城市消費券,拒絕惡意爬取!

語言: CN / TW / HK

作為提振經濟的重要把手,城市消費券的作用不言而喻。公開資料顯示,2022 年全國各地公佈的消費券累計超 100 萬億,在撬動各地消費的過程中起到了舉足輕重的作用。

然而,仔細分析各地的核銷率就會發現,有很大一部分消費券可能落入到了不法分子的口袋中。

根據頂象近日釋出的《城市消費券安全調研報告》(以下簡稱《調研報告》)顯示,各地消費券核銷情況不一。

6 月 24 日,杭州發放 2022 年第二期數字消費券。4 天之後,核銷率不到一半,為 49.1%。核銷率同樣在 50%上下徘徊的,還有 6 月湖北首批“惠購湖北”消費券。

此外,鄭州5月發放的餐飲消費券,核銷率只有45%。

整體來看,各地的平均核銷率超過80%。但從目前公佈的各地核銷率情況來看,核銷率卻不甚理想。

《調研報告》顯示,15 個地區中,核銷率在90%以上的僅有深圳、成都和寧波三個城市,其餘城市核銷率都徘徊在 50%~70%之間。不難猜測,未核銷的消費券很大程度上可能已經成為不法團伙牟利的工具。

與此同時,由於消費券發放的平臺主要在支付寶、微信、雲閃付及建行生活 App 等各個大平臺發放。各大平臺自身有較強的業務安全及風控能力,各地的消費券發放規則上,獲取消費券的使用者基 本都需要完成實人認證,且需要開啟相應的線上支付功能,已經有較好的風控能力。

顯然,常規的批量註冊、軟體哄搶對於黑灰產而言已經不適用了,那麼,黑灰產們又是如何批量盜取消費券的呢?

利用機器爬取獲取大量消費券資訊

《調研報告》顯示,為了繞過消費券的發放規則,黑灰產通過大量招募真實身份、真實賬戶的的“刷手” ,然後通過社群,下達任務,組織進行統一操作和套現。從目前收集的情報來看,現階段黑灰產在整個消費券套現的鏈路中扮演中介的角色,賺取相應的佣金,主要採用人工搶和機器搶兩類方式進行。

其中,人工搶券則利用爬蟲抓取大量資訊。

具體流程如下:

第一步,人員招募。

黑灰產在國內外各個社交平臺建立消費券組群,釋出隱晦的廣告資訊,招攬“刷手”入群。另一方面,有套現需求的消費者也可以各個社交平臺,通過關鍵詞搜尋的方式快速找到相應的消費券套現群。

第二步,收集資訊。

在招募一定數量級的參與者後,黑灰產通過人肉線上搜尋或機器爬蟲的方式,抓取線上各地政府發放消費券的釋出資訊。

第三步,消費券整理及業務漏洞挖掘。

針對彙總收集的消費券資訊,黑灰產依據發券時間、地點、釋出 App、消費券金額、使用方法等進行統一分類、整理,並分析消費券領取和使用中的業務 漏洞,以便於進行哄搶。

第四步,下達任務。

通過社群,黑灰產下達搶券任務,引導刷手在指定的時間內集中哄搶消費券。

這樣的行為不僅破壞了各地發放消費券的初衷,也擾亂了市場公平,造成了極壞的影響。

那麼,如何防範城市消費券被惡意爬取呢?

頂象防範惡意爬蟲的有效措施

機械工業出版社出版的《攻守道—企業數字業務安全風險與防範》一書中,認為惡意網路爬蟲會帶來數字資產損失、使用者隱私洩露和擾亂業務正常執行等三大危害,並將“惡意網路爬蟲”列為十大業務欺詐手段之一。

此外,爬蟲開發製作門檻比較低。很多技術論壇社群有關於爬蟲開發、研究、使用介紹,市面上也有很多專業的爬蟲書籍。只要掌握Python程式語言,按照論壇、社群和書籍上提供的爬蟲教程和實操案例,同時根據爬蟲技術愛好者分享出來的平臺、網站、App的API介面資訊,就能夠快速搭建出一套專門的爬蟲工具。

基於城市消費券背後的爬蟲,頂象認為可從以下幾方面入手:

加強平臺風險環境監測。

定期對App的執行環境進行檢測,對於存在程式碼注入、hook、模擬器、雲手機、root、越獄等風險能夠做到有效監控和攔截。

保障客戶端安全。

App和網頁,可以分別部署H5混淆防護及端安全加固,以保障客戶端安全。

通訊鏈路強加密。

Web端的JS、移動端的SDK均需要經過加固保護,提高攻擊者逆向的難度。

策略層面建設基於場景的反爬策略。

比如同裝置關聯的IP數異常、爬蟲IP黑名單封禁、爬蟲風險裝置識別等等。

處置層進行風險分層,並下發不同的處置指令。

比如系統判定為無風險/低風險時,則放行;系統判定為中風險是,則需進行人機驗證;系統判斷為高風險時,則立即阻斷。

資料的分析總結層面,

根據資料報表進行監控回溯,檢視歷史觸發情況,進而對反爬策略進行優化升級。

在業務側,

針對批量爬蟲的風險特徵,可接入業務安全風控系統

同時將終端採集的裝置指紋資訊、使用者行為資料等傳輸給風控系統,通過在風控系統配置相應的安全防控策略,有效地對風險進行識別和攔截。

1)裝置終端環境檢測。

識別客戶端(或瀏覽器)的裝置指紋是否合法,是否存在注入、hook、模擬器等風險。通常批量作弊軟體大多都存在以上風險特徵。

2)行為檢測。

基於裝置行為進行策略布控。針對同裝置高頻查詢,同IP高頻查詢,相同IP段反覆高頻查詢的請求進行監控。

3)名單庫維護。

統計基於風控歷史資料,對於存在異常行為的賬號、IP段進行標註,沉澱到相應的名單庫。對於名單表內的資料在做策略時進行分層,適當加嚴管控。

4)外部資料服務。

考慮對接手機號風險評分、IP風險庫、代理郵箱檢測等資料服務,對於風險進行有效識別和攔截。

同時,驗證碼和裝置指紋也是反爬的重要手段。

驗證碼

能夠阻擋惡意爬蟲盜用、盜取資料行為,防止個人資訊、平臺數據洩露。當某一裝置或賬戶訪問次數過多後,就自動讓請求跳轉到一個驗證碼頁面,只有在輸入正確的驗證碼之後才能繼續訪問網站。但是設定複雜的驗證碼會影響使用者操作,帶來負面的體驗感受。

裝置指紋及時識別注入、hook、模擬器等風險,風控引擎對註冊、登入、領取等操作進行風險實時識別判定;智慧模型平臺幫助社交媒體構建專屬風控模型,由此構建多維度防禦體系,有效攔截各種惡意爬蟲風險,且不影響正常使用者體驗。

——————

業務安全產品:免費試用

調研報告:免費下載