直播回顾|双十一电商风控终于有参考样本了！

临近双十一，顶象特别策划了双十一风险防控系列主题直播内容，为各企业双十一业务保驾护航。

10月13日下午15:00 由顶象资深解决方案专家鳯羽带来主题为《双11电商行业业务安全解析》的直播。直播从电商行业的风险及双十一业务安全的防控难点讲起，深度剖析了双十一期间电商行业可能遇到的风险，诸如薅羊毛、刷单炒信、账号盗用、恶意退货等，并针对电商行业的风险和防控难点提出了针对性的防控思路。

双十一电商购物节缘何会吸引黑灰产？

每年双十一不仅是一场电商盛宴，更是一场刺激国民消费、促进经济增长的及时雨。但在这场狂欢背后，同样也是黑灰产的狂欢盛宴。

究其原因，主要有两个方面。

1、营销周期长给了黑灰产足够的准备时间。

从图中可以看到，各大电商平台在双11前夕都会提前进行预热活动，也就是在10月中下旬就会开始相应的营销投入。整个双11电商大促活动会持续将近一个月，这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究，为后续的营销欺诈活动做好充分准备。

2、营销玩法增加给了黑灰产更多攻击路径。

从各大平台的运营趋势来看，都呈现出了优惠力度加码，玩法多元化的趋势。比如天猫聚焦高质量发展，构建“低碳双11”，首次设立绿色会场，发放1亿元绿色购物券；关注银发群体，上线淘宝长辈版，设置首个长辈会场；京东则设立了首个“不熬夜”的双11，提升消费者体验；升级多种价格保护政策及放心换服务，保障消费者权益；出台绿色低碳、扶贫助农计划等。

营销投入的加大意味着黑灰产有更大的动力去进行薅羊毛攻击，因为一旦成功，收益更大。而丰富的营销手段则意味着黑灰产有更多的途径、更多的场景去实现薅羊毛攻击，因为一条攻击路径走不通，便可以选择另一条攻击路径。并且根据我们以往的经验，新的营销手段往往会因为防控经验不成熟，更容易出现业务规则的漏洞，成为黑灰产攻击的突破口。

而在双十一千亿、百亿的成交金额数字中，有多少是被黑灰产卷走的本该属于平台或者正常消费者的收益，或者是因为黑灰产攻击而使得原本的战果应该不止于此的，估计只有各大平台自己知道，甚至于有些平台可能也无法统计出准确的数字。另外还有像抖音、快手这种直播型电商平台的看播人次数据，其中也掺杂了不少为了凑直播间人气的虚假流量。

那么，对于电商行业而言，究竟有哪些业务安全风险？

电商风险几何？

根据不同场景会有不同的业务风险。

在客户端场景，有漏洞利用、逆向破解、仿冒应用等几种风险；在账号体系场景，有垃圾注册、撞库攻击、暴力破解、密码找回等风险；在营销活动场景，有推广作弊、活动套利、薅羊毛、黄牛秒杀等风险；在交易交付场景，有恶意下单、虚假交易、盗卡盗刷、信用套现等风险。

这些风险一旦被黑灰产利用造成的损失也是不可估量的。

我们以几个典型场景为例具体来看下。

首先是垃圾注册。垃圾注册通过机器脚本批量化操作，注册大量账号，为后续营销活动薅羊毛、刷人气、广告导流等行为做准备，给平台后续业务环节埋下隐患的同时，由于产生了大量虚假账号，也会对用户新增、用户留存等指标的统计造成严重干扰，甚至可能导致平台运营决策的失误。

比如平台在统计新增用户、用户留存等指标时，可能被虚假注册量造成干扰，导致平台后续的营销决策、商品分析、数据分析等决策产生偏差。

恶意登录指的是包括撞库、暴力破解、密码找回等风险，即非法盗取他人账号，最终导致平台信息泄露，造成用户经济损失，给平台带来投诉、信誉影响等后果。

虚假刷量指的是利用违规方法去提高相关账号功能数值（如直播电商刷直播间人数、粉丝数、点赞收藏量、商品成交数等），最终达到伪造虚假流量、炒作热度、增加曝光等目的。这种刷量行为常常扰乱平台秩序、破坏平台生态，不利于优秀内容脱颖而出，并且增加了创作者的成本。目前刷量作弊的攻击形式主要有三种：机器刷量、真人刷量和养高级别账号刷量。其中，机器刷量为最传统的刷量形式，这类刷量的攻击面几乎覆盖了所有主流平台， 也是各大平台治理的重点。

而这些风险的背后，也是黑灰产手段专业化、工具多元化的体现，比如自动注册机、撞库工具、爬虫工具、秒杀工具等。

且黑灰产“从业者”已经超过1000万人，黑灰产业造成损失已超千亿／年，数据泄漏成为社会问题，黑灰产的安全攻防专业度已超绝大多数技术人员，也使得防控难度进一步提升。

其一般的攻击流程是账号准备——工具准备——营销作弊——利益套现。

那么，具体到双十一场景中，电商防控难点具体表现在哪些方面呢？

双十一电商防控难点

通过分析历年双十一电商行业遇到的风险，我们发现以下几点防控难点：

防控难点1：业务多样性、复杂性为黑灰产提供了攻击突破口。

双11期间，为了调动消费者积极性，挖掘社交电商潜力，各平台纷纷推出了多种多样的营销玩法，如定时定点秒杀、红包优惠券、小游戏、好友分享等等，其中比较有代表性的属“种草经济”。根据以往的防控经验，新的营销玩法往往会因为防控经验不成熟，而更加容易出现业务规则的漏洞，成为黑灰产攻击的突破口。

防控难点2：风险防控的应急响应程度。

双11期间，由于活动周期长、玩法多、渠道广、流量大等因素，对于风险的监控、发现、处置、备案以及防控手段的优化都提出了更高的时效性要求，因为如果不能对风险进行及时的发现和阻断，波及影响面将比非活动时期更大，遭受的损失也更大。

比如，2019 年 1 月，羊毛党利用电商平台拼多多“无门槛 100 元券”存在的bug薅羊毛，仅支付少量资金即可不限量领取 100 元无门槛券。根据网络上流传的真真假假的截图中显示，有用户称熬夜借助漏洞充值了几十万元话费，更有消息称该电商平台一夜之间被薅走数千万元。

防控难点3：高流量、高并发对业务安全提出了更高要求。

双11期间，不管是活跃用户数还是集中下单量都屡创新高，这就对业务能够正常进行提出了更高的要求。而风控系统的存在价值是为了保障业务顺利开展，不受黑灰产的侵扰，除此之外风控系统本身能否应对大流量、高并发也是一项严峻的考验。因此应对双11业务安全的风控系统须满足高安全、高性能、高可用等特点，比如采用分布式设计，可限流，具备降级机制等。

防控难点4：安全边界难以界定。

由于双十一电商节都是线上操作，因此也很难区分“好用户”与“坏用户，如果防控策略太严格，则会影响业务运营；反之，如果防控策略太宽松，防控便会没有效果，造成误杀或者漏杀正常用户，进一步影响用户体验。

防控难点5：前段风险感知能力。

前端包括终端设备、前端程序、前端逻辑、前端数据等都是不可信的，因为黑灰产在任何一个环节都可能发起攻击，我们无法判断用户的好坏之分。比如在终端设备上，黑灰产可以通过Root、多开软件、模拟器、越狱软件等发起攻击。

防控难点6：人机识别的对抗能力。

目前仍有不少企业仍采用第一代传统图形化验证码来应对黑灰产的批量机器攻击行为，但是当前的技术水平下针对传统图形化验证码的自动化识别已经非常成熟，并且有丰富的配套黑灰产识别脚本软件做支持，导致传统字符验证码并没有起到预想的防控效果，也不具备良好的用户体验不符合国家适老化的要求，这也进一步使得黑灰产有了更多发挥空间。

防控难点7：是否具备完整的风险防控体系。

风控每个平台都会做，但是风控体系完整与否才是差别所在。对业务人员来说，他们关心的是当前是否存在安全问题，移动应用有没有漏洞，运行时有没有攻击，攻击来源发生在哪，能否进行有效监控及预警，能否定位到攻击位置，是否可以进行关联分析等问题。所以搭建对环境风险、运行时攻击、异常行为的监测、预警，发现威胁时自动触发防护策略及处置，关联关系挖掘、以及数据沉淀的闭环处置体系是切实必要的。

防控难点8：攻击情报的及时获取。

及时的获取黑灰场的情报，有利于我们去了解黑灰场最新的攻击工具啊攻击手法，攻击目标，从而可以更好的、更早的去为风险对抗去做好准备，在整个攻防对抗中占据有利位置。

防控难点9：风险场景的对抗经验。

在电商行业活动玩法多元化的背景下，营销手段的增加意味着黑灰产有更多的途径、更多的场景去实现薅羊毛攻击，因为一条攻击路径走不通，便可以选择另一条攻击路径。根据过往经验，新的营销手段往往会因为防控经验不成熟，更容易出现业务规则的漏洞，成为黑灰产攻击的突破口。

那么，如何应对这些风险？有哪些防控思路？

双十一电商防控思路有哪些？

针对双十一活动时间跨度长的问题，这就需要有完善的监控机制来对业务和技术进行监控、强有力的数据统计能力以及清晰的数据画像、风险画像等。

针对双十一业务多样性，风控系统在设计时应考虑数据的隔离和接入问题，数据隔离方面应支持多租户、部门隔离、操作权限隔离等因素；接入方面建议使用统一API接入，避免因为多渠道多场景引起的接入复杂问题和不便于管理问题。

除此之外，还需要考虑历史沉淀经验对于多渠道多场景的风控赋能，比如策略、场景、风险类型、模型、黑白灰名单等。

针对双十一业务的复杂性，应考虑事前、事中、事后的全流程防控体系。在事前阶段通过情报了解最新的黑灰产攻击动向，包括攻击手法、攻击目标、攻击时间点等，做好充分的对抗准备；事中阶段通过策略、模型、名单等沉淀能力进行实时风险监测、阻断；事后阶段对历史风险进行复盘总结，优化事前防控机制。

针对双十一的高流量、高并发问题，应从业务、系统、技术、响应四个层面考虑应对。业务层面通过大盘、日志、画像实时掌握风险最新动态；系统层面能够对API、CPU、GPS、内存的运行情况进行监控；技术层面能够使用先进的流式计算保证计算性能和准确性；响应层面做到能够对突发事件进行紧急预案，如策略灰度、多版本备份、止血策略、60秒内生效等。

架构层面可以考虑容器化、K8S服务编排、分钟级在线扩容等设计。

顶象的整体防控思路则是综合了以上的防控思路搭建的一个风控体系。

首先，顶象利用云端协同机制将云上的能力与端上的能力做联动优化。云上的能力包括业务安全情报、防控策略沉淀、配置建议等。同时涵盖事前风险防范——事中风险处置——事后分析建模的风险应对体系。

事前我们主要在前端、设备端、通信链路端进行风险防范。

在前端通过应用加固对资源文件、数据文件、H5/Web代码做相应的防护；

在设备端，通过设备指纹给每一个设备赋予一个独一无二的ID，去识别设备运行时的风险；

在通讯链路端，通过白盒加密技术防止通讯链路中的数据伪造、数据泄露、数据篡改等风险问题。

事中的风险处置则通过决策引擎做相应的风险计算、风险预警、风险处置。当然，平台也可以对整个防控策略做回放优化、复盘等。

事后可以通过相应的AI建模产品对风险数据、用户数据、营销画像、风险画像进行分析，优化事前的防范能力，形成可持续循环的风控体系。

最后再给大家简单介绍下顶象业务安全大讲堂。

顶象业务安全大讲堂汇集了业内大咖，分享万亿级业务安全攻防经验，打造时下最专业的业务安全直播课，通过“技术+方案+实践”三大核心专题，带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT等各类业务风险及防范手段，深入解析背后的产品技术，抽丝剥茧攻防实战，助您打造零风险的数字业务。

下期将由顶象资深策略专家安心为大家带来主题为《电商场景风控策略应用实战》的直播分享，敬请期待！