一、vivo渠道服游戲黑產獲利點分析

1.1 黑灰產定義和分工

一般來說，黑色產業指的是從事具有違法性的活動且以此來牟取利潤的產業。

而灰色產業則指的是不明顯觸犯法律和違背道德，游走于法律和道德邊緣，為 “黑產” 提供輔助的爭議行為。

黑灰產按照分工不同，大致可以分為4類：

（1）源頭類黑產

掌握號源信息或身份信息等的黑產。常見的有手機號、身份證、工商信息等信息，通過販賣用戶信息獲利。

（2）平臺類黑產

用于非法交易、交流的平臺類黑灰產。如惡意網站、惡意論壇和惡意群組，以及類似提供接碼、打碼的平臺。

（3）技術類黑產

為中下游技術性不強的黑灰產從業人員制作并提供各類軟、硬件設備和服務，如木馬植入、釣魚網站及各類惡意軟件。

（4） 實施類黑產

實施各類違法犯罪行為的黑灰產，基于中下游鏈路，黑灰產在實施環節常常表現為惡意行為、詐騙等形式。

1.2 游戲行業常見的黑灰產問題

游戲行業常見的黑灰產問題主要包含：網絡攻擊、外掛、盜號、羊毛黨、內容違規等。

1.2.1 網絡攻擊

網絡攻擊主要以DDoS攻擊為主，就是利用大量合法的分布式服務器對目標發送請求，從而導致正常合法用戶無法獲得服務。

游戲行業的網絡攻擊主要來源于競爭者，通過網絡攻擊使攻擊對象的用戶無法正常進行游戲，影響用戶體驗，并造成用戶流失，從而使攻擊者自身的利益不受威脅。

如2021年8月，一款合成類游戲在首發期間就遭受黑客DDoS攻擊，造成游戲玩家無法登錄和游戲內卡頓等問題，引起大量用戶投訴。

1.2.2 外掛

游戲外掛讓大部分玩家、游戲公司深惡痛絕，卻因有著源源不斷的市場需求，外掛黑色產業鏈屢禁不止。游戲外掛通常指的是通過篡改游戲客戶端代碼，讀取或者修改游戲運行過程中的數據來實現作弊功能的插件。

外掛的獲利方式有多種：直接出售外掛獲利、外掛內分發廣告獲利、使用外掛刷游戲資產交易獲利、外掛代練、外掛“帶老板坐飛機”、外掛養號等。

外掛泛濫的原因主要有三：一是外掛開發的工業化不斷拉低開發的門檻；二是國內成熟的外掛分銷體系使外掛銷售更加便捷；三是外掛廣告行為等行為缺乏規制，助推了外掛消費和產業對接。

在上述三個因素的加持之下，伴隨游戲行業的火爆，游戲外掛的規模越來越大。

1.2.3 盜號

盜號，是從端游時代起就存在于游戲業內的老問題了。一方面，賬號的安全問題關系到游戲能否長期穩定運營，另一方面，賬號被盜導致虛擬財產流失，給玩家帶來慘痛損失的同時，也損害了游戲廠商的品牌形象。

盜取游戲賬號信息，用行內黑話來說，又叫作“出信”。所謂“信”，指的就是游戲賬號密碼等信息。這個領域又涉及到撞庫、拖庫、釣魚、種馬(木馬)等等手段。

盜號主要通過出售用戶信息、售賣游戲帳號資產、詐騙等方式獲利。

1.2.4 羊毛黨

羊毛黨大都采取以量取勝的策略，比如養號、刷量、薅羊毛等。使用這種策略的黑灰產從業者，充分利用“長尾效應”，本著“蒼蠅腿上也是肉”的原則，把蛋糕做大。

羊毛黨通過批量注冊帳號參與游戲廠商或者第三方平臺的活動，領取禮包CDKey、充值禮券等，再通過交易平臺出售給游戲玩家獲利。

如某網游在交易貓上的交易價格為1元≈14金幣，游戲內售價為1元=10金幣，若不計算其他成本，如果黑產能夠獲取低于七折的禮券，則能夠實現交易獲利。

1.2.5 內容違規

內容違規主要涉及到游戲內發帖、發消息等文本內容灌水、涉黃、涉政、涉暴等違規風險。

內容違規的獲利點比較多，直接獲利點通過接單刷帖獲利，間接獲利則是引流至三方網站或app，通過賭博、詐騙等手段獲利。

不同類型的游戲所面臨的黑產問題不同，具體可參考《2021游戲安全白皮書》，因篇幅有限，本文不再贅述。

圖片來源：《2021游戲安全白皮書》

1.3 vivo游戲關注的黑產問題

vivo游戲作為游戲渠道或者分發平臺，關注的黑產問題和游戲開發者有所不同，游戲外掛等具體游戲內的黑產問題和平臺無關，但游戲開發者和平臺之間的利益分配就會成為開發者作弊的動機，同時vivo平臺為了增加渠道的用戶黏性，也會為用戶開展一系列活動，發放游戲禮包、禮券等福利禮品等，這也可能成為黑產的獲利點。

我們需要關注的黑產問題主要分為兩類：游戲開發者相關的黑產問題和用戶相關的黑產問題。

1.3.1 游戲開發者相關的黑產問題

顧名思義，游戲開發者相關的黑產問題即以游戲開發者為主體發起的黑產行為，常見的黑產問題有分發刷量和自充值問題。

分發刷量指通過如刷預約、下載、評論、榜單、啟動、時長、廣告等方式幫助游戲開發者在vivo平臺獲得用戶流量或者廣告收益；

自充值則是指游戲開發者通過自充值的方式提升其在vivo平臺的“流水”，以在融資、商業合作、流量獲取等方面獲取有利條件。

1.3.2 用戶相關的黑產問題

用戶相關的黑產問題，主要指的是黑產利用批量注冊的方式掌握大量的vivo帳號，在游戲禮包、游戲禮券、營銷活動等場景刷量獲利。

二、vivo游戲黑產作弊特征識別和打擊

黑產危害之大，不得不引起平臺的重視，對黑產問題予以打擊，將其對平臺的影響降低在可控的范圍內。

首先介紹黑產刷量方式及優缺點。

2.1 黑產刷量方式及優缺點

黑產刷量方式大致可分為三類：模擬真人刷、接口刷、真人刷。

2.1.1 模擬真人刷量

模擬真人刷量，也稱機刷，通常是使用群控設備，結合改機工具（修改設備參數）、秒撥機（切換ip）等來達到刷量的目的。

• 模擬刷量：Xposed模塊導入手機，打開相應app，即開始hook設備信息，隨后用自動化腳本實現下載、安裝、卸載。
• Hook：手機安裝xposed框架，分析apk包，編寫xposed模塊。
• 自動化腳本：安裝appium，編寫自動化腳本模擬進行打開、點擊、滑動等操作。
• 木馬：通過“感染”真實設備，自動執行程序下載或者調起應用，達到下載的目的。
• 模擬器：在設備有限的情況下，可以通過模擬器模擬簡單的設備參數進行刷量。

2.1.2 接口刷

接口刷，即通過協議刷量，通常是通過破解請求中的加密算法從而來自由構造請求，結合http代理等來達到刷量的目的。

2.1.3 真人刷

真人刷量，即通過真人真機刷量，常見的真人刷量方式包含積分墻，App領域的試玩（激勵）平臺，通過獎勵玩家現金或者禮物的方式激勵玩家到各種分發平臺（主要是應用市場）去做任務：

下載任務（目的：沖榜），或者是去搜索-下載-打開任務（目的：提升關鍵詞排名），或者是去五星好評（目的：提升產品綜合權重）。

2.1.4 各刷量方式的優缺點

不同的刷量方式各有優缺點，黑產一般根據場景的刷量量級和作弊難度進行選擇。

2.2 vivo游戲反作弊方案

“敵暗我明”，黑產作弊往往防不勝防。而vivo作為游戲渠道，又有哪些反作弊的難點呢？

2.2.1 vivo游戲反作弊難點

（1）帳號全渠道通用的“木桶效應”

不同于游戲廠商自身的帳號體系，vivo游戲與其他業務的帳號是通用的，甚至不同國家和地區注冊的帳號也可跨地區登錄和使用。

比如，vivo內銷注冊必須通過手機號注冊，而外銷則可以通過郵箱注冊，作弊成本更低。且數據合規禁止數據跨境傳輸，風控無法獲取帳號相關信息，打擊難度進一步提升。

帳號通用同時意味著帳號價值的提升，黑產批量注冊的帳號，不僅可以在游戲場景刷量，也可以在官網、積分、會員、活動等業務場景使用，在一定程度上降低了黑產注冊帳號的成本。

（2）聯運低版本的風險問題

由于vivo聯運的游戲眾多，一些游戲廠商并沒有持續地維護和更新，這就導致vivo聯運apk升級時不能夠同步更新。而低版本apk往往存在一些漏洞，考慮到低版本升級可能導致游戲適配的問題，聯運側一般不會強制用戶升級至高版本。

（3）可交易游戲的刷量問題

一些游戲內自帶交易系統，為黑產刷量交易獲利提供了極大的便利，這些游戲往往也是vivo游戲禮券刷量的“重災區”。

2.2.2 vivo游戲業務安全防控體系

目前風控側已建設事前風險感知->事中風險識別->事后打擊的業務安全防控體系。

（1）事前風險感知：

通過安全評審、安全攻防、情報調研、安全態勢感知等事項，來前置/及時發現業務場景存在的風險。

好的業務安全防護一定不能脫離業務。業務安全方案的制定，既需要系統的安全能力建設，也需要風控人員深入業務，根據業務特性制定完善的安全方案，這樣才能夠保證既能夠打擊黑產作弊行為，又不會誤傷正常用戶請求。

同時，風控側也站在攻擊者的視角，對各業務場景進行攻防演練，對黑產的產業鏈進行調研分析，并對黑產可能攻擊的風險點建設相關指標進行實時和離線監控，力求前置發現業務場景存在的風險，并在黑產攻擊的第一時間同步業務及時作出應對。

（2）事中風險識別：

事中的風險識別指離線風控和實時風控來進行多層級的風險決策，最大限度的識別風險。

事中識別是風控策略的核心，這里主要介紹幾種常見的規則類型：

• 請求頻繁和參數聚集：如單個設備上大量帳號請求，或大量請求聚集于某個低app版本等。
• 設備校驗：主要包含設備真實性校驗和參數合法性校驗，識別偽造設備參數的接口刷或者模擬器刷量請求。
• 風險數據過濾：根據三方數據或者利用歷史數據信息建模分析，生成風險IP、風險手機號、風險openid等名單，限制黑產請求。
• 陌生環境請求：針對帳號換端登錄、新注冊帳號、非vivo環境等特征進行加強校驗，不根據單一特征直接攔截，但可作為組合策略的子規則加以利用。
• 行為鏈路完整性校驗：主要識別單個場景的接口刷，如不安裝游戲條件下評論、無曝光有點擊等作弊行為。

（3）事后打擊閉環：

業務安全是一個持續對抗的過程，事后我們一方面需要打擊刷量主體，提高主體的作弊成本；另一方面需要進行案例分析沉淀，對風控策略進行評估和系統告警進行分析，明確風控規則誤傷和漏過情況，不斷優化風控策略。

三、vivo游戲黑產反作弊案例分析

3.1 官網會員新購機游戲禮券刷量事件

3.1.1 事件背景

19年年末始，會員贈送的新購機游戲禮券權益頻繁遭遇冒領，用券游戲主要為“捕魚類”游戲。

3.1.2 黑產作弊路徑分析

3.1.3 風控打擊方案

• 對用戶請求設備參數進行嚴格校驗，并結合帳號、ip信息等維度，準確識別用戶身份
• 監控領券成功數據和用券數據，及時發現漏過情況
• 建立禮券交易情報監控體系，關注禮券交易情況

3.2 游戲禮包刷量問題

當前vivo游戲禮包主要分為CDKey禮包和自動發放禮包，CDKey禮包由于其交易的便利性，一直得到黑產“青睞”。

3.2.1 事件背景

2021年8月某游戲首發，首發禮包豐厚，吸引黑產批量盜刷該禮包

3.2.2 事件原因

• 禮包價值高，外銷帳號注冊和登錄態校驗存在“低門檻”，吸引黑產攻擊
• 被風控策略識別后，黑產不斷切換作弊特征，并利用高并發請求繞過風控限制

3.2.3 黑產作弊路徑分析

3.2.4 風控打擊方案

整體思路：各方配合提高黑產在整個刷量鏈路的作弊成本

（1）業務側：

• 登錄票據升級，設置票據有效期
• 聯合游戲開發者將禮包直接發放至游戲帳號，切換交易路徑
• 積分任務加密，提高積分刷量門檻

（2）帳號側：

• 凍結惡意外銷帳號
• 上線外銷帳號登錄態失效能力

（3）風控側：

• 加強對外銷帳號的打擊
• 提升驗證碼難度
• 游戲禮包交易情況定期調研
• 加強對各鏈路指標的異常監控，及時發現漏過情況

（4）游戲開發者側

• 聯合游戲開發者失效惡意領取禮包CDKey，在最后一個環節切斷黑產獲利途徑

四、總結

本文從vivo游戲平臺的角度出發，分析vivo游戲黑產的獲利點和作弊特征，并結合案例分享vivo游戲識別和打擊黑產的防控體系，希望對游戲和業務安全的從業者在對抗黑產的問題上有所幫助。同時，對本文內容有任何疑問和建議，歡迎大家批評指正。