[[268494]]

“很久沒(méi)有碰到這么大的漏洞了，你們繼續(xù)，我睡了。”

2019年1月20日凌晨1點(diǎn)半，在某“羊毛黨”聚集的電報(bào)（Telegram，一款社交APP）群里，一位圈內(nèi)“大佬”發(fā)話道。

這天夜里，就在大佬睡前半小時(shí)，某電商平臺(tái)上線了一張面額100元的全場(chǎng)通用優(yōu)惠券，有效期1年。

對(duì)職業(yè)羊毛黨來(lái)說(shuō)，這簡(jiǎn)直在送錢。

他們立刻啟動(dòng)多個(gè)虛假賬號(hào)領(lǐng)券，再在平臺(tái)內(nèi)購(gòu)買Q幣或給手機(jī)充值，券直接變成錢。

很快，這一漏洞便從半小時(shí)內(nèi)就薅得盆滿缽滿的職業(yè)羊毛黨，擴(kuò)散到了大眾群體。“整個(gè)羊毛黨世界沸騰了”，一夜無(wú)眠。

第二天，該平臺(tái)發(fā)表聲明，數(shù)千萬(wàn)元優(yōu)惠券被盜。

作為數(shù)美科技黑產(chǎn)研究院院長(zhǎng)，潛伏在羊毛黨電報(bào)群里的Sw0rdH01der（化名）又一次近距離目睹了一場(chǎng)黑產(chǎn)狂歡。

有利益的地方就有黑產(chǎn)。

據(jù)統(tǒng)計(jì)，國(guó)內(nèi)黑產(chǎn)從業(yè)者規(guī)模超過(guò)百萬(wàn)；2018年，黑產(chǎn)造成的損失已高達(dá)千億級(jí)——這些數(shù)字還在迅速增長(zhǎng)。

此刻，黑產(chǎn)江湖已滲透進(jìn)我們生活的角角落落，龐大的黑產(chǎn)攻防戰(zhàn)正在一波三折地展開(kāi)。偷襲者魔高一尺，狙擊者道高一丈，先進(jìn)的科技武器被逐一納入應(yīng)用，精彩程度不亞于一部斗智斗勇的激烈諜戰(zhàn)片。

而Sw0rdH01der所在的數(shù)美科技，正是揭開(kāi)這一幕的一個(gè)好的視角：

自2015年6月成立以來(lái)，數(shù)美一直戰(zhàn)斗在對(duì)抗黑產(chǎn)的最前線。

從流量紅利到流量吃緊，數(shù)美成立時(shí)恰逢移動(dòng)互聯(lián)網(wǎng)開(kāi)啟“下半場(chǎng)”，黑產(chǎn)對(duì)抗需求劇增。

典型欺詐風(fēng)險(xiǎn)包括支付盜刷、惡意退款、渠道流量作弊、虛假用戶拉新、機(jī)器搶券、違法違規(guī)內(nèi)容、欺詐廣告導(dǎo)流、內(nèi)容盜爬等；隨著越來(lái)越多傳統(tǒng)行業(yè)走向“互聯(lián)網(wǎng)+”，數(shù)美與黑產(chǎn)的較量又進(jìn)一步從社交、電商、游戲、視頻、在線旅游、在線教育等延伸到了銀行、保險(xiǎn)、證券、地產(chǎn)、航旅、新零售等領(lǐng)域。

不到4年間，數(shù)美已服務(wù)了銀聯(lián)、中信銀行、萬(wàn)達(dá)、華潤(rùn)、蘇寧、OPPO、小米、愛(ài)奇藝、瑞幸咖啡、B站、小紅書等千余家企業(yè)，每日攔截超過(guò)3000萬(wàn)次風(fēng)險(xiǎn)行為，累計(jì)保護(hù)了全球20億以上的用戶。

在這場(chǎng)關(guān)于貪念的持久戰(zhàn)中，正反雙方都遵循著同一個(gè)法則：

以持續(xù)變化的技術(shù)手段，應(yīng)對(duì)不變的人性。

一．賺錢的方法，都寫在了刑法里

幾年前，Sw0rdH01der曾協(xié)助警方破獲了一個(gè)華東地區(qū)黑產(chǎn)團(tuán)伙。

團(tuán)伙一共三人：一位19歲少年負(fù)責(zé)技術(shù)，另兩人負(fù)責(zé)商務(wù)。他們的生意是“打碼平臺(tái)”——給黑產(chǎn)執(zhí)行方提供一套SaaS，讓他們能快速破解各平臺(tái)和APP驗(yàn)證碼。

僅僅1年間，這個(gè)平均年齡不到25歲的三人團(tuán)伙獲利數(shù)千萬(wàn)元，而全部成本只有他們?cè)诰用駱抢飻€出來(lái)的十余臺(tái)服務(wù)器和一年的電費(fèi)——總投入僅幾十萬(wàn)元。這驚人的利潤(rùn)率，真是應(yīng)了那個(gè)段子：所有最賺錢的方法，都寫在了刑法里。

黑產(chǎn)的暴利，源于中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的超大體量。黑產(chǎn)圈的行話：水大，速來(lái)。

水大魚最爽時(shí)，是2012年到2016年的移動(dòng)互聯(lián)網(wǎng)狂飆期，也是平臺(tái)和黑產(chǎn)“相互利用”、相安無(wú)事的“曖昧期”。

那幾年，李彥宏要“200億砸出個(gè)O2O”；滴滴快滴，餓了么美團(tuán)，摩拜ofo相繼開(kāi)戰(zhàn)，狂撒補(bǔ)貼。

有人估計(jì)，這些補(bǔ)貼中，可能有一半都被“羊毛黨”薅走了。但當(dāng)時(shí)各平臺(tái)大多睜一只眼閉一只眼，因?yàn)橹灰狣AU（日活）、MAU（月活）、GMV（總交易額）增速好看，資本就能持續(xù)到位。

但從2017年開(kāi)始，形勢(shì)逆轉(zhuǎn)了。

越來(lái)越貴的流量成為中國(guó)互聯(lián)網(wǎng)“新常態(tài)”，各公司圖騰也從DAU變成了ROI（投資回報(bào)率）：活動(dòng)營(yíng)銷不能停，卻也一分錢不能費(fèi)。黑產(chǎn)便從昔日的“帶量小甜甜”變成了今日的“拜金牛夫人”——不會(huì)再有公司對(duì)他們放任不管了。

數(shù)美的反欺詐業(yè)務(wù)，正是在2017年開(kāi)始了爆發(fā)式增長(zhǎng)。

2017年初至今，數(shù)美客戶數(shù)從幾十家擴(kuò)展到千余家，旗下反欺詐產(chǎn)品的日訪問(wèn)量增長(zhǎng)到30余億次。

而戰(zhàn)場(chǎng)另一側(cè)，在數(shù)美這類專業(yè)黑產(chǎn)打擊者的狙擊下，本來(lái)躺著掙錢的黑產(chǎn)也翻身躍起，飛速進(jìn)化，已由散兵游勇發(fā)展為“集團(tuán)式作戰(zhàn)”。

去年，數(shù)美曾遇到過(guò)一次效率驚人的黑產(chǎn)大協(xié)作——在針對(duì)一家互聯(lián)網(wǎng)公司的薅羊毛中，短短幾小時(shí)內(nèi)，黑產(chǎn)從多個(gè)V-P-N代理商處調(diào)動(dòng)了十幾萬(wàn)個(gè)代理IP，從數(shù)十個(gè)接碼平臺(tái)調(diào)用了幾十萬(wàn)手機(jī)號(hào)，注冊(cè)的虛假賬號(hào)遍布全國(guó)114個(gè)城市。

2018年，根據(jù)某頭部接碼平臺(tái)（代接網(wǎng)站、APP驗(yàn)證碼的平臺(tái)）數(shù)據(jù)統(tǒng)計(jì)，游戲、社交和電商已成為黑產(chǎn)重災(zāi)區(qū)。

更純熟、更工業(yè)化的黑產(chǎn)操作正席卷中國(guó)互聯(lián)網(wǎng)，在數(shù)美這樣的專業(yè)對(duì)抗者面前，一幅黑產(chǎn)眾生相逐漸展開(kāi)。

二．黑產(chǎn)江湖

目前，從上游到下游，黑產(chǎn)已形成了情報(bào)收集、資源工具、黑產(chǎn)執(zhí)行、變現(xiàn)套利四大核心環(huán)節(jié)，誕生了線報(bào)小子、卡商、貓池、代理IP商、打碼平臺(tái)、設(shè)備農(nóng)場(chǎng)、黑產(chǎn)實(shí)施者、變現(xiàn)師傅、羊頭（眾包黑產(chǎn)任務(wù)的發(fā)放人）等多種角色。

環(huán)節(jié)一。情報(bào)收集

挖掘線報(bào)是獲利的第一步。

黑產(chǎn)團(tuán)伙中會(huì)有專門角色負(fù)責(zé)線報(bào)收集，把哪家要做活動(dòng)、時(shí)間范圍、收益變現(xiàn)形式、反欺詐規(guī)則等信息準(zhǔn)確及時(shí)傳達(dá)清楚。

線報(bào)人員獲取情報(bào)的來(lái)源通常是電報(bào)群（Telegram作為一個(gè)加密聊天軟件，隱私保護(hù)做的十分好，不受任何信息監(jiān)管，同時(shí)群組最多可添加10萬(wàn)人，深受羊毛黨從業(yè)人士喜愛(ài)）、黑灰產(chǎn)論壇、QQ群、微信群等。

信息獲取后，會(huì)有專門的業(yè)務(wù)滲透人員和腳本小子分析清楚產(chǎn)品邏輯和必需資源——什么端的活動(dòng)、新帳號(hào)首單還是老帳號(hào)拉活、是否有地域性、是否需綁卡，然后該充錢的充錢，該屯號(hào)的屯號(hào)，確保萬(wàn)事俱備。

黑產(chǎn)交換“行業(yè)信息”

這簡(jiǎn)直是最有“錢景”的“知識(shí)付費(fèi)”。常見(jiàn)形態(tài)是情報(bào)頭子會(huì)建一個(gè)微信/QQ/電報(bào)群，有需求者交錢入群。

據(jù)Sw0rdH01der介紹，一個(gè)情報(bào)群會(huì)費(fèi)可達(dá)上千元——一個(gè)500人的群，就能為情報(bào)頭子帶來(lái)50萬(wàn)的收入，十個(gè)500人的群就是500萬(wàn)收入。

 環(huán)節(jié)二。核心資源與工具準(zhǔn)備

巧婦難為無(wú)米之炊，單個(gè)帳號(hào)能薅的羊毛通常有產(chǎn)品限制。為了批量獲利，提前備好“資源”是黑產(chǎn)團(tuán)伙的重中之重。

“資源”包括：設(shè)備、賬號(hào)、手機(jī)號(hào)、IP等。

以設(shè)備為例，從虛擬機(jī)、改機(jī)設(shè)備、多開(kāi)設(shè)備（在同一系統(tǒng)上，同時(shí)啟動(dòng)運(yùn)行多個(gè)同一應(yīng)用），再到大規(guī)模設(shè)備農(nóng)場(chǎng)，黑產(chǎn)手段在光速升級(jí)。

設(shè)備農(nóng)場(chǎng)的典型場(chǎng)景是，房間里豎著數(shù)排能掛數(shù)百臺(tái)手機(jī)的機(jī)架，仿佛一個(gè)高科技的“蔬菜大棚”。黑產(chǎn)從業(yè)者通過(guò)群控軟件、改機(jī)工具進(jìn)行自動(dòng)化大規(guī)模的設(shè)備篡改——數(shù)百物理機(jī)器，在短短24小時(shí)內(nèi)就可以篡改出數(shù)十萬(wàn)個(gè)虛假設(shè)備。

[[268495]]

掛滿手機(jī)的設(shè)備農(nóng)場(chǎng)

設(shè)備農(nóng)場(chǎng)的運(yùn)營(yíng)者可以自己牟利，也可以將設(shè)備農(nóng)場(chǎng)租賃給下游黑產(chǎn)實(shí)施方，以收取租金。

再如打碼平臺(tái)。目前，激烈的競(jìng)爭(zhēng)逼迫他們不斷給“客戶”帶來(lái)更好的體驗(yàn)，有競(jìng)爭(zhēng)力的打碼平臺(tái)早已用上了AI。90%左右的請(qǐng)求由AI完成，對(duì)于AI沒(méi)有判斷準(zhǔn)確的部分，系統(tǒng)會(huì)自動(dòng)分發(fā)給人工打碼平臺(tái)，由碼工完成，同時(shí)，碼工的工作成果又會(huì)反饋給AI，不斷迭代出更強(qiáng)大的模型，快速破解各種新型驗(yàn)證碼。

快速切換多個(gè)打碼平臺(tái)的黑產(chǎn)交互界面

以Sw0rdH01der協(xié)助破獲的那家打碼平臺(tái)來(lái)說(shuō)，兩年前，他們就用上了TensorFlow、Caffe等深度學(xué)習(xí)平臺(tái)，與科研院所和科技巨頭一同走在技術(shù)前沿。

正因如此，對(duì)專業(yè)黑產(chǎn)來(lái)說(shuō)，現(xiàn)今的主流驗(yàn)證手段都沒(méi)什么作用。

“秒破”，Sw0rdH01der多次提到了這個(gè)詞。

在互聯(lián)網(wǎng)領(lǐng)域之外，比如金融行業(yè)信用卡的申請(qǐng)欺詐上，還有成組織地販賣公民四件套信息（身份證、手機(jī)號(hào)、銀行卡、手持身份證照片）的商家。目前，單組四件套市價(jià)已達(dá)近千元。

環(huán)節(jié)三。黑產(chǎn)實(shí)施

黑產(chǎn)實(shí)施，即利用上游線報(bào)、資源、工具，對(duì)平臺(tái)實(shí)施薅羊毛等欺詐行為。

這個(gè)環(huán)節(jié)沒(méi)太多技術(shù)含量，只能賺到產(chǎn)業(yè)鏈上1/3的“辛苦錢”，充斥著技術(shù)背景一般的“腳本小子”。

他們大多使用“易語(yǔ)言”，這是一種不需要任何英文基礎(chǔ)，完全以漢字編碼的語(yǔ)言，深受黑灰產(chǎn)從業(yè)者的青睞。

黑產(chǎn)行業(yè)內(nèi)還有完善的“培訓(xùn)體系”，推出了一周速成、一月包會(huì)的服務(wù)，編出了“接碼平臺(tái)加IG（一種改機(jī)工具），飛行模式切IP（打開(kāi)再關(guān)閉飛行模式，可以快速變更移動(dòng)設(shè)備的IP地址）”等朗朗上口的黑產(chǎn)教學(xué)順口溜。

環(huán)節(jié)四。變現(xiàn)套利

黑產(chǎn)作惡的最終目的是變現(xiàn)套利，即通過(guò)提現(xiàn)和各種價(jià)值套利方式進(jìn)行變現(xiàn)。由于很多羊毛黨薅到的不是直接的現(xiàn)金，黑產(chǎn)中便演化出了一個(gè)不可或缺的角色——點(diǎn)物成金的“變現(xiàn)師傅”。

變現(xiàn)師傅的人脈、渠道資源和議價(jià)能力（能以多大的折扣“銷贓”），直接決定了他們獲取不法利潤(rùn)的豐厚程度。

試想一下，當(dāng)你利用某銀行和某線下便利店合作推出的信用卡支付促銷漏洞，薅來(lái)一屋子方便面時(shí)，你如何變現(xiàn)？一般人能做到嗎？變現(xiàn)師傅就能做到。

所以在黑產(chǎn)中，變現(xiàn)師傅是個(gè)很有門檻的角色。

“你要認(rèn)識(shí)足夠多的人，人家愿意給足夠高的價(jià)買你的東西，能談到七折還是八折，看你的本事。”Sw0rdH01der告訴「甲子光年」。

還有一種“賣苦力”的變現(xiàn)者——騾子。

這是金融欺詐中的常見(jiàn)角色。盜刷銀行卡后，黑產(chǎn)需要一套嚴(yán)密的流程來(lái)避免資金被追蹤。這些資金會(huì)被打到數(shù)十張乃至數(shù)百?gòu)堛y行卡上，騾子的職責(zé)就是騎著摩的到分散各地的ATM機(jī)中取出現(xiàn)金。

在上述四大環(huán)節(jié)、眾多角色的參與中，整個(gè)黑產(chǎn)江湖已呈現(xiàn)出強(qiáng)烈的上下游敏捷響應(yīng)能力和“互助精神”：

一旦某漏洞出現(xiàn)，龐大的黑產(chǎn)實(shí)施方會(huì)在第一時(shí)間嘗試攻擊；一旦手段不靈，“羊毛薅不到了”的烽火就會(huì)迅速燃遍各大QQ/電報(bào)群，打碼平臺(tái)等技術(shù)供應(yīng)者隨即快速跟進(jìn)；一旦哪個(gè)打碼平臺(tái)率先突破，它就能在此次戰(zhàn)役中大賺一筆；而經(jīng)此一役，這種“先進(jìn)”解決方案又會(huì)被爭(zhēng)相復(fù)制，快速普及。

到2018年，隨著數(shù)美服務(wù)的許多客戶進(jìn)入海外擴(kuò)張階段，數(shù)美又有了一個(gè)新發(fā)現(xiàn)：國(guó)內(nèi)黑產(chǎn)出海了！

數(shù)美攻防團(tuán)隊(duì)在“搭訕”黑產(chǎn)時(shí)，已開(kāi)始遇到同時(shí)發(fā)送中英文產(chǎn)品簡(jiǎn)介的客服。

沒(méi)有對(duì)比就沒(méi)有傷害，一個(gè)有些諷刺的現(xiàn)實(shí)是，國(guó)內(nèi)黑產(chǎn)已領(lǐng)先全球。

三．魔高一尺道高一丈

國(guó)內(nèi)黑產(chǎn)的快速升級(jí)，除了“有錢能使鬼推磨”的利益驅(qū)動(dòng)外，更直接的刺激因素正是黑產(chǎn)對(duì)抗者的存在。

在自然界，類似的“競(jìng)爭(zhēng)協(xié)同進(jìn)化”已上演千百年：

昆蟲(chóng)進(jìn)化出了啃食植物的口器，植物就會(huì)相應(yīng)地進(jìn)化出利刺或毒素——魔高一尺，道高一丈，螺旋上升，協(xié)同向前。

讓我們快速回顧一下數(shù)美在過(guò)去幾年經(jīng)歷的幾輪攻防戰(zhàn)：

黑產(chǎn)常見(jiàn)手法：從打接口、虛擬機(jī)到設(shè)備農(nóng)場(chǎng)

數(shù)美先后與打接口、虛擬機(jī)和設(shè)備農(nóng)場(chǎng)三種常見(jiàn)的黑產(chǎn)操作對(duì)陣，難度從低到高依次升級(jí)。

2015年公司剛成立時(shí)，數(shù)美面臨的最普遍的黑產(chǎn)是打接口和虛擬機(jī)。

這兩種手法比較相似，都是用電腦模擬手機(jī)等移動(dòng)設(shè)備，以虛假設(shè)備信息和網(wǎng)站、APP的服務(wù)器端通信。

這種低成本手段是移動(dòng)互聯(lián)網(wǎng)水大魚大時(shí)期的遺留物，銘刻著各平臺(tái)未對(duì)黑產(chǎn)痛下殺手時(shí)的“美好記憶”，由于操作簡(jiǎn)便，不需額外資源，仍是目前主流的黑產(chǎn)手段之一。

識(shí)別打接口的主要方式是：引入設(shè)備標(biāo)識(shí)判斷邏輯，沒(méi)有任何設(shè)備標(biāo)識(shí)信息或信息不正確，就會(huì)被判斷為打接口“假客戶端”。

識(shí)別虛擬機(jī)的方法也不算困難——其中一種方法是看CPU、PC上虛擬機(jī)使用的CPU指令集架構(gòu)和移動(dòng)設(shè)備會(huì)有明顯差別，如果發(fā)現(xiàn)指令集屬于PC而非移動(dòng)設(shè)備，則識(shí)別成功。

打接口、虛擬機(jī)，攻破。

此后，黑產(chǎn)不得不啟用更高成本的新手段——用真實(shí)手機(jī)作惡，設(shè)備農(nóng)場(chǎng)形態(tài)應(yīng)運(yùn)而生。

這里是數(shù)美與黑產(chǎn)對(duì)決的一個(gè)長(zhǎng)期堡壘，攻防雙方的手段交替進(jìn)化，數(shù)美先后攻克了簡(jiǎn)單刷機(jī)（通過(guò)修改單個(gè)設(shè)備信息，如IMEI號(hào)，用一臺(tái)手機(jī)模擬出多個(gè)移動(dòng)設(shè)備）、復(fù)雜刷機(jī)（通過(guò)修改多維度設(shè)備信息模擬移動(dòng)設(shè)備）、Hook改機(jī)（通過(guò)劫持系統(tǒng)函數(shù)、返還虛假信息模擬移動(dòng)設(shè)備）和多開(kāi)（通過(guò)劫持系統(tǒng)函數(shù)，同時(shí)在單臺(tái)手機(jī)上打開(kāi)幾十個(gè)相同應(yīng)用，如幾十個(gè)微信，提高作惡效率），把黑產(chǎn)逼到了不得不啟用“真機(jī)農(nóng)場(chǎng)”的境地。

而真機(jī)農(nóng)場(chǎng)，就是“老老實(shí)實(shí)”地把一臺(tái)手機(jī)當(dāng)做一個(gè)設(shè)備來(lái)用，相比用一臺(tái)真實(shí)設(shè)計(jì)模擬數(shù)個(gè)虛假設(shè)備，其成本已十分高昂。

可很快，反欺詐工程師們也找到了應(yīng)對(duì)真機(jī)農(nóng)場(chǎng)的關(guān)鍵：即便不刷機(jī)、不Hook，群控卻依然是黑產(chǎn)無(wú)法繞過(guò)的核心，所以在對(duì)群控多維痕跡進(jìn)行專門檢測(cè)后，真機(jī)農(nóng)場(chǎng)也無(wú)所遁形。

設(shè)備農(nóng)場(chǎng)，攻破。

2018年的黑產(chǎn)新動(dòng)向：云手機(jī)、硬件插件和積分墻

從2018年起，數(shù)美又開(kāi)始遇到齊頭并進(jìn)的3種黑產(chǎn)新趨勢(shì)：云手機(jī)、硬件插件和積分墻。

2018年9月下旬，云手機(jī)橫空出世。就像其名稱所展示的，這是云計(jì)算在黑產(chǎn)界的最新應(yīng)用。

和“云手機(jī)”的對(duì)決，讓Sw0rdH01der記憶深刻。

當(dāng)時(shí)，數(shù)美正在服務(wù)某直播平臺(tái)，該平臺(tái)推出了看內(nèi)容返平臺(tái)幣和簽到返人民幣的推廣優(yōu)惠。

誘人的利益引得各路黑產(chǎn)紛紛來(lái)戰(zhàn)，數(shù)美很快在其中發(fā)現(xiàn)了一種與虛擬機(jī)相似，但設(shè)備特征略有差異的新型黑產(chǎn)，且在快速起量，結(jié)合情報(bào)推測(cè)，這很有可能是當(dāng)時(shí)剛興起的云手機(jī)。

云手機(jī)和傳統(tǒng)設(shè)備農(nóng)場(chǎng)的最大區(qū)別是：它背后并不是一個(gè)真正的手機(jī)，而是一套搭載在云服務(wù)器上的虛擬手機(jī)。

在云手機(jī)加持的新型農(nóng)場(chǎng)里，場(chǎng)景更加“科幻”——掛在墻上的不再是成百上千的手機(jī)，而是一片片裝載了安卓的板卡，這些板卡可被電腦群控，模擬正常智能手機(jī)的注冊(cè)、點(diǎn)擊、分享等一系列用戶行為。

數(shù)美團(tuán)隊(duì)隨即加班加點(diǎn)，在發(fā)現(xiàn)異常的一天內(nèi)收集了市面上全部11款云手機(jī)方案，在兩天內(nèi)實(shí)現(xiàn)了復(fù)現(xiàn)（即模擬黑產(chǎn)進(jìn)行成功攻擊）和環(huán)境檢測(cè)，并具備了識(shí)別能力。

策略團(tuán)隊(duì)隨后跟進(jìn)，上線封堵方案——方興未艾的云手機(jī)，被絞殺在了青春期。某視頻平臺(tái)因而避免了數(shù)千萬(wàn)元的潛在損失。

云手機(jī)，攻破。

在云計(jì)算之外，黑產(chǎn)也開(kāi)始用起了硬件插件。

去年底，就在云手機(jī)的熱潮剛剛平息時(shí)，一個(gè)新“網(wǎng)紅”又在黑產(chǎn)圈流傳，情報(bào)群里最火熱的信息都關(guān)于它：買大牛了嗎？用大牛了嗎？

不過(guò)就像數(shù)美反欺詐產(chǎn)品“天網(wǎng)”的寓意：天網(wǎng)恢恢，疏而不漏。一周之內(nèi)，大牛也被干掉了——原來(lái)大牛是一款可插裝在蘋果手機(jī)上的硬件，它最牛的功能是，是插上之后，能讓蘋果手機(jī)在不“越獄”（開(kāi)放用戶操作權(quán)限）的情形下實(shí)現(xiàn)改機(jī)和篡改GPS的目的。

搞清了這個(gè)原理后，只要識(shí)別出相關(guān)特征，大牛也就不牛了。

大牛，攻破。

最近半年，數(shù)美又遇到了目前這波黑產(chǎn)中最難搞定的Boss級(jí)手段——積分墻。

積分墻其實(shí)就是“人刷”，由羊頭和羊群協(xié)作完成。

厲害的羊頭能觸及多達(dá)萬(wàn)級(jí)乃至十萬(wàn)級(jí)的職業(yè)、半職業(yè)羊毛黨。一旦有大漏洞出現(xiàn)，羊頭就會(huì)將消息層層放出，組織大家一起薅——在由各種信號(hào)、傳輸協(xié)議連接的“平靜互聯(lián)網(wǎng)”中，羊頭引領(lǐng)這支大軍，進(jìn)行著“奪金不用刀”的無(wú)聲“搶劫”。開(kāi)篇電商平臺(tái)今年初的優(yōu)惠券漏洞，就可以理解成一次驚動(dòng)全網(wǎng)的“積分墻”。

積分墻的攻防難點(diǎn)在于，背后是真人、真設(shè)備。

“很難識(shí)別，這也是我們近期對(duì)抗的重點(diǎn)，不過(guò)現(xiàn)在也快識(shí)別得差不多了。”Sw0rdH01der告訴「甲子光年」。

識(shí)別的方法也自成體系，主要通過(guò)團(tuán)伙特征和行為時(shí)序異常等維度來(lái)綜合判斷，再結(jié)合通過(guò)大數(shù)據(jù)例行運(yùn)營(yíng)挖掘出的積分墻應(yīng)用，一起做到風(fēng)險(xiǎn)可控。

在以上的具體攻防之外，Sw0rdH01der對(duì)黑產(chǎn)對(duì)抗有一個(gè)精到的認(rèn)識(shí)：對(duì)抗黑產(chǎn)，其實(shí)是在與人斗，對(duì)抗的是人性，利用的也是人性。

在人性層面，一是要給對(duì)手創(chuàng)造“絕望感”。

“一定要做縱深防御，你的識(shí)別模型，要一上來(lái)就是一堵高不可攀的墻，不搞則已，一搞搞死，這種防才有意義，讓黑產(chǎn)完全斷了再試一試的念想。”

而更根本的，是要直擊黑產(chǎn)的核心利益和軟肋。

值得強(qiáng)調(diào)的是，黑產(chǎn)最在意、最痛的是“沒(méi)得賺”。

因此，與黑產(chǎn)的對(duì)抗，本質(zhì)是一場(chǎng)成本的對(duì)決。

輪番上演的“黑產(chǎn)戰(zhàn)事”看似西西弗斯推石頭，徒勞往復(fù)，但它卻能持續(xù)提高黑產(chǎn)的成本，讓他們真正肉痛。

比如，積分墻這種手段由來(lái)已久，但在過(guò)去不是主流，因?yàn)橐M織真人，就要群分利益，對(duì)職業(yè)黑產(chǎn)來(lái)說(shuō)成本太高。而隨著數(shù)美這樣的黑產(chǎn)對(duì)抗者通過(guò)輪輪攻防對(duì)黑產(chǎn)步步緊逼，越來(lái)越多的黑產(chǎn)不得不重啟成本高昂的積分墻。

最后，“人性不僅在對(duì)手面”，最難的一場(chǎng)仗是自己。

當(dāng)你凝視深淵時(shí)，深淵也在凝視你。

在與黑產(chǎn)的戰(zhàn)事中，比業(yè)務(wù)和技術(shù)能力更重要的是這條“價(jià)值觀底線”。

四．以一當(dāng)百的法門

黑產(chǎn)數(shù)量如此龐大，而數(shù)美公司只有幾百人。

如何以一當(dāng)百？

這得益于數(shù)美形成的反欺詐整體邏輯——一個(gè)通用核心原則：打組合拳。

在經(jīng)歷了“簡(jiǎn)單規(guī)則”、“專家系統(tǒng)”、“機(jī)器學(xué)習(xí)引擎”等階段后，數(shù)美將不同出擊手法擰成一個(gè)拳頭，提煉成了一個(gè)整體系統(tǒng)——“全棧式智能防御體系”。

數(shù)美還從近4年的實(shí)踐中總結(jié)出了“反欺詐三定律”：

反欺詐定律一：“好人”是多種多樣的“好”，“壞人”是類似的“壞”。

反欺詐定律二：“好人”行為表現(xiàn)出高度信息一致性，“壞人”存在潛在的信息矛盾。

反欺詐定律三：“好人”的朋友通常也是“好人”，“壞人”的朋友通常也是“壞人”。

從三定律出發(fā)，數(shù)美用數(shù)萬(wàn)基礎(chǔ)特征、數(shù)千高級(jí)特征、數(shù)百組風(fēng)險(xiǎn)模型和專家系統(tǒng)構(gòu)成了一套“智能模型策略體系”，其流程如下圖所示：

“智能模型策略體系”之外，反黑產(chǎn)的另一要點(diǎn)是構(gòu)建“縱深防御體系”，全面考慮了黑產(chǎn)全流程，在APP啟動(dòng)、賬號(hào)注冊(cè)、登錄、關(guān)鍵業(yè)務(wù)行為（如支付、邀請(qǐng)、領(lǐng)券、下單、提現(xiàn)）等多個(gè)環(huán)節(jié)設(shè)下層層關(guān)卡，“一山放過(guò)一山攔”，最終實(shí)現(xiàn)“全局欺詐風(fēng)險(xiǎn)可控”。

復(fù)雜的全棧式智能防御，需要高效的協(xié)作，支撐數(shù)美做到這點(diǎn)的，是他們建立的一套反欺詐的全流程運(yùn)營(yíng)閉環(huán)：通過(guò)攻防、模型、數(shù)據(jù)挖掘等團(tuán)隊(duì)通力合作支持多個(gè)產(chǎn)品線和客戶——攻防團(tuán)隊(duì)負(fù)責(zé)打前站，研究每個(gè)場(chǎng)景的對(duì)應(yīng)風(fēng)險(xiǎn)；策略團(tuán)隊(duì)負(fù)責(zé)設(shè)計(jì)策略和查漏機(jī)制；模型團(tuán)隊(duì)負(fù)責(zé)調(diào)整或設(shè)計(jì)新模型；數(shù)據(jù)挖掘團(tuán)隊(duì)從海量數(shù)據(jù)里抽取建模特征；架構(gòu)團(tuán)隊(duì)則負(fù)責(zé)維護(hù)整個(gè)系統(tǒng)的基礎(chǔ)設(shè)施。

Sw0rdH01der把這套流程形容為“不停旋轉(zhuǎn)的環(huán)”：

“反欺詐服務(wù)和一般SaaS不一樣，我們提供給客戶的風(fēng)控解決方案同時(shí)包含全流程運(yùn)營(yíng)體系，從攻防到策略設(shè)計(jì)、策略驗(yàn)證、上線，再到效果監(jiān)控，案例分析，最終又會(huì)回到攻防，這個(gè)環(huán)會(huì)不停地旋轉(zhuǎn)，不停地旋轉(zhuǎn)。”

以上各環(huán)節(jié)，數(shù)美深入使用了大數(shù)據(jù)、AI技術(shù)，以自動(dòng)化的高效手段讓團(tuán)隊(duì)得以精兵上陣。

五．進(jìn)擊的數(shù)美

在內(nèi)部精兵的支撐下，成立近四年的數(shù)美每年保持著3倍以上的營(yíng)收增速，已成為國(guó)內(nèi)反欺詐領(lǐng)域頭部公司。

目前，數(shù)美正著手推進(jìn)行業(yè)、產(chǎn)品線和服務(wù)線的拓展。

數(shù)美創(chuàng)始人及CEO唐會(huì)軍告訴「甲子光年」，從2018年開(kāi)始，他明顯感到直接面向C端的各類傳統(tǒng)行業(yè)有了越來(lái)越強(qiáng)的反欺詐需求。

隨著“互聯(lián)網(wǎng)+”滲透進(jìn)更多行業(yè)，傳統(tǒng)龍頭都在試圖與消費(fèi)者建立直接線上聯(lián)系，而有線上運(yùn)營(yíng)的地方，就有黑產(chǎn)的可乘之機(jī)和數(shù)美的用武之地。

在行業(yè)上，數(shù)美的客戶已從互聯(lián)網(wǎng)公司擴(kuò)展到銀行、保險(xiǎn)、證券、地產(chǎn)、航旅、新零售等行業(yè)。

在產(chǎn)品上，數(shù)美則開(kāi)始圍繞用戶運(yùn)營(yíng)提供全生命周期服務(wù)。

數(shù)美打造了以欺詐賬號(hào)識(shí)別為核心的天網(wǎng)產(chǎn)品系列，和以智能內(nèi)容過(guò)濾為核心的天凈產(chǎn)品系列，兩大產(chǎn)品系列形成了完整的反欺詐產(chǎn)品矩陣，涵蓋金融、直播、社交、電商、游戲等行業(yè)的解決方案。

在服務(wù)上，數(shù)美已從拉新環(huán)節(jié)的反欺詐，擴(kuò)展到了留存運(yùn)營(yíng)和數(shù)據(jù)保護(hù)。

一般而言，一個(gè)互聯(lián)網(wǎng)產(chǎn)品會(huì)經(jīng)歷三個(gè)生命周期：初創(chuàng)期關(guān)注流量；成長(zhǎng)期關(guān)注留存；成熟期還關(guān)注數(shù)據(jù)保護(hù)。對(duì)此數(shù)美依次拆招：初創(chuàng)期防拉新活動(dòng)的羊毛黨；成長(zhǎng)期防榜單生態(tài)和內(nèi)容生態(tài)的惡意刷榜、養(yǎng)號(hào)和廣告導(dǎo)流；成熟期防數(shù)據(jù)盜爬，為客戶完整生命周期“保駕護(hù)航”。

可預(yù)見(jiàn)的是，凡有利可圖、有洞可鉆之處，黑產(chǎn)就不會(huì)絕跡。而且隨著社會(huì)經(jīng)濟(jì)、生活進(jìn)一步“互聯(lián)網(wǎng)化”，黑產(chǎn)規(guī)模注定會(huì)持續(xù)擴(kuò)大。

對(duì)數(shù)美來(lái)說(shuō)，這意味著他們還有很多仗要打。

而在黑產(chǎn)對(duì)抗者最美好的奢望里，他們也許寧愿自己無(wú)事可做。就像Sw0rdH01der在某論壇一篇講黑產(chǎn)的帖子里寫的那樣：

“Every cloud has a silver lining，好在，這個(gè)世界仍有數(shù)不清的你我他，致力于幫助這個(gè)世界重返光明。

愿天下無(wú)賊。”