积目在网络诈骗类黑产对抗的防控与思考

本文主要介绍积目风控负责人徐铭老师，在对抗黑灰产中的一些心得、实践经验，希望通过分享，能给大家带来一些新的思路和方法。本文将首先介绍关于积目 app 和主要风险点、其次是遇到的一些共性问题及总体对抗思路，接下来是对抗的实战经验，最后是一些浅显思考。以下为徐铭老师分享内容：

关于积目

积目是一个年轻人最热衷的潮流兴趣交友平台，里面的 Z 世代青年人不管是喜欢饶舌音乐还是蹦极、跳伞、滑雪，都能更快找到合拍的人。

超高颜值、志同道合、多元的兴趣社区、不尬聊、有趣是它的标签。也正因为以上的高价值人群和他们的属性，使得黑产盯上了我们平台。

App 内存在的诈骗类风险主要有三大类：

• 裸聊：裸聊敲诈

• 杀猪盘：投资类、情感类

• 红包乞丐：虚构事实类，比如我需要打个车来你这、我生病了，需要买药、代订外卖以及直接索要红包

共性问题与总体对抗思路

1. 共性问题

关于共性问题，我想先提几个业务型的问题，可以让大家思考：

• 业务内存在多少种类诈骗，具体占比是多少？

• 业务内黑产的主要作恶方式是什么？

• 业务内黑产成本和收益是多少？

大家可以想一下上述问题，自己是否真的很清楚。提这个问题的原因，是我认为风控一定要贴合业务，知道一些业务环节的弱点，同样也要了解攻击方，了解获利点。才能真正真正发挥最大能力；

右侧是我总结几个主要的问题：

• 重视程度问题，因为诈骗类案件大多数是引流至第三方聊天工具，不是在站内直接发生诈骗，所以各个平台对于这类问题重视程度不一样。作为风控的我们如何跟业务方 pk，要做到哪种程度。都是需要思考的问题。

• 外部威胁信息获取问题，由于一部分平台没有情报能力，不能即时发现黑产的动向，只能被动挨打，直到黑产到了一定数量级才能发现，较为滞后。并且站内风险感知有可能也无法做到小时甚至分钟级，只能 T+1 第二天才能发现黑产来过。这种会给业务带来很大伤害；

• 知道了有黑产，接下来就是打黑产优先级，在哪些节点，运用哪些策略打击，对应什么处罚措施才能减少对业务影响，有效遏制黑产。

• 最后是我们成功遏制住了黑产的上涨情况下，封禁杀猪盘类、诈骗类账号后，黑产统统来申诉。这也是杀猪盘类诈骗和普通协议号注册，发送引流消息的团伙一些区别。

我们有个数据在 50 个明确杀猪盘的账号，申诉账号高达 17 个，在我们永久封禁后，最高的一个是 3 天内申诉次数达到 8 次，申诉 3 次的也有 8 个。我们在人手不足无法一一查 case 情况下。如何能通过自动化工具，或者规则能够有效对其解释。并且通过什么类型的图表来解释对业务的影响。这个也是遇到的一个问题。

2. 总体对抗思路与成果

以下是用 12 个字总结的一些方法：先知攻、后思守、打资源、强宣导。

其中先知攻要占总精力的 40%，打资源和强宣导也分别占 25%。举这个占比的比喻，是想强调先知攻的重要性，如果都不知道别人怎么作恶、模式是什么样的，他们下一步要如何规避我们策略，他们如何升级作恶手段，我们能够想到的反制措施也达不到最好的效果。如果知道别人再怎么搞，我们想出的反制措施可能只有几类，但是放到关键节点就可以起到很大作用。

这个是积目 app 在近几个月某个区域监控到的报案量趋势图。可以看到，在整体报案数据中，1 阶段比 2 阶段报案量下降 1 倍。4 阶段相比 1 阶段，下降 8 倍。这个数据可以从侧面证明我们的打击、反制的有效性，当然道高一尺魔高一丈，我们只有时刻关注业务，不断更新反制策略，压缩黑产团伙的可作案空间，不断提高他们成本，才能让用户用的放心。

实践经验

说下我们的实战经验：

1. 先知攻

首先是先知攻，下面这个图是简要版诈骗类黑产作恶模式，从资源流转情况大致分为两类：

• 一类是做号工作室或者众包收号的中间商，成功拿到号后，将号码倒卖给中间人或者直接给境外团伙，实施诈骗；

• 还有一类是境外团伙本身也有一定的做号能力，成功做号后，直接进行诈骗，这种就会少一个流转环节。

做号又分为：协议号、软改、硬改、众包。

做号效率以及做号总体成本。和我们打击的难度都是依次向下，协议号相对较好打击，现在在 app 内量级以及很少，更多是另外三种，以 XX 罗、xx 抹机、xxW 等工具二次开发的软改注册和以 ua、X 狼等为主的安卓硬改注册。最后是一些众包团伙。这些团伙能用到的工具除了设备层面，在 ip 层面还会加上动态 ip、手机号层面还会用上拦截卡。对打击难度会有所提高。

做号人成功做号后，一部分自己养号、或者直接卖给诈骗团伙，又分为直登、二次接码、买卖数据包，以及最后一种由做号团伙/专业粉商，进行跑粉的形式。这个在我们的实践中，对抗难度也是依次向下。

注：

• 直登=拿到密码伪造设备环境直接登录 

• 二次接码=二次接收验证码登录

• 买卖数据包=直接买卖数据

• 跑粉=诈骗团伙将联系方式发给粉商/粉商将收集的联系方式卖给诈骗团伙

内容层面：

我们通过用户举报数据，发现最多出现的词汇来自以下几种，裸聊、公司高管、投资理财、色播、舞蹈直播、小怪兽、+Q、+企鹅等。

2. 后思守

分为两块，一个是风险感知，另一个是风险阻断，风险感知中，建立风控报警机制和有效情报体系是优先做的。

特别是风控报警机制，这个机制有以下优点：

• 对于来自黑产突然的攻击可以达到分钟级响应报警，避免黑产在短时间内污染大批用户，风控对此无动作，对业务造成较大影响。业务整体健康度也会随着封禁时效性呈正向变化。

• 风控策略运营人员聚焦，团队内不是所有的人对异常点的敏感度都那么强，这个时候通过报警机制，锁定一部分异常数据，在通过对业务熟悉后的风控经验，策略运营人员就能快速上手，制定验证风控策略。

建立报警机制其中之一要注意的点是，不要过多、过细，过多会导致在阈值不变的情况下，报警发生频率大幅提高，有限人员精力无法跟上。过细会造成一个现象，就是明明能直接做一个时序型或者布尔型策略，却把它做成了报警，过细也会带来报警经常失效、要经常变动。这个和报警的初衷是相违背的。

报警的意义在于能快速响应黑产攻击，能为风控人员在海量数据中定位黑产提供了一个有效指导。主要的点就是找重点、少更改、及时响应。

建立有效的情报体系，如果是大公司往往会考虑采购一些外部服务，并且建立专业的威胁情报团队。小公司/非营销活动型业务，可以考虑招聘一些运营兼职做情报运营工作，情报作为风控的眼睛，属于风控前哨的岗位。情报获取的方式包括不限于 q 群、土豆群、tg 群、黑灰产论坛、精 e 论坛、贴吧、二手交易网站等；从中我们可以获得现在业务接码价格、账号价格、黑产当前主要用的号码段、归属地、市面当前哪些归属地的卡现阶段流通量最大，黑产作恶方式等，包括是否出现了新型作弊工具、黑产团伙信息，为我们的工作下一步工作提供了一些指导。

风险阻断分为打击资源层和风险前置打击：

打击资源层：顾名思义，就是要打击他们的核心资源，比如：设备信息（设备指纹）、ip、网络环境、用户核心物料等，除了我们大众熟知的设备类、ip 类、网络环境类的各项参数，用户核心物料这个是我们打击网络诈骗中行之有效的手段，核心物料有很多，头像、个性签名、发的动态，我们都认为属于核心物料，凡是用户自己上传填写的，都可以定义为核心物料。比如杀猪盘为了营造人设，个人资料的图片或者通过动态曝光的图片信息，都有很大比例出现重复问题，我们在我们的风控系统中，增加相应的黑名单机制，相应的识别方法，对应的策略逻辑，这部分就对提高黑产成本可以起到很好的效果。

打击前置：指的是我们如果发现用户可能存在风险，要尽可能在用户在产生明确污染前就做相应风控动作；举个例子：注册前可以获取一部分信息、注册中又能获取一部分信息、注册完成还是可以获取一部分风控信息，根据信息，很可能在注册前阶段就能将黑产识别，那么我们就在注册完成后，对黑产直接进行风控措施。避免黑产产生曝光，污染用户。

这里有两个问题可以简单聊下：首先，黑产没有产生明确的动作，能否等黑产触发私信场景在处罚用户，措施可解释性、如何处罚比较好。其次，是否要使用无感知处罚，比如在我们业务里=不给曝光；无法达成匹配=阻断关系链路。

这个经过我们团队实践的结果，想做到黑产在其他点都正常，只有在私信场景才受到限制，这么长链路的查杀分离，在短期（1-7）天对于黑产的攻击带来的对抗成本有一定的效果，但是长期对于黑产的攻击效果不明显。并且只要给了黑产曝光，就会对正常用户产生影响，这种影响，虽然短时间无法在一些风控指标无法体现，但是在调研中会发现一部分用户会对 app 产生质疑，所以我们现在的做法，及时发现，及时打击，查杀分离，也不会做到跨场景。

做无感知处罚，比如黑产除了不给匹配，其他什么都正常，这种会产生一个问题，风控如果做了此类无感知处罚，我们的误伤率评估将非常不准，会非常低，因为黑产感知到了没有曝光，黑产会有明显感知。被误伤的正常用户，没有流量，他们在没有明显感知情况下，在 app 内的体验会非常差，届时业务指标会产生一些细微变化，长远来讲，如果风控不能即时维护策略，那么对业务影响将是长远且负面的。并且很有可能后续无人继续关注。

3. 后思守、打资源

以下把部分场景的部分报警跟各位分享。注册前、注册、登录、匹配，当然在其他场景也有类似的监控和报警。我们会监控设备类型数据变化情况、接口类数据变化情况、网络环境变化情况。比如黑产通过扫号判断手机号是否在 app 内注册过，在注册前的接口类数据，就会产生大量的查询，据此就会产生报警，就知道黑产在开始搞事情。

第二个是我们情报运营人员在土豆群、q 群发现的团伙，可以发掘出哪些团伙在攻击，方式和账号价格是多少，非拦截卡的接码平台，接码价格是多少。这些会为我们的策略人员提供思路，也能验证我们现在做的如何。

上述都做完后，在网络诈骗类黑产打击的实践中又会遇到一个问题-客诉。

这个事情在一段时间内让我们疲于应对，不能不认真看，又不能特别细致看，不认真看，就会导致我们误伤一大批，自己还不知道。细致看，整体效率会直接降低。特别是对于封禁的账号又不能明确给对外沟通的客服说明用户的异常点是什么？被哪些策略命中，担心解释给黑产。

这个时候，我们做了关系网络。

我们通过强指标做关联，并且模糊关键信息，给一些高级客服提供查询权限，沟通明确的规则，初步改善了这个问题。在月度工单统计中，整体工单量级降低 75%，让整体效率都能得到提升，这些工单量按照推算，起码需要 2 个以上全职风控运营人员 1 周完成。

4. 强宣导

黑灰产对抗中，除了这些攻守之间的你来我往， 还要重视产品的建设，通过风控的一些可行的方法，让用户对平台产生可信赖的想法。

这里有一个很有意思的数据如图所示。我们用了一些跑粉团队用的话术，随机发给了 30 个用户，其中有 9 个加了我们小伙伴的第三方联系方式。这个比例也让我们知道，对于打击网络诈骗类黑产，不仅要靠团队主动发现，让用户提高警惕性这个环节也是必不可少的。

我们主要是提升举报的处理效率，可以降低黑灰产后续继续伤害用户的可能性，并且可以让正常用户感受到到平台在努力打击黑产。这部分风控策略模型漏过黑产，通过优化投诉举报系统和处理逻辑，目前做到了举报后 10 分钟左右处理完毕，我们调研了很多市面上的产品，发现除了个别国民级 App 能做到分钟级响应，大部分 App 的举报都是以小时甚至天级别处理时效。

第二个是我们做了每周的生态周报，会详细强调处罚数量、处罚类型，并且告知用户举报方式，这个我们会进行全量级的系统消息推送。并且将防骗指南列到我们每个新用户的系统消息内，触发了某些关键词，也会对用户进行提示。这些举措的做出。在我们用户调研报告中，对此呈正向感知的比例很高。我们之前会担心，用户看到此类数据会不会觉得平台不可信赖，但调研结果显示，用户对于我们为他们做的事情，是很有认同感的，他们也愿意参与到生态治理中来。

最后回顾一下，还是那 12 个字，先知攻、在思守、打资源、强宣导。摸清 app 内作恶团伙情况，前期在资源不足的情况下，抓大放小的打击，先打击大批量黑产买卖号的行为，在细细分析黑产用户的其他特征，一步一步压缩黑产的作恶空间，提高他们的成本和作恶难度。

5. 思考

各自为营如何变成互帮互助？

当前各个平台打击网络诈骗黑灰产中，黑产用户资源层信息均为业务核心数据，后续如何可以将每个平台内黑灰产核心数据最大限度进行共享。

不在平台内作恶这类，app 如何能最大限度做出预警和提醒？

比如：如何在权限允许、不触碰用户隐私的情况下，感知到用户新安装 xx 木马软件，避免用户通讯录被窃取。这类方式对打击裸聊诈骗类案件起到的效果应该是很好的。

用户被骗后，作为平台的我们还能主动做些什么？

• 强化警企合作，做到调证处理时效极致降低

• 设立 1V1 客服，持续跟进帮助用户，直至用户结案

嘉宾介绍：

本文转载自：DataFunTalk（ID：dataFunTalk）

原文链接：积目在网络诈骗类黑产对抗的防控与思考