3个真实案例+3种黑产分类+12大黑产手段+3个对应的风控方法,帮你深入了解电商黑产 。
本文跟大家聊聊听上去很酷的黑产是怎么玩儿的。如果你是还在积累经验的产品经理或者运营人员 ,对光怪陆离花样繁多的黑产手法的了解,也许可以帮助你规避风险,减少公司损失 ,防止一不小心漏洞被黑产抓到,面对脸色铁青的老板不太好意思要求加薪升职。
一、真实案例
下面我们先从三个我亲身经历的血案说起 。
1. “价格欺诈 ”事件
当初我在1号店刚刚接手移动端的时候,1号店有一个王牌频道“剁手价” ,类似于京东秒杀,是一个限时打折促销的栏目。作为首页的钩子产品,有着巨大的日活和销售。
剁手价的首页入口当时类似于下面这个样子:
带着悲愤的心情,我们找到工商局老师咨询。非常支持我们的工商局老师认为,不但毫无疑问本案成立,而且建议我们与该“顾客 ”私了。因为如果投诉到工商局 ,不但我们一定输,而且因为是“屡犯”(大型电商平台全部都是高频被诉对象),可能还会额外再罚50万!!!
带着崩溃的心情 ,大家研究后惊喜地发现,这不是自营商品,而是一个第三方商家的商品 ,其商品详情描述是由该商家提供并上传的 。于是锅飞向了该商家。该商家一边悲愤地解释这个“最鲜艳”是机器对英文资料自动翻译的结果,另一边提出,其店铺在我店平台年营业额也就是不到10万 ,无法接受15万的赔偿要求,干脆保证金不要了,撤店了事。
本案结局是 ,经过与投诉“顾客”的沟通,“顾客 ”对赔偿金的诉求减少到10万元 。为了扶持商家,公司和该商家最终对半承担了这笔费用。
这个案子之后,公关和风控同学告诉我 ,全国可能有3000多“职业打假人”团队,也就是本文和前一案例这种“顾客”,专门盯着我店平台 ,只要找到漏洞,他们就把工商局当枪使,批量购买商品后利用相关法规进行讹诈。他们甚至结合技术手段对系统内容进行扫描和监控 ,形成了一个黑色产业。这种情况各大电商无一幸免,防不胜防 。
我再次深刻体会到了电商平台的难处,也开始和风控团队仔细研究怎么识别这些“顾客 ” ,并让他们打开商品详情页根本找不到“加车”和“购买”按钮,打开购物车找不到“结算 ”按钮,或者干脆所有商品显示“缺货”。
3. 客服“诈骗”事件
有一天 ,我在亚马逊下了一个订单。当天晚上我跟同事在吃饭,忽然一个电话打进来,是一个广东的手机号,电话里一个非常专业的粤语腔声音说 ,“先生您好,我是亚马逊客服 。看到你有一个订单申请退货,请告诉我你的邮箱 ,我给你发一个退款协议邮件,你确认一下就可以收到退款。 ”
我非常惊讶,明明没有申请退货啊。于是我向该客服询问 ,该客服表示我可以看下系统是否误操作,稍后他再打过来 。我挂了电话打开App看了看,那个订单确实处在“申请退货”的状态。同时 ,我看到在个人中心左上角欢迎语的地方,赫然显示着“亚马逊客服电话:13521566714”的字样,如下图。
这种设备叫做“手机群控系统”,最简单的型号甚至只有SIM卡槽没有手机。可以通过电脑大批量控制终端设备,通过电脑上的脚本程序,在手机上操作指定App的打开、登录、点击 ,以完成设定的动作序列 。
测试团队常常会用脚本程序跑自动化测试,以完成一轮轮操作具有高度重复性和一致性的回归测试或压力测试。而黑产则先通过移动运营商获取大量电话号码,随后利用手机群控系统和自动化脚本程序 ,在成千上万台手机上进行App的安装 、登录、领券、签到 、抢红包等各种设定的薅羊毛动作,以规模化套取平台给消费者的补贴。
更牛逼的黑产,可能会与互联网公司内部的程序员合作 ,利用对系统接口的知识,对网络可触达的领券接口、红包接口、游戏接口直接进行扫描,侦测权益的出现情况(例如新上了一批券、整点红包雨开始了 ,等等),随后模拟客户端向相关接口按定义的数据格式规范,发送带账号信息的指令(如“红包雨”的点中红包消息) ,以往指定账号获取权益数据,如券 、小额红包、免费限量商品这些 。
2. 职业打假人
这个职业我也把它纳入黑产,但依据行为性质要有所区分。如果是真正对商品质量和真伪进行监督,比如央视315记者或真正的打假团队 ,或者消费者真正的维权索赔,不在黑产之列。本文特指的是寻找法规漏洞或模糊地带,寻找并不损害消费者利益的平台疏漏进行讹诈 ,并以此为职业的团伙。比如上面提到的第一个和第二个案例 。
职业打假人的鼻祖是早年的打假英雄王海,在百货公司买到了假货,故意再多买一批 ,然后根据保护消费者的相关法律法规进行索赔。中国的商场曾经假货泛滥,百货公司可能在知情或不知情的情况下或多或少地售卖假货,王海的行为虽然附带谋利诉求 ,但客观上完善了监督机制,帮助了消费者,让售假的企业有所顾忌和收敛 ,其结果是造福社会的。
黑产刷券
当真实用户操作手机app领券时 ,app会通过互联网向电商系统后台发出一个领券指令,这个指令实质是一个数据包,包含领券用户账户id 、券id等信息 ,这样的数据包显然也可以被电脑模拟。
大家可能会问,黑产怎么知道这个数据格式?答案有两种,一种是数据传输的加密保护不够强大 ,容易被破解;而更有甚者,很多黑产本身,就是互联网公司内部可以访问券管理系统代码的程序员 。
这种通过系统控制大批账号自动抓券的手段,就叫“刷券”。
我碰到过的一个特别夸张的案例是 ,有一度运营团队发现刷券情况严重,发放的抵用券均在极短的时间里被领完。有一个运营同学做了个测试,当运营在券后台刚刚生成了一个券 ,甚至还没放到前台领券页面去的时候,发现该券已被瞬间领走……唯一的解释,就是黑产的程序正在扫描领券接口 ,发现券出现立刻发送领取指令,根本没有通过前台券露出页面(如领券中心)来领取 。
第二步:券变现
一种就是简单地把刷到的券直接在淘宝售卖。当然因为券通常与账号绑定,此时黑产通常是帮买券的用户代下单来完成权益转移。
我们知道红包雨本质上是一个连续抽奖游戏 ,在准点开始,限定时间里红包不断出现,玩家不断戳红包 ,每次戳中红包会有一个抽奖,获取小额抵用金或券,并最终计算总额 ,存入玩家账户。红包雨游戏本身是跑在手机客户端上的,系统会下发一个概率,在概率控制范围内控制中奖情况,并最终把中奖数据上传到游戏后台。
那么就简单了 ,前台可以根本不玩这个游戏,生成模拟的中奖数据格式,直接上传就可以了 ,类似于上面的用模拟数据包自动刷券 。如果中奖概率是在客户端控制,那么连这个概率控制都绕过了。同样手段可以用来刷抽奖游戏、签到领积分、偷能量,等等等等。
当然如果无法破解数据格式 ,那么通过脚本程序按定义好的点击序列操作批量手机客户端也行,总有相当概率获取权益 。
变现方式与前述的券变现类似,代下单或低价进货转卖都可以。
3. 刷单量/成交金额
这个严格说不算是黑产套利 ,只是一种作弊行为。很多时候互联网公司为了提升估值或市值,会大肆刷订单量 。当然也有很多时候也是因为公司内部业务线有销售指标压力,而联合供应商进行刷单。
在公司内部校验刷单情况并不难 ,只要拉取不合理金额的订单,就可以迅速鉴别。比如平台的真实消费者订单以小金额为主,单均价在200元左右,那么拉取万元以上大单 ,看一下此类订单总量,或者是否存在单一订单金额巨大,就可迅速鉴别 。第二种方法是 ,对比下单的订单数量和几天后实际发货的订单数量,两者差距巨大的话,就说明存在严重的刷单情况。
这种行为除了给公司虚假增值或完成虚假业绩 ,也说不上对消费者有太大危害,但也会导致媒体上各种所谓“排行榜 ”数据虚假,无论流量数据还是销售数据 ,让大家对公司业绩产生误判。在今天中国电商普遍以亏损换规模的情况下,规模是价值的主要判断标准,作假也就格外普遍 。观察一下榜单 ,仔细思考一下,无论是流量 、日活还是订单、大促成交金额,到处都充满了水分。
4. 刷评论、刷排名
常见刷评论包括商品评论 、应用商店评论等。
黑产通过控制的大量账号,生成并不实际发货的虚假订单后给出好评 ,提升好评率,或在应用商店里进行好评提升应用商店排名(这也往往是一种ASO手段),或者在竞争对手那里刷差评 ,最后根据评论数向平台或店铺收取费用。这个比较常见,大家应该都很熟悉 。
5. 刷流量
很多互联网公司会投入很高额的费用进行流量采买,针对这笔费用 ,黑产常会联合互联网流量渠道商刷虚假流量。
这些流量可能具备某些共同特征,如集中的IP地址、访问时段、设备类型 、渠道来源、高首页跳失率等等。当然黑产可能会结合技术手段进行混淆,产生模拟的分散IP地址、差异的设备型号 、访问分布在不同的时段、甚至模拟用户的浏览行为和深度等等 。
在实战中 ,抓住两个基本要点就比较容易判别,首先,虚假流量往往来自于某些特定渠道 ,因为费用结算通常是针对渠道的;第二,虚假流量肯定不会最终完成订单支付,从渠道转化率上也比较容易进行判别。
6. 联合供应商、快递员骗补套利
这种行为的目的是骗取互联网公司给广大消费者的补贴费用。
为了打爆款吸引流量,电商公司往往会在某些特定的商品上进行补贴 ,以低于进货成本的价格进行销售 。比如一个进货价100元的商品,电商平台补贴20元,以80元价格销售。此时 ,见过两种做法:
供应商联合黑产,控制大批量账户下单购买该商品。订单产生后并不实际发货,伪造虚假发货信息(物流信息伪造很容易) ,显示订单完成 。在厂商直送的情况下,这种方式可以很容易地套取平台补贴,然后黑产和供应商分成。
黑产通过控制的大批账户直接生成大批订单 ,从电商平台低价进货,再进行转售。此类补贴商品平台常常会限制单个用户的购买数量,平台风控系统也可能会识别和拦截大量配送到同一地址的不同用户订单 ,在此情况下,黑产甚至会和快递员联合,在同伙快递员的负责的片区内生成一系列的虚假地址(例如,和平里西街18号1层 ,2层,3层…99层)的订单 。快递员识别该订单后,直接配送到黑产指定的真实地址。
7. 联合物流公司骗取正逆向物流费用
这个玩儿法本质上是骗取电商公司的正向和逆向物流费用。
针对平台包邮的可无理由退换的商品 ,黑产与物流公司或快递员联合,通过控制的大批账户直接生成多个订单,指定系列虚假地址。电商公司向物流公司申请发货后 ,物流公司或其快递员暂存这批货物,随后,黑产通过控制的账号再操作批量退货 ,于是在交易并未成功的情况下凭空产生了由电商公司支付的正向和逆向的物流费用,由黑产和物流公司瓜分 。
8. 恶意锁库存
这个常常是恶意竞争中使用的手段,商家可以自己干 ,也可以联合黑产来做。
在大促的时候,很多商家会准备好一些大促爆款商品,并申请到平台的黄金运营资源位来投放商品,为店铺引流。当大促开始的时候 ,比如双11零点,商品促销价格生效,大量消费者涌入 。
此时为了达到恶意竞争打击竞争对手的目的 ,某些商家可能会联合黑产,零点一过,针对特定商家的特定商品 ,同时生成大量未支付订单,每张订单把可购买商品调到上限。
按电商系统规则,当订单生成后 ,会有一个等待支付的时效,比如24小时,在此期间待支付订单相应的商品库存数量会被暂时锁定(不可售)。当支付时效结束时如果仍未支付 ,订单自动取消,库存释放 。
我们看到,用这种方法,可以暂时性使竞争对手进入“无货”状态。在大促的高峰期 ,比如双11的零点到1点之间,可以极大损害竞争对手的销售机会,并且为自己带来更多的销售。如果支付等待的时效不够长 ,希望更长时间锁定对手库存,甚至可以循环下单 。
9. 价格扫描,捕捉价格错误或促销规则漏洞
曾经发生过这么一件事 ,一个著名的互联网服装品牌,忽然报告服装大量被0元购买,损失惨重。技术团队立刻调查问题原因 ,发现是因为运营在发该品牌店铺满减券的时候,没有勾选“不可叠加”选项,导致用户可以批量领券 ,叠加用券,最后把订单价格打到0元。更有甚者,有人把该漏洞发布到专门报告互联网安全问题的“乌云平台”,导致批量黑产涌入 ,瞬间产生巨大销量 。
普通用户可能也会发现价格或促销错误,从而得到非常划算的订单,但该事件的特点尤其是发布到乌云平台的动作 ,具备比较明显的技术操作特征,很可能是黑产的系统扫描发现了该漏洞而产生的后续操作。
这样的情况也时常发生在价格设置错误的时候。例如,技术上可以预先定义好一批热销商品的价格基准 ,并通过技术手段扫描各电商网站的商详页或价格接口,当发现售价低于某个幅度的时候,即进行提醒 ,确认后可以批量下单套取。
人为设置的价格,出现设置错误在概率上是个不可避免的情况 。而按相关法规,如果挂出来某个价格 ,成交后必须履约。电商的实操中,有的比较老实规范,在损失可控的情况下只好履约;有的比较粗暴,直接取消订单不发货 ,但如果消费者进行投诉,一投诉一个准,电商必然败诉 ,当然坚持投诉的消费者实际上看也就是一小部分。最好的做法是与消费者友好协商,谋求谅解,作出一些合理补偿 ,随后取消订单 。
10. 骗赠、骗免邮
很多电商平台会设置“满赠 ”类型的促销,同时所购买的商品又有七天无理由退货。那么通过虚拟地址批量下单,随后再批量退货 ,截留赠品,实现套利。
与此类似的一个操作是骗免邮,比如99元包邮 ,于是在订单中多买一些商品,到达包邮门槛,再把不需要的商品退货 。当然此类行为常常来自于不想出邮费的真实用户,而非黑产。
11. 流量劫持与钓鱼网站
大家有没有过这样的经验 ,就是打开某个app,在app的某个页面,如首页或个人中心上 ,看见悬浮了一个小窗口,比如“抽奖”,点击后 ,进入一个抽奖页面,用户可能会在该页面上获得一个券,需要去和该app毫无关系的网站使用 ,或者获得一个奖品,需要出邮费领取,或者进入一个钓鱼网站 ,输入用户名密码登录?
流量劫持
在把传输协议改为加密的https后 ,该现象消失。
12. 违规监测
前文提到黑产中有一伙“职业打假人 ”,根据广告法等法规对系统疏漏进行监测,发现疏漏后下单索赔讹诈。这个操作可以人肉来做 ,也可以通过技术手段,对常见问题进行扫描,例如扫描电商平台上出现的“最”之类的字样,找到后经人工确认 ,随后进行讹诈 。
四 、常见风控手段
有攻就有防,下面简单聊一下风险控制,简称风控。由于中国的黑产较为猖獗 ,一般大型互联网公司都设有风控团队,对黑产的常见操作进行防范与控制。
很多年前我有个朋友,专门开发一个淘宝小控件 ,商家使用该控件后,可以让符合特定条件的用户,比如差评率或退货率高于某个比例的买家 ,看到商品的价格自动变为“999999” 。可以认为这就是早期的风控。这个朋友的业务十分火爆,很多卖家向他购买该控件。
1. 数据传输加密
上面的刷券、刷红包、流量劫持这些操作,往往出在数据格式被破解 ,权益领取或网络访问请求被模拟的情况下 。
此时通过改为https协议,或者数字签名的方式对数据传输进行加密,即可大幅减轻该问题。当然家贼难防,如果是内部程序员联合作案 ,编译出“特制 ”的虚假客户端或在服务器端留下后门,是无法完全避免这种情况的。
2. 登录验证码
为了防止黑产利用技术自动登录,在登录中过程加入机器无法自动识别的特殊验证码 ,以确保是实际的人在做登录操作,也是个常见的基本风控手段 。
基本的风控体系模型
上述就是对黑产的常见手段和风控方式简述 ,希望对大家理解黑产并且在产品设计中降低风险有所帮助。
