写点什么

打击“薅羊毛”,看唯品会的黑灰产对抗实践

  • 2019-10-11
  • 本文字数:2886 字

    阅读完需:约 9 分钟

打击“薅羊毛”,看唯品会的黑灰产对抗实践

互联网的快速发展,既给人们的生活带来很大便利,又催生了黑灰产这样的畸形产物。



如果你对黑灰产不太了解,但“薅羊毛”一词,相信很多人对它并不陌生。


2019 年初,拼多多因优惠券出现 bug,一夜之间被“羊毛党”薅走 200 多亿。这件事情,不仅让人们对拼多多的电商安全产生怀疑,而且为“羊毛党”的行为所震惊。



在《2018 双十一前夕电商行业黑灰产研究报告》中,威胁猎人指出:


黑灰产从诞生、发展到现今高度成熟的整个历程中,电商行业扮演了重要的角色,在海量的新用户红包、优惠券、代金券、打折商品、秒杀活动等“真金白银“的驱使下,黑灰产大军变得越来越庞大。


同样在这份报告中,威胁猎人的数据表明,在 2018 年双十一前夕:


黑灰产虚假注册主流电商平台账号达到 1545980 个;

黑灰产针对主流电商平台接口的攻击量达到 134743987 次,其中爬虫攻击占 42.62%;

针对主流电商平台黑灰产工具样本新增 768 种。


事实上,黑灰产已经成为电商平台面临的主要安全威胁。黑灰产不仅干扰了正常的电商购物环境,而且直接影响到人们的网上购物体验。


关于电商安全和黑灰产,InfoQ 记者有很多疑问:


现在,电商安全现状如何?与 5 年前相比,有何变化?如何理解电商面临的安全问题?黑灰产现在有哪些特点?呈现一个怎样的发展趋势?电商企业该如何对待它?如何去识别和打击黑灰产?对电商平台而言,黑灰产最大的影响是什么?


带着这些疑问,InfoQ 记者专访了唯品会安全经理方斌。


据悉,唯品会 2013 年正式组建安全团队,方斌于 2014 年加入,并与唯品会安全团队一起成长。今年 10 月,他将在QCon全球软件开发大会(上海站)2019分享题为《电商复杂场景下的黑灰产对抗实践》的演讲。



据他介绍,唯品会安全团队经历了从 0 到 1,最高峰团队成员达到 60+,涉及应用安全、基础安全、业务安全、监控响应、安全产品、安全开发和安全管理,甚至有专业的安全项目团队管理安全的所有项目。

现状:电商安全变好,安全形势越来越紧张

今天,人们的生活和工作都离不开电商。


在方斌看来,随着电商行业的快速发展,网购、网上支付等新领域正被大家熟悉和认同。对电商而言,保障一个安全、健康的线上购物环境显得尤为重要。


他说,“现在的电商安全受大环境影响,逐渐变得越来越好,从保护购物环境安全到用户隐私安全,这些都是各大电商企业非常重要的指标。”


不过,方斌也坦承,与 5 年前相比,电商面对的安全形势也越来越紧张。5 年前,黑灰产采用人工刷单模式,现在的黑灰产,已经开始使用 AI 刷单、自动化智能刷单,这也促使电商安全在对抗黑灰产的过程中需要不断进步、不断升华。

电商安全的大敌:黑灰产

作为电商平台来说,其核心业务是线上购物平台。电商面临的安全问题即是业务面对的安全问题。



据方斌介绍,电商平台当前面临的主要安全威胁是黑灰产。


所谓网络黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。


据悉,网络黑灰产已形成年产值达千亿级别的庞大“黑金”利益链,并通过上中下游的严密分工构建起了一个密切协作的网络,轻则让企业遭受数千万元损失,重则让企业直接破产。


对电商平台而言,黑灰产不仅干扰了正常的电商购物环境,而且直接影响到普通用户的网上购物体验。


他说,“在现今的电商安全挑战中,黑灰产是属于干扰正常购物体验、影响正常用户线上购物的一个业务挑战。作为电商企业,需要有专业的安全团队、风控团队去对抗它,并且这个过程是长期的。”


我们以唯品会为例,进一步介绍其风控措施。


据方斌介绍,跟各大互联网企业一样,唯品会的风控初期,因各类系统不完善,导致我们在阻断事件需要利用多个不同系统来进行,但在后期,“我们不断完善系统的建设和检测能力,现在已经做到基本上无需人工参与,即可打击黑灰产的恶意刷单行为。”他说。



在《2018 双十一前夕电商行业黑灰产研究报告》中,威胁猎人将电商黑灰产分为四类:以账号为核心的黑灰产、以流量为核心的黑灰产、以变现为核心的黑灰产和以信息为核心的黑灰产


在黑灰产业链中,账号是基石,其数量和质量很大程度上决定了黑灰产的投入产出比,在电商行业更是如此。在双十一前夕,黑灰产会储备大量的电商平台账号,这些账号往往被用于刷销量、刷好评、秒杀特价商品和抢优惠券等。


不过,随着技术的发展,黑灰产也在进化,它们变得更加强大。


方斌表示,“在对抗黑灰产的过程中,我们发现黑灰产也在不断进步,利用一切可利用的信息,形成自动化刷单,无需人工参与,甚至有的黑灰产团队利用 AI 技术再刷单。”


黑灰产是唯品会乃至所有电商企业面临的挑战,并且还存在因自身业务特征到产生“hold 库存”的挑战。


“面临这些挑战时,我们也是通过各种维度去打击,包括审单、砍单、机器学习、AI 等先进技术去打击。”他说。


同时,他也提到,打击黑灰产不是一家电商平台的事情,需要各大企业联合起来,互助互补,弥补各家企业在打击黑灰产维度上的缺陷。


对于文章开篇提到的拼多多一事,方斌指出:


各大电商平台初期都会经历”薅羊毛“,唯品会也一样。


主要是因为初期业务发展迅速,业务安全、风控检测等能力无法全面覆盖,而业务方安全意识较薄弱,从而使一些领券接口未经风控检测暴露出去,给企业带来一定损失。


作为安全人员,尤其是电商安全人员,从来都不敢忽视任何细节。


“这件事情发生后,各企业包括电商公司的安全人员应该要引起特别重视,安全事件往往发生在那些易被忽视的细节上,所以我们要举一反三,排除各类接口的安全隐患,加速风控能力的建设,保障业务健康运行。“他说。

新复杂环境,电商平台的安全在哪里?

今天,中国的电商环境越来越复杂,这种复杂性表现在多方面,比如用户行为习惯的改变、新零售的兴起、多场景的融合等等。


这种复杂性同样会传导到安全上。那问题来了,这种情况下,电商平台该如何保障系统安全、业务安全?


在方斌看来,电商平台讲究业务优先,要以业务为主,保障业务安全健康的运行。并且,安全是多面性质的,特别是企业安全、电商安全,不能忽视任何一个微小的细节。不仅是在业务安全、风控检测能力上,还要保障好产品安全、系统安全。


以唯品会为例,其系统安全以 SDL 为模型,力保每个上线的项目都需经过安全评审。安全评审不仅仅是做代码评审,还包括需求评审、服务器的基线评审。


SDL,全称 Security Development Lifecycle,中文即安全开发生命周期。它指的是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。


他说,“安全评审的重点是在需求评审环节。在需求评审过程中,我们针对业务的需求提出安全要求,提前规避安全风险点,从而使项目能快速上线运行。在业务安全建设上,确保可疑风险点已对接风控检测,从而在业务场景中拦截到刷单等恶意行为。”


在 QCon 上海 2019 的演讲中,方斌老师将为你介绍唯品会独特的业务模式下的安全问题、“黑色星期五”的缘由和黑灰产的多样性。如何识别黑灰产?如果在面对不断有新活动、新玩法、日日促销的电商复杂场景下,能否快速保障系统安全、业务安全,打击黑、灰产?点此了解答案。


2019-10-11 17:588249
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 381.2 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

如何在前端项目中制定代码注释规范

伤感汤姆布利柏

VMware vCenter Server 8.0U3 发布下载 - 集中式管理 vSphere 环境

sysin

vSphere vcenter esxi

零成本搭建个人图床服务器

北桥苏

GitHub Pages 免费图床 图床搭建

科普:什么是 BC-404 ?全方位解读最新通缩型 NFT 标准

NFT Research

NFT ERC404

亚马逊秘密研发 AI 对标 ChatGPT;语音 AI 未来五年或将释放 100 亿美元市场 丨 RTE 开发者日报

声网

时延降低 50%,小红书图数据库如何实现多跳查询性能大幅提升

小红书技术REDtech

分布式 查询 图数据库 图数据库实战 并行查询

SaaS 出海:Databend Cloud 的定位与实践

Databend

接口测试:Mock 技术体系

测试人

软件测试

云端部署mes/万界星空科技云mes系统

万界星空科技

mes 云mes 万界星空科技

青海正规等保测评服务公司是4家吗?分别在哪里?

行云管家

等保 青岛 等级保护 等保测评

PHP中常用的设计模式

左诗右码

php

以“好运”潮饰 “牵”情绪共鸣 老庙一串好运系列与消费者展开情绪对话

科技大数据

一文带你了解Mock 技术体系

霍格沃兹测试开发学社

VMware vSphere 8.0 Update 3 发布下载 - 企业级工作负载平台

sysin

vSphere vcenter esxi

pd17虚拟机安装包:Parallels Desktop 17 激活版

你的猪会飞吗

mac软件下载 Mac虚拟机下载 PD17虚拟机

VMware ESXi 8.0U3 macOS Unlocker & OEM BIOS 集成网卡驱动和 NVMe 驱动 (集成驱动版)

sysin

macos esxi 驱动 OEM BIOS

制造业采购堡垒机的四大必要性看这里!

行云管家

网络安全 数据安全 堡垒机 制造

性能测试公开课来啦!从性能测试方案到性能调优,从负载均衡到中间件测试,全方位讲解性能测试核心内容

测吧(北京)科技有限公司

测试

小窗口大魔力,实况窗服务实时掌控重要信息变化

HarmonyOS SDK

HarmonyOS

引领产业创新,河套国际性产业与标准组织聚集区亮相2024MWC上海

最新动态

白熊AI推出两款大模型应用产品:一站式智能体开发,十万节点0.9秒响应;0门槛、低代码,全流程自动化大模型训练平台

白熊AI

白熊AI 大模型训练平台 RAG知识库 Agent智能体 Workflow工作流

VMware ESXi 8.0U3 发布下载 - 领先的裸机 Hypervisor

sysin

vSphere esxi

手把手教你用Charles抓包

AntDream

网络 charles Android; 网络抓包 抓包工具

VMware ESXi 8.0U3 macOS Unlocker & OEM BIOS 标准版和厂商定制版

sysin

macos esxi OEM unlocker dell

GitLab 使用 Docker Compose 部署

极狐GitLab

PHP 之道笔记整理:最佳实践与安全指南

左诗右码

php

打击“薅羊毛”,看唯品会的黑灰产对抗实践_安全_万佳_InfoQ精选文章