現在的黑產真的是無孔不入����。不管是活動上線還是平時運維,應該都遇到過機器攻擊��,各種批量注冊、發(fā)帖灌水��、刷積分����、刷券、刷票�、刷榜、爬蟲等等等等����,甚至像我遇到的這種掃接口刷接口的,只有你想不到����,沒有黑產做不到。輕則攢一堆垃圾數據干擾分析�,等虛假繁榮的泡沫一破就一臉懵逼的懷疑人生了:我的用戶怎么都在裝死?重則人財兩空�����,錢花了不少�����,結果全被薅走了,營收也不見影���,養(yǎng)你干嘛用的�������;蛘呤欠⻊掌黜憫徛����,甚至掛掉���,業(yè)務直接中斷��。
防黑產是個體系活���,畢竟黑產都已經成體系了。
風控對于一般小公司來說�,還真不是說搞就能搞的(大公司都被薅得不要不要的)���,需要業(yè)務(業(yè)務規(guī)則和運營策略)與風控(風險識別和風控處置)二者緊密結合��,達到一個平衡點�����,不能全放過去�����,會薅得肉疼�����;但也不能全攔在外面�����,不然業(yè)務沒法做了�。這就涉及到機會成本,選擇獲取一些東西�����,一定伴隨著一些代價����。
業(yè)務規(guī)則和運營策略的事情得根據自己的業(yè)務去搞�,這個每家業(yè)務都不太一樣�,需要結合業(yè)務形式和用戶體驗來設置門檻。雖然業(yè)務不一樣����,但是要用你的產品、參加你的活動就得發(fā)起請求��,所以一般風控需求都落在技術同學頭上�,從請求來控制。
這里的風控主要是進行風險識別和風險處置��。
風險識別
首先�����,風險識別非常重要��!
知道問題才能解決問題���,才能進行下一步的風險處置���。你要是還處于“不知道自己不知道”的階段��,那就只能懵懂的迎接黑產大佬的洗禮了��。為什么這么說呢,對于“有癥狀”的請求��,技術或許可以發(fā)現��;但是黑產也知道“有癥狀”的請求會被發(fā)現�����,所以會有很多“無癥狀”的請求也會潛伏進來�����,靠自己去發(fā)現就很困難了�,因為潛伏期內看起來一切正常,你以為他就是個正常用戶請求�,等到突然發(fā)難的時候就已經晚了。所以要盡可能全面的進行風險識別�。
風險識別可以從用戶身份信息、用戶環(huán)境信息��、用戶行為信息維度來進行�����。
用戶身份信息
用戶身份信息主要用于一些需要實名的業(yè)務,尤其是信貸業(yè)務��,比如核驗手機號風險���,一個手機號只是張物聯卡�,就是接個驗證短信騙貸款����,連通話功能都沒有,這基本可以判定為高風險用戶了�����。大家平時用手機驗證碼只是簡單的通過驗證手機號能否接受短信來判斷手機號是否真實有效����,其實未必有效,除了物聯卡還有接碼平臺的存在��,短信驗證碼照收�,但你就是聯系不到這個用戶。
用戶環(huán)境信息
用戶環(huán)境信息是識別用戶設備及設備環(huán)境信息如IP�����。知道設備牧場的話,應該好理解�����,一排排手機刷注冊紅包�����,領完紅包刷一次機��,又是一批新用戶�����,再注冊再領紅包����,領完再刷機��,循環(huán)往復�����,就問你怕不怕。從設備端防御算是比較進階的防御了���,想了解的可以百度一下設備指紋��。如果你還用不到���,可以先從下面更通用的入手。
用戶行為信息
目前比較通用的是識別用戶行為信息�����,就是行為驗證��,也就是大家平時見到的滑動驗證�、拼圖驗證。這是目前最高效最通用的人機識別方式�����,原理是通過收集用戶的操作行為信息��,判斷用戶到底是人還是機器�。基本可以攔截掉機器攻擊���,同時用戶體驗比較友好�。對于有風控認知的同學來說,行為驗證算是標配了�����,用在注冊��、登錄���、發(fā)帖、防薅羊毛����、防爬等各種調用接口的場景。不過還是有不少網站�����、APP在用圖形驗證碼或者干脆沒有驗證碼�,可能是還沒有嘗試過當今發(fā)達的圖像識別技術的厲害,或是還沒有產出值得黑產注意的價值����。
行為驗證業(yè)內用戶最多的應該是極驗����,優(yōu)點是做得久�����、用戶多�,但是缺點卻很致命,容易被破解��,可能是樹大招風也可能是黑產技術更新迭代比較快(是的���,不怕黑產驕傲��,黑產確實比大多數同學的技術實力強��、思路野)�����。而且現在網上破解極驗的貼子一搜一大把�����,其實可以不用考慮了����,基本上等于形同虛設了。
目前最好的應該就是頂象�����,基本是圈里公認最安全的���。曾經在交流群里看到一位大佬���,說他之前薅某個大型網站都是來去自如,后來突然破解不了了���,還納悶,后來發(fā)現是換了頂象的驗證碼�。
風險處置
識別出風險后就要進行風險處置了。
前面的風險識別只是識別風險請求�����,還不會直接影響業(yè)務�����,但是風險處置就會直接影響到業(yè)務請求了。
風險處置是按照風險規(guī)則和風險策略來執(zhí)行的��,復雜的業(yè)務還需要建立風控模型��。
比如一個請求比較可疑�����,不能確定是黑產還是真用戶���,就需要一個策略來處置這個可疑請求�,拒絕��?接受�?再驗證一遍?放它進來但是先不許發(fā)帖���?
這只是一條策略��,要形成真正能保護業(yè)務的策略庫的話����,是要靠真金白銀砸出來的,除了你和你同事的工資�����,還有營銷推廣的投入�����,尤其是被薅走的那部分��,尤其是被薅走的你還不知道的那部分�����。而且與黑產的對抗是持續(xù)的��,所以砸一次還不行����,得持續(xù)的砸,直到黑產覺得破解你這個的成本有點高�����,它才會覺得沒什么賺頭�,拍拍屁股走人。有些人可能想��,我直接用最嚴的策略防不就行了��?做風控可以這么想���,但是老板和運營應該會想打死你����,要是連真實用戶都誤殺了���,生意還做不做了�����?所以前面講到��,業(yè)務和風控是需要緊密結合的��,需要找到一個平衡點�����,就像機會成本����,它是動態(tài)的、要隨時作出選擇���。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯網舉報中心
網絡舉報APP下載
