在女人眼里，

世上最讓人快樂(lè)的是購(gòu)物，

世上最讓人絕望的是欺騙。

更讓人絕望的是：在購(gòu)物的時(shí)候被欺騙。

每年剁手節(jié)，各大電商內(nèi)部神經(jīng)最為繃緊的，也許就是風(fēng)控部門的童鞋了。屏幕前剁手的少女蘿莉御姐大媽們的快樂(lè)之舟，漂浮在風(fēng)控童鞋的血淚之上。

這世上的欺騙

如果想衡量各大電商安全做得好不好，有一個(gè)魔性的指標(biāo)：

這些賬號(hào)在淘寶上的交易價(jià)格。

【淘寶上待價(jià)而沽的電商賬號(hào)】

當(dāng)然，這是個(gè)玩笑。不過(guò)電商賬號(hào)之所以在網(wǎng)絡(luò)上被交易，一個(gè)重要的原因就是：有人可以從中獲利。簡(jiǎn)單來(lái)說(shuō)，至少羊毛黨可以利用這些“小號(hào)”盈利頗豐。

“羊毛黨”人思維廣

京東風(fēng)控研發(fā)總監(jiān)吳鹍為雷鋒網(wǎng)講述了幾個(gè)針對(duì)京東薅羊毛的方法：

• 2015年5月。京東風(fēng)控團(tuán)隊(duì)通過(guò)大數(shù)據(jù)發(fā)現(xiàn)，在深圳有30多個(gè)商家的行為極其古怪。他們似乎組成了一個(gè)貿(mào)易圈，互相買貨，互相評(píng)價(jià)。經(jīng)過(guò)進(jìn)一步分析，這些商家都是在2014年幾乎同時(shí)注冊(cè)的。原來(lái)，在當(dāng)時(shí)京東正在進(jìn)行購(gòu)買返京豆（1京豆大約相當(dāng)于一分錢）的優(yōu)惠活動(dòng)。而這些商家們通過(guò)“空包”，也就是低價(jià)從物流公司搞到的單號(hào)，而不存在真正的發(fā)貨，來(lái)騙取京東的京豆。

  
  

• 2016年7月。此時(shí)京東某些產(chǎn)品正在進(jìn)行促銷，但是同一個(gè)賬號(hào)限定購(gòu)買數(shù)量。團(tuán)隊(duì)通過(guò)數(shù)據(jù)發(fā)現(xiàn)一個(gè)奇怪的現(xiàn)象，全國(guó)很多購(gòu)買者最后都把郵寄地址寫到了安徽某地。經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，幕后的主使者很可能自己經(jīng)營(yíng)了一個(gè)線下超市，控制了無(wú)數(shù)個(gè)小號(hào)，用這種方法來(lái)“進(jìn)貨”。

  
  

• 2016年8月。團(tuán)隊(duì)發(fā)現(xiàn)某人一次性購(gòu)買很多產(chǎn)品，全部附加購(gòu)買了運(yùn)費(fèi)險(xiǎn)，然而在收到貨之后，又全部選擇退貨。這個(gè)奇葩動(dòng)作的盈利方式是：退貨時(shí)，他把所有的貨品裝入一個(gè)快遞，而另外所有的運(yùn)費(fèi)險(xiǎn)都可以被收入囊中。

【相比2015年，2016年黑產(chǎn)惡意注冊(cè)的京東賬戶也在變化，規(guī)律更加難以捉摸，并且附帶綁定郵箱（網(wǎng)易躺槍）】

“詐騙犯”們辦法多

你剛剛在網(wǎng)上下單購(gòu)買了商品，馬上就接到“客服”的電話，告訴你在支付的時(shí)候銀行卡出現(xiàn)了問(wèn)題，需要到ATM機(jī)上操作一下；或者告訴你定單出現(xiàn)了問(wèn)題，要到“官方網(wǎng)頁(yè)”上確認(rèn)一下。

包括我們最近痛心疾首的徐玉玉事件，都屬于這類個(gè)人信息泄露導(dǎo)致的詐騙。

雖然在電商領(lǐng)域，詐騙發(fā)生的次數(shù)要遠(yuǎn)遠(yuǎn)低于薅羊毛。但是，每一個(gè)用戶被詐騙，都讓電商風(fēng)控的同學(xué)內(nèi)心煎熬。

詐騙來(lái)自于交易信息泄露，而交易信息有可能發(fā)生泄漏的環(huán)節(jié)非常多，有些甚至是電商安全體系內(nèi)無(wú)法控制的。蘑菇街電商風(fēng)控架構(gòu)師陳朝鋼為雷鋒網(wǎng)展示了他的研究。

如上圖所示，從買家自身的賬戶安全意識(shí)，到訂單頁(yè)面被截取的風(fēng)險(xiǎn)，到賣家被木馬監(jiān)控的可能，到打單物流過(guò)程中信息被外賊內(nèi)鬼泄露的情況，都是讓電信詐騙的烈火能夠燃燒的干柴。

陳朝鋼說(shuō)：

在黑市中，淘寶當(dāng)天的訂單每個(gè)可以賣到十幾塊，而歷史訂單也有人買。有時(shí)被泄露出來(lái)的當(dāng)天交易信息并不完整，例如只有 UserID 和購(gòu)買的商品。這時(shí)如果比對(duì)歷史訂單，就能得到這個(gè)人完整的聯(lián)系信息。

“刷單俠”們組織嚴(yán)

刷單和其他灰色產(chǎn)業(yè)所不同的是，它需要在雙十一之前完成。為了備戰(zhàn)剁手節(jié)，此刻就是各圖謀不軌的商家刷單最為猖狂的時(shí)候。

刷單是一項(xiàng)古老的職業(yè)。根據(jù)陳朝鋼的研究，刷單的發(fā)展大概經(jīng)歷如下幾個(gè)階段：

2010年，刷單初起。隨著電商平臺(tái)上的商家競(jìng)爭(zhēng)加劇，開始有商家依靠熟人關(guān)系刷單，此時(shí)電商平臺(tái)基本不打擊這類虛假交易。

2011年，互刷誕生。人脈畢竟有限，很多有刷單需求的商家通過(guò)QQ群聚集在一起，互相刷單。這時(shí)電商平臺(tái)意識(shí)到問(wèn)題的嚴(yán)重性，開始打擊刷單。

2012年，刷單平臺(tái)。哪里有需求，哪里就有市場(chǎng)。這個(gè)時(shí)候大規(guī)模的商家都有了刷單需求，于是“刷單平臺(tái)”應(yīng)運(yùn)而生。商家提交任務(wù)，刷手接任務(wù)領(lǐng)錢。不過(guò)這種玩法太過(guò)公開，很容易被打擊。

2013-2014年，刷單平臺(tái)進(jìn)化。刷單阻止從“平臺(tái)”轉(zhuǎn)向“工作室”性質(zhì)。一般通過(guò) YY、QT 等語(yǔ)音聊天室私下招募刷手，并且大量注冊(cè)黑號(hào)。

2016年，商家自建刷單群。大一點(diǎn)的商家建立自己“御用”的刷單組織。群里有商家、熟人、刷手。這些人大都“案底清白”，受商家信任。由于很難確定刷手身份，所以打擊難度很大。

而在這個(gè)隱秘的世界，刷單已經(jīng)成為一項(xiàng)需要認(rèn)真對(duì)待，有諸多操作規(guī)程和組織結(jié)構(gòu)的獨(dú)特世界了。

【專業(yè)化的刷單流程】

陳朝鋼說(shuō)：

為了對(duì)抗電商平臺(tái)越來(lái)越強(qiáng)大的風(fēng)控措施，在一次合格的刷單中，刷手需要嚴(yán)格地模擬真實(shí)購(gòu)買者的行為。

只能通過(guò)關(guān)鍵詞（而不是店鋪名、價(jià)格等）搜索到商品，在寶貝的頁(yè)面停留的時(shí)長(zhǎng)要達(dá)到一定的標(biāo)準(zhǔn)，要打開推薦的寶貝，甚至還要瀏覽競(jìng)品的寶貝。最后才能選定下單。

為了保證刷手按照這樣的規(guī)范來(lái)操作，刷單平臺(tái)會(huì)在一開始，就收取刷手的保證金，還會(huì)舉行響應(yīng)的考試，通過(guò)者才能有資格刷單。

所有的刷單，都必須全程截圖，供“監(jiān)工”監(jiān)控。這樣的刷手，儼然就是卓別林《摩登時(shí)代》中在生產(chǎn)線上連喘氣都要請(qǐng)假的勞工。

如果你只想了解黑產(chǎn)究竟用什么奇葩方法來(lái)套路你，那么到此為止，你可以關(guān)掉文章了。你只需要知道電商的風(fēng)控童鞋們正在使出很厲害的招數(shù)保護(hù)你，你的處境并不危險(xiǎn)就好了。

至于他們用什么方法來(lái)保護(hù)你，就是接下來(lái)要說(shuō)的。

數(shù)據(jù)是解藥

京東風(fēng)控研發(fā)總監(jiān)吳鹍告訴雷鋒網(wǎng)，京東和這些灰色產(chǎn)業(yè)做斗爭(zhēng)，主要依靠這三樣：

數(shù)據(jù)、規(guī)則、算法。

無(wú)數(shù)的京東訂單數(shù)據(jù)，其中必然有風(fēng)險(xiǎn)訂單。而風(fēng)控的目的也是把他們調(diào)出來(lái)。而揪出壞人的秘密，就在這些數(shù)據(jù)中。通過(guò)規(guī)則化的攔截，可以減少很多風(fēng)險(xiǎn)訂單。

【一些根據(jù)規(guī)則可以判定的，存在風(fēng)險(xiǎn)的訂單。圖中所有姓名都是“正常名+白”結(jié)構(gòu)，在地址后都加入了本市并不存在的街道名】

然而那些黑產(chǎn)專門組織人力用來(lái)刷單或者薅羊毛的訂單，就很難用規(guī)則來(lái)屏蔽。這個(gè)時(shí)候，就要對(duì)無(wú)數(shù)的訂單數(shù)據(jù)進(jìn)行大數(shù)據(jù)計(jì)算，用機(jī)器學(xué)習(xí)的方式篩選出來(lái)其中的風(fēng)險(xiǎn)模型——找到刷單行為之間共通而隱秘的，人腦難以判斷的復(fù)雜特性。

通過(guò)判斷風(fēng)險(xiǎn)訂單，可以進(jìn)一步回溯下單的設(shè)備、IP、手機(jī)號(hào)這些重要的特征。這些會(huì)形成新的數(shù)據(jù)，那就是訂單背后用戶的畫像。

【風(fēng)險(xiǎn)訂單背后的特征存在明顯的網(wǎng)絡(luò)結(jié)構(gòu)】

可以看出，風(fēng)險(xiǎn)訂單中無(wú)論是 IP 還是地址還是手機(jī)號(hào)的關(guān)聯(lián)性，都遠(yuǎn)遠(yuǎn)強(qiáng)于一般用戶。這恰證實(shí)了這些訂單都是有組織的團(tuán)伙所為。

吳鹍概括了京東的風(fēng)控策略：

訂單產(chǎn)生30-50毫秒內(nèi)，利用用戶畫像規(guī)則在線檢測(cè)訂單的風(fēng)險(xiǎn)

訂單產(chǎn)生10-60分鐘內(nèi)，利用規(guī)則和算法模型對(duì)訂單進(jìn)行進(jìn)一步篩查。

訂單產(chǎn)生后的一天內(nèi)，利用完整的算法模型對(duì)訂單進(jìn)行最強(qiáng)篩查。

對(duì)于其他電商來(lái)說(shuō)，風(fēng)控措施也有很多類似之處。此外，京東、蘑菇街、聚美優(yōu)品還有諸多共同點(diǎn)。例如他們都是吞吐量巨大的電商，例如他們的業(yè)務(wù)都架構(gòu)在騰訊云之上。

說(shuō)到底，電商對(duì)于非法訂單的防護(hù)能力，都來(lái)自于數(shù)據(jù)。之所以提到騰訊云，是因?yàn)轵v訊云還可以在電商自己的安全機(jī)制上，提供多一層的安全數(shù)據(jù)。

騰訊云的殺手锏

騰訊云有很多安全能力，但非要說(shuō)一條最狠的，莫過(guò)于如下：

每臺(tái)正常的電腦或手機(jī)上，都會(huì)安裝QQ或微信。

原理并不復(fù)雜，可以這樣簡(jiǎn)單理解：一個(gè)會(huì)下正常訂單的用戶，一般都會(huì)在同一部設(shè)備安裝了或安裝過(guò) QQ 或微信。單單這一條優(yōu)勢(shì)，就為騰訊云的安全風(fēng)控能力提分無(wú)數(shù)。

• 通過(guò)這些數(shù)據(jù)，騰訊云安全策略可以對(duì)訂單背后的 IP 進(jìn)行畫像，例如：判斷某 IP 是代理 IP 還是服務(wù)器 IP，是國(guó)內(nèi) IP 還是國(guó)外 IP，該 IP是否參與過(guò)騰訊的活動(dòng)，是否一個(gè) IP 曾經(jīng)登陸過(guò)大量賬號(hào)，或者此 IP 是否有攻擊、刷單的黑歷史等等。

  
  

• 至于背后的自然人，也可以利用設(shè)備上安裝的 QQ 或微信關(guān)聯(lián)手機(jī)號(hào)碼和設(shè)備指紋進(jìn)行統(tǒng)一計(jì)算，得出自然人的畫像。

通過(guò)這些畫像之間的交叉驗(yàn)證，可以給出一個(gè)訂單請(qǐng)求背后真實(shí)的客觀風(fēng)險(xiǎn)。

說(shuō)到底，對(duì)于黑產(chǎn)的打擊，需要充足的數(shù)據(jù)，而數(shù)據(jù)的產(chǎn)生，往往需要代價(jià)。例如一個(gè)各個(gè)維度對(duì)于蘑菇街都是新的“小白”用戶，有可能正是剛剛攻擊過(guò)聚美優(yōu)品的“野獸”。如果此時(shí)數(shù)據(jù)可以互通，那么蘑菇街就可以免去被“咬一口”的代價(jià)。

而這也是電商都在積極推進(jìn)數(shù)據(jù)共享機(jī)制的原因。

因?yàn)榇髷?shù)據(jù)每“大”一點(diǎn)，也許都會(huì)產(chǎn)生奇妙的新效果。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。