▲黑产产业链条

第一种，不论平台有没有漏洞，只要平台被黑灰产盯上，在双十一之前，黑产都会用新手机号注册海量账号，领取平台的活动优惠券，集中购买某种产品，再寻找优惠券的规则漏洞，比如满减活动中“满100-20”，黑灰产买到后批量退货，因为产生了退款，平台只能返给他一个不需要满减的 20 元优惠券，黑产又用 20 元优惠券去买二十一块钱的商品，因此，实际上黑产只要花一块钱就可以买到原本 20 块钱的东西，或者他会批量把这些券卖掉，赚取利益。

第二种，一些商家做了大转盘活动，但准备时间短，考虑不周全，一个正常账号一天可以玩三次，但是黑灰产发现了转盘背后的逻辑，一个人玩了 40 多万次，把所有奖品薅走，这就是利用了规则的漏洞。

如果你发现自家平台的注册用户突增，但这些用户没有进一步行为，活跃时间只有一秒，或者只在整点活跃，那么这个平台就要注意了，这是“狼来了”的征兆。

2.传统零售商转型做电商，更容易遭受攻击，他们在风控时会遇到什么惨况？为什么会这样？

郭佳楠：以一个商超亲历的真实事件举例，这家商超以前只做线下卖场，后来它做了线上小程序，又开展了新业务，为了吸引新客户，它做了新客户满减等促销活动，这种突然从传统线下转到线上的厂商容易被黑产盯上，黑产通过虚假手机号注册海量新帐号，并集中购买容易变现的产品，比如电话卡，再通过线下渠道转卖，批量套取平台的优惠。

为什么会遇到这种惨案？

传统零售商转型面临的最大问题是客户变了。以前是一个客户实打实地走到物理环境中买一桶油，只要内部人员没有作弊，这种买卖操作基本没问题，但是转到线上后，它的客户只是互联网上的一个帐号，一串代码。账号背后是真正的人还是被伪造的“人”？最大的欺诈就来源于这里。

传统零售商对于互联网上的用户，没有太多经验，没法分辨真假用户，也没什么风控措施，而且风控平台难建设，零售商业务成长到中期时才会筹建安全团队，有了安全团队才会去建设风控中台、设备指纹，才会有风险运营和风控专家，这些人才会基于风控规则防控黑产的攻击者，能走到这一步的话，它在互联网上已经玩得很6了。业务优先，业务安全靠后是一般厂商考虑的点。

自己筹建团队很难，因此传统零售商转型时才会找安全厂商来做业务风控。

这是需要成本的，风控是个无底洞，某互联网厂商每年在安全上的投入是20亿人民币， 70%人是安全团队，腾讯在安全上的投入也是不惜一切的。但是，第一，一般的传统厂商没有能力去做这么庞大的安全体系。第二，网络黑产变化太快，传统厂商如果没有广而深的安全团队，根本无力抵抗。

企业接入腾讯安全天御营销风控的能力非常便捷。腾讯安全天御不仅提供API接口，还可以协同腾讯云等产品接入企业的营销风控系统，帮助企业快速构建更坚实的营销风控防线。

3.今年黑灰产对新零售电商的攻击有什么新招式？你有遇到什么匪夷所思的操作吗？

郭佳楠：黑灰产最早的运作方式是假机、假人、假行为，也就是他们会在自己设备上安装模拟器，通过模拟上万个设备频繁登陆完成攻击；而现如今黑灰产的攻击招式已进化为“真人、真机、真行为”，通过欺诈或指向性引导骗取零售电商的实际用户进行非真实意愿的操作，以成为其赚取利益的工具。羊毛党、黄牛党、打码党以及小程序网赚党、网赚团队欺诈等就是这一方式的“熟练玩家”。

黑产从各个平台招兼职，也就是黄牛党的“肉牛”，“牛头”会在专门分包的网站上发任务，让“肉牛”去买对应的东西，寄给牛头，再以做任务奖金的方式把钱返回，实现对货源完全控制。

在抢购手机、黄金和茅台酒上，这种手段用得比较多。

既然都是朝同一个地址邮寄，为什么不能封禁这些购买人的帐号？

因为黄牛也研究了规则，并告诉了“肉牛”如何突破规则，故意让收货地址变得不一样，比如全部写成附近的快递站，选择自提，再和快递员商量好，等商品到齐，自己再开一辆车来提走所有货物。

目前，通过大规模学习甚至 AI 算法运用，零售电商黑灰产已能轻松绕过图形验证码、手机短信验证、账号限制和活动地区限制等传统防刷手段。借助自动打码平台、猫池、接码平台、大量养号和秒变位置等，专业化、产业化的黑灰产已对新零售电商发起了新的挑战。

以往黑灰产大部分都是采用 Android 设备作为攻击工具的，比如大量养号或通过植入木马等控制器挖矿，充当肉鸡。但随着 Android 设备指纹的大量普及，加之该类设备系统本身性能上的缺陷，黑灰产还将“黑手”伸向了 ios 设备，从黑市收购 ios 设备 root 后，利用其作为攻击工具，在攻击环境和效果上取得了更大的突破。

4.照你这么说，攻击者也用AI的话，安全人员怎么应对？对商家有什么建议？

郭佳楠：第一，靠前期的信息搜集，觉察动向。

第二，利用 AI 的手段分析账户的历史行为，比较周边用户的行为，购买的商品是否出现在历史购买中。基本上，“肉牛”购买的商品都集中在虚拟卡、黄金等容易变现的产品，操作习惯也跟正常人不一样，他们很可能就是直接在同一个链接上点击下单，当然，现在黄牛也有各种为了让人相信这就是真实用户的行为规则引导，我们依然可以用无监督学习的一些方法找出“坏人”。

每个商家原有的能力不同，需要补的能力就不一样。

像风控已经做得不错的商家，我们就会建议用上腾讯独特的风控建模能力，如果主业不是做安全的，但是又受套利严重影响的电商公司，可能还是要构建一个端对端的整体风控方案。也就是从底层的决策引擎到上面的风险数据，再朝上面建模，用智能风控中台来解决业务安全的问题。

5.还有什么更新的对抗思路吗？

郭佳楠：现在，我们有一种新的对抗思路：放羊，不直接对抗，分化打击。

比如，黑产在注册、登录时，或者要在到达购买路径时的某个点上做点什么时，我们不会直接在这个点上对抗，因为一旦跟他对抗，他发现了这个点，可能就会改变自己的策略，然后安全人员又会面临着一次攻防升级，只要不是在最后的支付环节，在其他环节上，我们都会把它放过，可能它会突然发现这个券领不了了，或者红包领得比较少，或者是下一次登录时，它就自动登出。我们会再把它慢慢放到我们的体系来，可能针对10%的坏流量用一种对抗方法，对50%用另外一种方法，40%用第三种方法，逐步分化攻击，最终黑产不知道我们是在哪发现它的，也就无法进化成一个更新的对抗。

总体来说，对于大批“羊毛党”以“假设备+假注册+高科技”薅取优惠券和现金券的行为，腾讯安全会从活动防刷、注册保护、登录保护、验证码、作弊器识别五大方面，基于腾讯安全天御独有的智能风控系统和能力，在180毫秒内精准识别羊毛党伪装，并协助零售电商企业根据预先设定的营销策略进行差异化处理，从而确保资金利用最大化，确保营销效果精确性。

6.上面聊了很多业务安全面临的威胁，新零售电商以前在基础安全领域也受到过“暴击”。抢券、短信轰炸、DDoS 攻击、拼团砍价、黄赌毒晒单图等依然是防护重点吗？

郭佳楠：随着零售电商企业线上与线下业务融合的不断深化，零售电商线上平台衍生的利益点和业务场景愈见宽广。鉴于此，黑灰产对零售电商的觊觎也日趋体系化。

目前，黑灰产已形成了包含软件开发与技术支持、账号注册与分销、盈利变现等环节在内的产业链，除传统针对基础安全系统的短信轰炸、DDoS攻击仍是防护的重点外，抢券、拼团砍价、黄赌毒晒单坑爹图等业务场景下的安全问题也成为当前零售电商行业安全防护的重中之重。

与此同时，来自以刷单为主要形式的网赚团伙欺诈和作弊引流的KOL作弊等全新黑产操作方式，也给业务风控提出了全新要求，营销风控成为零售电商黑灰产对抗的核心痛点。

7.竞争对手向电商发起 DDoS 的情况常见吗？遇到大促，用户来一场人肉 DDoS 和竞争对手故意 DDoS的防护手段有什么区别？

郭佳楠：用户发起的 DDoS 攻击多集中在游戏行业，而零售电商行业遭遇的DDoS主要来源于竞争对手的攻击。这种最简单粗暴，不需要任何技巧的方式在商场时刻上演，别有用心的商家可以直接对竞争对手的服务器发起DDoS攻击，导致剁手关键时刻竞争对手的用户无法正常买买买，最常见的现象则是业务停摆。

在防护手段上，针对用户发起的 DDoS 攻击，要加固安全系统，提升防护机制；而针对竞争对手的攻击则一般通过无监督学习等 AI 手段对购买者画像和行为画像两方面进行侦测，发现异常则采取对抗措施。同时，提升流量清洗防护能力和 BGP 接入线路性能，保证电商平台即使遭遇 DDoS 攻击时，也不影响业务顺利进行。

像“双十一”这种全年访问量达峰值的购物节场景，腾讯安全推出重大节点定制化全程重保防护服务，通过渗透测试、资产核查、风险评估、修复指导以及7x24小时安全专家驻场值守与应急响应，帮助客户提升抵御流量巅峰时期密集型网络攻击的能力，确保业务流畅进行和核心数据防护。同时，定制化灵活配置网络安全、主机安全、数据安全、应用安全及安全管理等全栈式基础安全产品防护，让恶意攻击“无处遁形”，为企业构筑牢固的基础安全防护体系。

8.说点什么震慑一下那些对电商搞破坏的黑灰产吧。

郭佳楠：我想送他们一本《刑法》。

……

干货就这么结束了吗？并没有。你以为只有电商就遭遇了这种坑爹事吗？在产业数字化转型的大趋势下，各行各业都会遭遇不同的安全痛点，腾讯安全重磅打造的「产业安全专家谈」栏目，关注每个行业转型升级的安全痛点，下期我们将聚焦最近大家最为关注的等保2.0，详细讲解过保指南，请大家拭目以待！