写点什么

打击“薅羊毛”,看唯品会的黑灰产对抗实践

  • 2019-10-11
  • 本文字数:2886 字

    阅读完需:约 9 分钟

打击“薅羊毛”,看唯品会的黑灰产对抗实践

互联网的快速发展,既给人们的生活带来很大便利,又催生了黑灰产这样的畸形产物。



如果你对黑灰产不太了解,但“薅羊毛”一词,相信很多人对它并不陌生。


2019 年初,拼多多因优惠券出现 bug,一夜之间被“羊毛党”薅走 200 多亿。这件事情,不仅让人们对拼多多的电商安全产生怀疑,而且为“羊毛党”的行为所震惊。



在《2018 双十一前夕电商行业黑灰产研究报告》中,威胁猎人指出:


黑灰产从诞生、发展到现今高度成熟的整个历程中,电商行业扮演了重要的角色,在海量的新用户红包、优惠券、代金券、打折商品、秒杀活动等“真金白银“的驱使下,黑灰产大军变得越来越庞大。


同样在这份报告中,威胁猎人的数据表明,在 2018 年双十一前夕:


黑灰产虚假注册主流电商平台账号达到 1545980 个;

黑灰产针对主流电商平台接口的攻击量达到 134743987 次,其中爬虫攻击占 42.62%;

针对主流电商平台黑灰产工具样本新增 768 种。


事实上,黑灰产已经成为电商平台面临的主要安全威胁。黑灰产不仅干扰了正常的电商购物环境,而且直接影响到人们的网上购物体验。


关于电商安全和黑灰产,InfoQ 记者有很多疑问:


现在,电商安全现状如何?与 5 年前相比,有何变化?如何理解电商面临的安全问题?黑灰产现在有哪些特点?呈现一个怎样的发展趋势?电商企业该如何对待它?如何去识别和打击黑灰产?对电商平台而言,黑灰产最大的影响是什么?


带着这些疑问,InfoQ 记者专访了唯品会安全经理方斌。


据悉,唯品会 2013 年正式组建安全团队,方斌于 2014 年加入,并与唯品会安全团队一起成长。今年 10 月,他将在QCon全球软件开发大会(上海站)2019分享题为《电商复杂场景下的黑灰产对抗实践》的演讲。



据他介绍,唯品会安全团队经历了从 0 到 1,最高峰团队成员达到 60+,涉及应用安全、基础安全、业务安全、监控响应、安全产品、安全开发和安全管理,甚至有专业的安全项目团队管理安全的所有项目。

现状:电商安全变好,安全形势越来越紧张

今天,人们的生活和工作都离不开电商。


在方斌看来,随着电商行业的快速发展,网购、网上支付等新领域正被大家熟悉和认同。对电商而言,保障一个安全、健康的线上购物环境显得尤为重要。


他说,“现在的电商安全受大环境影响,逐渐变得越来越好,从保护购物环境安全到用户隐私安全,这些都是各大电商企业非常重要的指标。”


不过,方斌也坦承,与 5 年前相比,电商面对的安全形势也越来越紧张。5 年前,黑灰产采用人工刷单模式,现在的黑灰产,已经开始使用 AI 刷单、自动化智能刷单,这也促使电商安全在对抗黑灰产的过程中需要不断进步、不断升华。

电商安全的大敌:黑灰产

作为电商平台来说,其核心业务是线上购物平台。电商面临的安全问题即是业务面对的安全问题。



据方斌介绍,电商平台当前面临的主要安全威胁是黑灰产。


所谓网络黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。


据悉,网络黑灰产已形成年产值达千亿级别的庞大“黑金”利益链,并通过上中下游的严密分工构建起了一个密切协作的网络,轻则让企业遭受数千万元损失,重则让企业直接破产。


对电商平台而言,黑灰产不仅干扰了正常的电商购物环境,而且直接影响到普通用户的网上购物体验。


他说,“在现今的电商安全挑战中,黑灰产是属于干扰正常购物体验、影响正常用户线上购物的一个业务挑战。作为电商企业,需要有专业的安全团队、风控团队去对抗它,并且这个过程是长期的。”


我们以唯品会为例,进一步介绍其风控措施。


据方斌介绍,跟各大互联网企业一样,唯品会的风控初期,因各类系统不完善,导致我们在阻断事件需要利用多个不同系统来进行,但在后期,“我们不断完善系统的建设和检测能力,现在已经做到基本上无需人工参与,即可打击黑灰产的恶意刷单行为。”他说。



在《2018 双十一前夕电商行业黑灰产研究报告》中,威胁猎人将电商黑灰产分为四类:以账号为核心的黑灰产、以流量为核心的黑灰产、以变现为核心的黑灰产和以信息为核心的黑灰产


在黑灰产业链中,账号是基石,其数量和质量很大程度上决定了黑灰产的投入产出比,在电商行业更是如此。在双十一前夕,黑灰产会储备大量的电商平台账号,这些账号往往被用于刷销量、刷好评、秒杀特价商品和抢优惠券等。


不过,随着技术的发展,黑灰产也在进化,它们变得更加强大。


方斌表示,“在对抗黑灰产的过程中,我们发现黑灰产也在不断进步,利用一切可利用的信息,形成自动化刷单,无需人工参与,甚至有的黑灰产团队利用 AI 技术再刷单。”


黑灰产是唯品会乃至所有电商企业面临的挑战,并且还存在因自身业务特征到产生“hold 库存”的挑战。


“面临这些挑战时,我们也是通过各种维度去打击,包括审单、砍单、机器学习、AI 等先进技术去打击。”他说。


同时,他也提到,打击黑灰产不是一家电商平台的事情,需要各大企业联合起来,互助互补,弥补各家企业在打击黑灰产维度上的缺陷。


对于文章开篇提到的拼多多一事,方斌指出:


各大电商平台初期都会经历”薅羊毛“,唯品会也一样。


主要是因为初期业务发展迅速,业务安全、风控检测等能力无法全面覆盖,而业务方安全意识较薄弱,从而使一些领券接口未经风控检测暴露出去,给企业带来一定损失。


作为安全人员,尤其是电商安全人员,从来都不敢忽视任何细节。


“这件事情发生后,各企业包括电商公司的安全人员应该要引起特别重视,安全事件往往发生在那些易被忽视的细节上,所以我们要举一反三,排除各类接口的安全隐患,加速风控能力的建设,保障业务健康运行。“他说。

新复杂环境,电商平台的安全在哪里?

今天,中国的电商环境越来越复杂,这种复杂性表现在多方面,比如用户行为习惯的改变、新零售的兴起、多场景的融合等等。


这种复杂性同样会传导到安全上。那问题来了,这种情况下,电商平台该如何保障系统安全、业务安全?


在方斌看来,电商平台讲究业务优先,要以业务为主,保障业务安全健康的运行。并且,安全是多面性质的,特别是企业安全、电商安全,不能忽视任何一个微小的细节。不仅是在业务安全、风控检测能力上,还要保障好产品安全、系统安全。


以唯品会为例,其系统安全以 SDL 为模型,力保每个上线的项目都需经过安全评审。安全评审不仅仅是做代码评审,还包括需求评审、服务器的基线评审。


SDL,全称 Security Development Lifecycle,中文即安全开发生命周期。它指的是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。


他说,“安全评审的重点是在需求评审环节。在需求评审过程中,我们针对业务的需求提出安全要求,提前规避安全风险点,从而使项目能快速上线运行。在业务安全建设上,确保可疑风险点已对接风控检测,从而在业务场景中拦截到刷单等恶意行为。”


在 QCon 上海 2019 的演讲中,方斌老师将为你介绍唯品会独特的业务模式下的安全问题、“黑色星期五”的缘由和黑灰产的多样性。如何识别黑灰产?如果在面对不断有新活动、新玩法、日日促销的电商复杂场景下,能否快速保障系统安全、业务安全,打击黑、灰产?点此了解答案。


2019-10-11 17:588193
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.7 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

《黑神话:悟空》下的科技众生相

脑极体

AI

nodejs中路径相关api

秃头小帅oi

曝字节 AI 硬件团队首款自研产品为智能耳机,与豆包联动;OpenAI 神秘新模型或将在两周内发布丨 RTE 开发者日报

声网

StarRocks 培训课程重磅上线!专家出品,助你升级打怪不走弯路!

StarRocks

IP纯净度对跨境电商有哪些影响

IPIDEA全球HTTP

报名啦|PolarDB数据库创新设计赛(天池杯)等你来战

阿里云数据库开源

数据库大赛 国赛 阿里云PolarDB

PoS 和 PoW 矿机系统区块链公链开发成本分析

区块链软件开发推广运营

dapp开发 链游开发 NFT开发 公链开发 代币开发

KaiwuDB 受邀亮相 2024 数博会

KaiwuDB

数博会 KaiwuDB

公开课 | 金九银十,测试开发面试秘籍大公开!

测吧(北京)科技有限公司

测试

数据飞轮转进快递行业 能够为企业带来哪些新想象

字节跳动数据平台

数字化转型 云服务 数据平台 火山引擎 数据飞轮

直播预约丨《袋鼠云大数据实操指南》No.6:建设指标管理平台 解锁企业数据价值

袋鼠云数栈

大数据

亚信安慧AntDB-M 只读事务提交优化

亚信AntDB数据库

AntDB

防城港等保测评机构有哪些?在哪里?

行云管家

等保 等级保护 防城港

Parallels Desktop 20 发布下载,macOS Sequoia 和 Windows 11 24H2 支持准备就绪

sysin

macos Parallels Desktop

性能测试 | JMeter 介绍与安装

测吧(北京)科技有限公司

测试

Cisco Modeling Labs (CML) 2.7.2 发布下载,新增功能概览

sysin

Cisco CML

什么是APT攻击,如何处理

德迅云安全杨德俊

JMeter 介绍与安装

霍格沃兹测试开发学社

Cisco Catalyst 9100 无线接入点 IOS XE 17.15.1 发布下载,新增功能概览

sysin

Cisco ap 思科 IOS XE 9100

性能测试 | JMeter 介绍与安装

测试人

软件测试

Invicti v24.9.0 发布下载,新增功能概览

sysin

invicti

电脑越用越慢,有什么好的解决方案?

上海锐起科技

Java 中堆内存和栈内存上的数据分布和特点

emanjusaka

Java stack heap

KaiwuDB X 临沂大数据局 | 重点车辆一体化监管,助力你我的安全出行 🤝

KaiwuDB

KaiwuDB 分布式多模数据库 重车辆监管平台

健康产业怎么定义?需要用到堡垒机吗?

行云管家

网络安全 数据安全 堡垒机 健康产业

Spring webflux注解:提供全面的JPA注解应用案例(必须收藏)

肖哥弹架构

spring spring webflux

人事管理这些“坑”,你有没有踩过?

天津汇柏科技有限公司

人工智能 低代码开发 人事管理系统

Qt使用kingbase数据库存储数据(完成考勤系统数据增删改查)

DS小龙哥

9月日更

Meme“淘金”热潮下:Meme发射平台的安全风险分析

区块链软件开发推广运营

交易所开发 dapp开发 区块链开发 链游开发 NFT开发

从数据洞察到智能决策:合合信息&infiniflow RAG技术的实战案例分享

汀丶人工智能

rag

打击“薅羊毛”,看唯品会的黑灰产对抗实践_安全_万佳_InfoQ精选文章