就可以了，类似于上面的用模拟数据包自动刷券。如果中奖概率是在客户端控制，那么连这个概率控制都绕过了。同样手段可以用来刷抽奖游戏、签到领积分、偷能量，等等等等。

当然如果无法破解数据格式，那么通过脚本程序按定义好的点击序列操作批量手机客户端也行，总有相当概率获取权益。

变现方式与前述的券变现类似，代下单或低价进货转卖都可以。

3. 刷单量／成交金额

这个严格说不算是黑产套利，只是一种作弊行为。很多时候互联网公司为了提升估值或市值，会大肆刷订单量。当然也有很多时候也是因为公司内部业务线有销售指标压力，而联合供应商进行刷单。

在公司内部校验刷单情况并不难，只要拉取不合理金额的订单，就可以迅速鉴别。比如平台的真实消费者订单以小金额为主，单均价在200元左右，那么拉取万元以上大单，看一下此类订单总量，或者是否存在单一订单金额巨大，就可迅速鉴别。第二种方法是，对比下单的订单数量和几天后实际发货的订单数量，两者差距巨大的话，就说明存在严重的刷单情况。

这种行为除了给公司虚假增值或完成虚假业绩，也说不上对消费者有太大危害，但也会导致媒体上各种所谓“排行榜”数据虚假，无论流量数据还是销售数据，让大家对公司业绩产生误判。在今天中国电商普遍以亏损换规模的情况下，规模是价值的主要判断标准，作假也就格外普遍。观察一下榜单，仔细思考一下，无论是流量、日活还是订单、大促成交金额，到处都充满了水分。

4. 刷评论、刷排名

常见刷评论包括商品评论、应用商店评论等。黑产通过控制的大量账号，生成并不实际发货的虚假订单后给出好评，提升好评率，或在应用商店里进行好评提升应用商店排名（这也往往是一种ASO手段），或者在竞争对手那里刷差评，最后根据评论数向平台或店铺收取费用。这个比较常见，大家应该都很熟悉。

5. 刷流量

很多互联网公司会投入很高额的费用进行流量采买，针对这笔费用，黑产常会联合互联网流量渠道商刷虚假流量。

这些流量可能具备某些共同特征，如集中的IP地址、访问时段、设备类型、渠道来源、高首页跳失率等等。当然黑产可能会结合技术手段进行混淆，产生模拟的分散IP地址、差异的设备型号、访问分布在不同的时段、甚至模拟用户的浏览行为和深度等等。在实战中，抓住两个基本要点就比较容易判别，首先，虚假流量往往来自于某些特定渠道，因为费用结算通常是针对渠道的；第二，虚假流量肯定不会最终完成订单支付，从渠道转化率上也比较容易进行判别。

6. 联合供应商、快递员骗补套利

这种行为的目的是骗取互联网公司给广大消费者的补贴费用。

为了打爆款吸引流量，电商公司往往会在某些特定的商品上进行补贴，以低于进货成本的价格进行销售。比如一个进货价100元的商品，电商平台补贴20元，以80元价格销售。此时，见过两种做法：

供应商联合黑产，控制大批量账户下单购买该商品。订单产生后并不实际发货，伪造虚假发货信息（物流信息伪造很容易），显示订单完成。在厂商直送的情况下，这种方式可以很容易地套取平台补贴，然后黑产和供应商分成。
黑产通过控制的大批账户直接生成大批订单，从电商平台低价进货，再进行转售。此类补贴商品平台常常会限制单个用户的购买数量，平台风控系统也可能会识别和拦截大量配送到同一地址的不同用户订单，在此情况下，黑产甚至会和快递员联合，在同伙快递员的负责的片区内生成一系列的虚假地址（例如，和平里西街18号1层，2层，3层...99层）的订单。快递员识别该订单后，直接配送到黑产指定的真实地址。

7. 联合物流公司骗取正逆向物流费用

这个玩儿法本质上是骗取电商公司的正向和逆向物流费用。

针对平台包邮的可无理由退换的商品，黑产与物流公司或快递员联合，通过控制的大批账户直接生成多个订单，指定系列虚假地址。电商公司向物流公司申请发货后，物流公司或其快递员暂存这批货物，随后，黑产通过控制的账号再操作批量退货，于是在交易并未成功的情况下凭空产生了由电商公司支付的正向和逆向的物流费用，由黑产和物流公司瓜分。

8. 恶意锁库存

这个常常是恶意竞争中使用的手段，商家可以自己干，也可以联合黑产来做。

在大促的时候，很多商家会准备好一些大促爆款商品，并申请到平台的黄金运营资源位来投放商品，为店铺引流。当大促开始的时候，比如双11零点，商品促销价格生效，大量消费者涌入。

此时为了达到恶意竞争打击竞争对手的目的，某些商家可能会联合黑产，零点一过，针对特定商家的特定商品，同时生成大量未支付订单，每张订单把可购买商品调到上限。

按电商系统规则，当订单生成后，会有一个等待支付的时效，比如24小时，在此期间待支付订单相应的商品库存数量会被暂时锁定（不可售）。当支付时效结束时如果仍未支付，订单自动取消，库存释放。

我们看到，用这种方法，可以暂时性使竞争对手进入“无货”状态。在大促的高峰期，比如双11的零点到1点之间，可以极大损害竞争对手的销售机会，并且为自己带来更多的销售。如果支付等待的时效不够长，希望更长时间锁定对手库存，甚至可以循环下单。

9. 价格扫描，捕捉价格错误或促销规则漏洞

曾经发生过这么一件事，一个著名的互联网服装品牌，忽然报告服装大量被0元购买，损失惨重。技术团队立刻调查问题原因，发现是因为运营在发该品牌店铺满减券的时候，没有勾选“不可叠加”选项，导致用户可以批量领券，叠加用券，最后把订单价格打到0元。更有甚者，有人把该漏洞发布到专门报告互联网安全问题的“乌云平台”，导致批量黑产涌入，瞬间产生巨大销量。

普通用户可能也会发现价格或促销错误，从而得到非常划算的订单，但该事件的特点尤其是发布到乌云平台的动作，具备比较明显的技术操作特征，很可能是黑产的系统扫描发现了该漏洞而产生的后续操作。

这样的情况也时常发生在价格设置错误的时候。例如，技术上可以预先定义好一批热销商品的价格基准，并通过技术手段扫描各电商网站的商详页或价格接口，当发现售价低于某个幅度的时候，即进行提醒，确认后可以批量下单套取。

人为设置的价格，出现设置错误在概率上是个不可避免的情况。而按相关法规，如果挂出来某个价格，成交后必须履约。电商的实操中，有的比较老实规范，在损失可控的情况下只好履约；有的比较粗暴，直接取消订单不发货，但如果消费者进行投诉，一投诉一个准，电商必然败诉，当然坚持投诉的消费者实际上看也就是一小部分。最好的做法是与消费者友好协商，谋求谅解，作出一些合理补偿，随后取消订单。

10. 骗赠、骗免邮

很多电商平台会设置“满赠”类型的促销，同时所购买的商品又有七天无理由退货。那么通过虚拟地址批量下单，随后再批量退货，截留赠品，实现套利。

与此类似的一个操作是骗免邮，比如99元包邮，于是在订单中多买一些商品，到达包邮门槛，再把不需要的商品退货。当然此类行为常常来自于不想出邮费的真实用户，而非黑产。

11. 流量劫持与钓鱼网站

大家有没有过这样的经验，就是打开某个app，在app的某个页面，如首页或个人中心上，看见悬浮了一个小窗口，比如“抽奖”，点击后，进入一个抽奖页面，用户可能会在该页面上获得一个券，需要去和该app毫无关系的网站使用，或者获得一个奖品，需要出邮费领取，或者进入一个钓鱼网站，输入用户名密码登录？

流量劫持

我们以前有时会接到这样的投诉，网站页面被注入其它网站广告，或用户被引流去了其它网站，或者受骗上当蒙受损失。跟进后会发现，这种情况往往集中发生在某个特定地区的特定ISP的用户。技术团队与该ISP联系，对方通常会说“哦，我们看一下”，随后该现象消失。

非常明显，这通常是互联网服务提供商内部人员与黑产的联合作案。在ISP的DNS端，对于特定网站的访问请求，在特定页面上配置叠加该悬浮窗，以达到截取流量，诈骗等特定目的。这种行为我们称之为流量劫持。

流量劫持

在把传输协议改为加密的https后，该现象消失。

12. 违规监测

前文提到黑产中有一伙“职业打假人”，根据广告法等法规对系统疏漏进行监测，发现疏漏后下单索赔讹诈。这个操作可以人肉来做，也可以通过技术手段，对常见问题进行扫描，例如扫描电商平台上出现的“最”之类的字样，找到后经人工确认，随后进行讹诈。

常见风控手段

有攻就有防，下面简单聊一下风险控制，简称风控。由于中国的黑产较为猖獗，一般大型互联网公司都设有风控团队，对黑产的常见操作进行防范与控制。

很多年前我有个朋友，专门开发一个淘宝小控件，商家使用该控件后，可以让符合特定条件的用户，比如差评率或退货率高于某个比例的买家，看到商品的价格自动变为“999999”。可以认为这就是早期的风控。这个朋友的业务十分火爆，很多卖家向他购买该控件。

1. 数据传输加密

上面的刷券、刷红包、流量劫持这些操作，往往出在数据格式被破解，权益领取或网络访问请求被模拟的情况下。此时通过改为https协议，或者数字签名的方式对数据传输进行加密，即可大幅减轻该问题。当然家贼难防，如果是内部程序员联合作案，编译出“特制”的虚假客户端或在服务器端留下后门，是无法完全避免这种情况的。

2. 登录验证码

为了防止黑产利用技术自动登录，在登录中过程加入机器无法自动识别的特殊验证码，以确保是实际的人在做登录操作，也是个常见的基本风控手段。

3. 风控体系

很多时候黑产或者专业占便宜的用户的行为模式是有迹可循的。比如，高频访问领券抽奖页面，订单高比例出现退货，账户存在大量异常订单（金额、收货地址等），频繁不支付，大量账户的IP地址相同或来源于同一个内网，等等。

于是，不难想到，针对每一种黑产的行为，总结其行为特征，并建立对应的欺诈行为模板，或称之为欺诈特征体系。并通过实际的模式训练过程，不断优化该模板，使其准确度不断提升。在准确度相对可靠的情况下，通过对行为模板的行为匹配，可以高概率识别出异常账号。

一旦识别了某账号很可能是黑产，于是根据系统中定义的处置策略进行应对。典型的常见操作是，一是把该账号立刻加入黑名单库，二是把系统页面做某种处理，比如前面提到到价格变为“999999”，或者把加车、结算等按钮变为灰色不可点，三是进行订单拦截，下单失败，处理为无效订单。

对于黑名单库中的账号，下次再登录时，根据处置策略进行应对，或禁止其登录，或在登录后对某些行为进行屏蔽，如领券、下单等。

黑名单库也可以进行人为维护，释放误伤的用户（电商公司的产研团队因为频繁进行测试操作，常被误锁定），并对确认的黑产账号在友商间分享，全网封杀。

此外，对访问设备的识别也是一个重要手段。模拟器往往与真实手机在系统版本、内存使用率、可用存储空间、电池电量、进程数量、移动网络码等方面具有明显的差异，可以通过此类参数进行设备判别，并屏蔽高风险的客户端。

这整套体系，就是风控体系，其中的核心是规则引擎、欺诈特征模板、黑名单、处置策略，以及大数据训练模型。本文不进行深入展开，有兴趣的读者可以找有关资料进一步补充阅读。

基本的风控体系模型

上述就是对黑产的常见手段和风控方式简述，希望对大家理解黑产并且在产品设计中降低风险有所帮助。

本文系作者：产品遇上运营授权发表，鸟哥笔记平台仅提供信息存储空间服务。

本文为作者独立观点，不代表鸟哥笔记立场，未经允许不得转载。

《鸟哥笔记版权及免责申明》如对文章、图片、字体等版权有疑问，请点击反馈举报