生鲜电商拉新场景业务安全测评报告

当前位置鱼摆摆网 > 资讯 >

生鲜电商拉新场景业务安全测评报告

公众号：永安在线反欺诈作者：永安在线 2020-05-15 15:26

前言

新人福利几乎是互联网营销活动的标配，主要用来获取新客，并期望他们当中有一定的比例转换为长期用户，为平台带来持续的流量和收益。熟悉行业的业务团队都会对转化率有所预估，通常这个数值会在一定的范围内小幅度波动。

实际环境中却有可能出现这样的局面，加大活动投入后，注册量陡然增高，转换率却出现降低。这是由于活动力度的增加大幅提高了羊毛党的关注度，导致其注册增长速度高于正常用户，而羊毛党的转化率为0，最终拉低转化率，增加营销损耗。

羊毛党作为电商行业或者说所有线上营销活动最熟悉的“客人”之一，在平台发展的不同时期，不同的活动类别下，制造着不同种类的风险：

1、大力拉新阶段可能带来无端的机会成本损失和经费损失

电商营销活动分很多种情况，有时活动的目的是赚取曝光或是清理库存等等，这些活动对羊毛党的容忍度其实相对较高，前者是因为经费固定不变，目标主要是高曝光度，有无羊毛党都可达成目的，后者由于羊毛党也产生实际消费，加快了库存清空的速度，可以容忍他们存在。

但大力拉新期间的新人福利不太一样，目标是增加客户，或者说增加长期客户的数量、抢占市场份额等，若羊毛党占比过高，会实实在在地损失经费和机会成本。尤其同期有其他平台竞争，损耗将直线上升，迅速淘汰掉耗不起的公司。这其中“给用户的福利额度”将和“获取正常客户需要浪费给羊毛党的比例”共同决定损耗的具体速度。

2、平稳运营阶段，“代下”模式可能成为新人福利转化长期福利的作弊入口

代下模式常见于无法使用虚拟商品变现的长期线上活动中，比如生鲜、外卖等不利于直接变现的实体商品。代下群主会组织多个有大量正常用户的群，按照一定的折扣通过伪造新人账号为“老客户”代下订单，赚取与新人减免福利的差价。与羊毛相同，这部分也是只消耗不转化的恶意流量。

“代下”通常是“平台察觉作弊手法→平台修补→恶意代下群体找到新作弊手法→平台察觉作弊手法……”周期往复的长期战争。

3、对于竞争对手，羊毛党是提高竞争力的一股反向力量

诸如羊毛、代下等类型的攻击作弊团伙通常具有非常高的流动性，会受到不同平台活动力度、攻击难度因素的影响，在各个平台间流动作恶，当我们试图通过营销活动抢占市场时，羊毛党是一股反向力量，在我们防护策略造成攻击难度增高时，将会攻击我们的竞争对手，同理，我们较弱相对更容易时，也同样会从竞争对手那里流回。

根据不同时期的整体目标，我们通常会建议客户从以下三个角度思考调整防护处置：

▪资源成本：

网络黑产发展至今，已经形成了上下游分级协作的资源服务供应生态，诸如羊毛党这样的攻击并非是一个人或一个团伙一条龙完成，而是向上下游购买IP、设备信息、手机号码、实名信息、支付账号等等资源后实施攻击。和其他行业的供应链一样，不同质量层次的资源价格高低有别，甚至一些特定资源只有某些大型团伙才有能力获取。合理的规则设置，可以立竿见影的从资源角度提高攻击成本或限制攻击，进而降低攻击流量的占比。

▪时间成本：

时间成本从攻击团伙角度通常体现在制作账号、试验风控规则需要花费的时间上，在攻击流程合适的点上做出限制，能够增加时间成本或攻击复杂度，降低攻击效率，从而控制攻击流量。

▪变现渠道特征：

电商通常分为虚拟商品和实体商品变现两大类，实体商品变现又分为“硬通货”变现与代下单模式。不同的变现渠道，渠道的大小、分成、变现能力与限制均不同，这些都是决定攻击团伙盈利规模的关键因素，反过来可以帮助我们推算黑产从平台薅走多少，才能支撑盈利，从而确定合理的处置方案降低黑产盈利、提高黑产成本的同时避免过度作为、浪费资源。

测试场景及标准说明

疫情期间，国家与人民共同付出了巨大的代价，众志成城、坚守抗击。尽量居家的建议，让生鲜电商成为了人们生活中重要的伙伴，用户人数和使用频率都极速增加。本次业务安全横评选取了四家排名靠前最为主流的生鲜电商平台：叮咚买菜、盒马生鲜、每日优鲜、美团买菜（按照首字母顺序排序），从网络黑产关注度、攻击投入产出比、攻击效率、团伙规模、黑产资源供给链成熟度等多方面综合分析。意在为大家提供不同的视角，评估拉新营销场景下业务安全遭受的风险与挑战。

各维度评分在可成功薅羊毛的基础上进行计算，某活动可成功薅羊毛的判定标准是攻击可做到批量自动化。横评的测试过程只验证批量自动化，不做过度测试。测评中涉及的各平台可联系我们免费获取相关黑产情报及测试细节。

声明

本次横向评价是基于2020年03月20日 ~ 2020年04月10日期间以上各生鲜电商平台拉新类活动进行的，也仅限定在这个时间场景，请勿做上升解读。

请勿以任何方式复制或抄袭本文的部分或全部内容，未经同意请勿转载，侵权必究。

一

概述

上文提到过营销活动中黑产常见的三种模式变现——虚拟商品、粮油纸巾手机等“硬通货”实体商品以及代下单模式。由于生鲜电商实体商品通常分区备货，数量有限，很难实现利用实体商品变现渠道规模化的薅羊毛变现，长期来看，主要风险为网络黑产伪造新人账户，将新人福利变为长期福利，代下模式盈利。以下各维度涉及盈利值的情况均按照代下单场景计算。

本篇测评选择了新人满减券作为测试场景，若某平台新人满减券的攻击产出为负，则选择同平台拉新场景下的助力薅现金等活动。

业务安全健壮性评分（Interaction Security Robustness Score）是一套通过综合计算攻击成本、效率、收益以及攻击流量在业务流量中的占比等指标得出的评分，用以体现一项业务活动（或功能）面对互联网黑产抵御攻击的能力，分值越高，健壮性越高。

ISRS计算公式：

子指标评分细节请参看第二章，根据计算公式得出各平台ISRS值如下：

叮咚买菜ISRS=11.58，盒马生鲜ISRS=32.60，每日优鲜ISRS=26.36，美团买菜ISRS=20.59。如图为2020年第一季度各平台在黑产舆情中代下话题的热力统计，能够一定程度体现黑产的关注度，通常黑产的关注度与ISRS的数值呈反比。

以下为针对生鲜电商的网络黑产关注度、攻击投入产出比、攻击效率、团伙规模、黑产资源供给链成熟度等维度的详细情况。

二

多维横评

2.1、攻击消损比ACL

攻击消损比（Attack Cost on Loss）描述平台迫使攻击黑产付出的消耗占比平台带给黑产盈利（平台损失）的情况。它决定了测试项对黑产从业群体的吸引程度，用以描述黑产攻击门槛的高低。值越高，黑产关注度越低，攻击带来的盈利越低，活动越安全。

如图为各平台代下单场景下ACL的对比图，其中横坐标为券额比，体现活动优惠力度，纵坐标为平台遭受攻击的消损比，评分越低，羊毛党的关注度越高。平行于横坐标的红色标记线为ACL=0.45，是代下单场景的损害临界值，我们认为消损比低于此数值时，羊毛党将开始迅速增长。

电商（利用虚拟/实体商品变现）行业的羊毛党从业人数大约在82w ~ 96w（2020年03月估算），其中叮咚买菜消损比小于临界点0.45，且券额比较高，其新人券活动将在羊毛党群体中保持一定热度；每日优鲜ACL略高于0.45，但由于券额比控制的很小，对羊毛党的吸引程度较低；美团买菜券额比适中，ACL最高，对羊毛党吸引度很小；盒马生鲜券额比最高，但由于攻击成本很高，最终的ACL很高，原本攻击阿里系的相关团伙，可能会对其“顺带”发起攻击，在当前活动下，几乎不会有团伙选择单独攻击盒马生鲜。

ACL计算详情：

约定迫使黑产产生的总损失为AC、平台损失（带给黑产的盈利）为L。并根据实际情况作出以下假设：

（1）团伙规模：成本与盈利均按照团伙为单位进行计算。代下单团伙多数为中小团伙，成本技术门槛较低。采用分层抽样统计后得出每个团伙每天平均进行81次攻击。已去除极小团伙和个人单次攻击的数据，消除数据误差等的影响。实际环境中，攻击团伙攻击时间是跟随活动力度、攻击难度和变现渠道大小变化的，而非每天进行攻击，即攻击时间内，每日攻击次数可能远高于81次，但其余时间非常低。由于此处主要目标是计算投入产出比，直接选择平均值进行计算（数据取样自2020-01-01 ~ 2020-03-31生鲜电商行业的恶意注册流量等数据）。

（2）攻击成本：攻击成本包含直接资源成本、时间运营成本、法律成本、渠道成本等多方面。其中时间运营和渠道等是造成团伙规模差异的原因，放置到后文的团伙规模模块予以体现。ACL模块中仅计算带给黑产的直接成本，即黑产攻击购买资源的成本。攻击中的资源成本按照类型分为单次投入成本和消耗型成本。单次投入的成本包括攻击设备、攻击脚本等，指购买后多次使用，并非每次攻击都需要新购的资源成本，它会随着攻击次数的增加被边际化。消耗型成本指账号、代理IP等每次攻击都需要更换的资源成本。两种资源成本的判定标准是该项是否随着攻击次数的增加需要同比例多次购买，如攻击设备是单次成本，但若此处设备为团伙租用，则须计算入消耗性成本。消耗性成本又分为按时间付费和按次付费。对于按照时间付费的部分，在估算中取值7天，能够较合理地将这些成本分摊到每次攻击上，与实际环境中类似，降低ACL的计算误差。

（3）变现方式：代下团伙会通过交换、购买等方式积累“客户群”，也会将教程和账号售卖给“兼职”、“代理”，由这些代理通过朋友圈等宣传，代下赚取差价，此处根据常见情况，假设攻击团伙70%的账号通过代下变现，30%的账号以倒卖形式变现。由于实际过程中，受限于接码平台手机号质量、网络等原因，存在消耗成本但账号不可用的情况，以及注册账号未能及时在平台活动期间变现的情况等，故假设该团伙存在5%的账号损耗。

基于以上假设，计算得出各厂商代下场景的ACL：

2.2、攻击效率AE

攻击效率AE（Attack Efficiency）描述当前黑产的攻击效率对收益产出的影响情况，用以体现黑产单位时间可以对测试项活动造成损害的能力。黑产的攻击效率越高，平台此模块评分越低，遭受的损失倾向于更大。

攻击效率评分用以表现攻击效率对盈利产出的影响，在营销活动拉新场景下以上各平台攻击效率仅处于中等水平，但在代下场景中，变现能力主要取决于下游渠道的大小，各平台当前的攻击效率足以支撑变现的速度，对收益产出的影响较小，参照“攻击效率评分表”得出以下评分。

2.3、团伙规模&攻击流量占比ATR

攻击流量占比ATR（Attack Traffic Ratio）描述攻击流量占总体业务流量的比例，帮助估算羊毛党造成的损害，在横评中使用实际攻击流量数据进行计算。如下图为主要生鲜电商平台在2020年第一季度遭受攻击的情况。攻击流量越高，平台面临的风险越大，平台此模块评分越低。

代下场景的风险与攻击规模是伴随着平台成长而逐年增长的，外卖行业是代下类羊毛的主要攻击行业之一。如下图为外卖行业与上文8家（未将淘宝数据计算入内）生鲜电商受攻击情况对比。需要警惕的是：

羊毛党关注度跟随平台用户的增长而增加：变现出口的大小是决定羊毛党关注度的重要因素，而变现出口某种程度上会与平台用户增长保持一样的速度，即平台成长，用户数量增多，需要代下单的“客户”增多，变现出口变大，羊毛党关注度升高。如上图当前处于稳定发展阶段的头部外卖平台也“稳定地”吸引着相关攻击流量。

代下场景中的攻击团伙具有高流动性，生鲜平台将面临数十倍于当前的攻击者：由于代下场景攻击套路基本一致，且攻击门槛与难度偏低，除去代下“客户”群体的大小外，活动力度是决定攻击者关注度最重要的因素之一。当前攻击外卖行业的攻击者也可以便利地对生鲜平台发起攻击，并且这个群体在与外卖平台风控的数年的相爱相杀后，早已积累了丰富的绕过技巧。处在旺盛生长阶段的生鲜行业也将很快面临这些数十倍与当前的潜在攻击者。

此处使用10分制攻击流量占比记作ATR数值，叮咚买菜ATR=10-5.91=4.09，盒马生鲜ATR=10-1.03=8.97（使用淘宝数据替代，相当于最大化估算，实际情况将小于此值），每日优鲜ATR=9.89，美团买菜ATR=9.97。

2.4、攻击项产生的额外价值EV

攻击产生的额外价值EV（Extra Value）用于描述攻击产生额外价值的大小，如一些社交支付账号带来的引流洗钱等能力，攻击产生的额外价值越大，稳定攻击测试项的团伙越多，平台面临的长期风险越高，此模块评分越低。

代下场景中可能具备额外价值的主要是账号，参考“账号额外价值评分参照表”，各平台额外价值如下：

得出评分：叮咚买菜及每日优鲜EV=7，美团买菜EV=6，盒马生鲜EV=3。

2.5、上游供给链成熟度和稳定度SCS

网络黑产发展至今，已经形成了上下游分级协作的资源服务供应生态，诸如代下这样的攻击并非是一个人或一个团伙一条龙完成，而是向上下游购买IP、设备信息、手机号码、实名信息、支付账号等等资源后实施攻击。和其他行业的供应链一样，不同质量层次的资源价格高低有别，甚至一些特定资源只有某些大型团伙才有能力获取。

上游供给链成熟度和稳定度SCS（Supply Chain Stability）用于描述测试项攻击中所依赖的上游资源自身的成熟稳定度，稳定度越高，上游变化对攻击产生的影响越小，平台面临的长期风险越高，此模块评分越低。参考“攻击资源供给链成熟度评分参照表”，各平台代下场景所需资源及其稳定度如下：

得出评分：叮咚买菜SCS=2，盒马生鲜SCS=5，每日优鲜SCS=1，美团买菜SCS=1。

三

综合评价及建议

五维图将各指标切换为十分制后绘制，整体面积越大，该场景下的业务安全健壮性越高。

叮咚买菜：

手机号码获取渠道较不稳定，无法直接使用接码平台常见号码，需要特殊的私接渠道，将手机号维度攻击成本提高了2~4倍。

手机号判别处置的信号较明显，攻击者能够从是否触发语音验证等快速判断卡源是否可用，整体手机号维度可以过滤掉初级小白，但仍可以吸引很多代下场景的长期团伙。

券额较高是吸引黑产的主要原因。

严格限制了新人券的使用时间，能够良好地避免了黑产囤号，修改相关规则后不会留下历史遗留问题。

在设备识别维度攻击者的绕过成本较低。

盒马生鲜：

券额设置很高，但由于账号获取门槛高，提高了攻击团伙的资源门槛，降低了攻击收益，只针对盒马的小型团伙将非常少。

阿里系账号的额外价值很高，针对淘宝和支付宝的攻击会时有动态波动，但持续会有大型团伙长期关注。活动合适时，一些团伙将通过跳转的方式顺带攻击阿里系下的其他APP。

每日优鲜：

手机号等相关资源获取门槛较低，但由于券额设置很低，攻击流程复杂，攻击收益很低，攻击团伙关注度不高。

拉新助力类活动高度依靠微信，大幅提高了作弊成本，进一步以压低了攻击收益。

美团买菜：

判黑信号模糊，美团买菜并未在注册、发券环节对账号做出信号明显的限制，只有到支付环节，才知道账号能不能使用优惠券后付款，模糊了焦点，攻击团伙走到支付环节已经使用了的黑产资源有手机号、改机、代支付账号等，可能是任意一个环节没有通过风控规则，大幅增加了黑产排除试验的成本。

美团买菜的账号与美团系账号通用，美团系是代下场景攻击的主要行业的主要目标之一，当活动合适时，可能出现攻击团伙一号多用的局面，攻击的资源成本将被拉低。

生鲜电商基本为区域配货，使用虚拟商品和实体商品变现相对不太容易，长期来看“代下”将是主要的风险和问题。针对生鲜电商活动的特点以及黑产攻击流程的特点，可从以下几个方面提升攻击门槛，整体控制攻击的量级：

1、模糊判黑信号，在核心矛盾点周围设限，放宽其他流程节点的限制：代下场景的风险规避目标是，降低羊毛党作弊消耗新人福利。核心点是限制羊毛党“用券”，那么除使用优惠券以外的流程可以仅识别标记不限制。如，在账号注册环节，系统通过手机号、IP信誉库静态规则匹配，判定为高危作恶，但允许其注册，甚至发放新人优惠券，并允许其支付购买商品，但在跳转至付款时提示账号异常不允许使用优惠券，仅可以直接下单。类似这样的做法好处有二：

（1）提升了攻击者的试验周期及复杂度，到支付环节为止攻击团伙已经使用了黑卡资源、IP资源、改机资源以及代支付账号资源等多个伪造账号用途的非自然人资源，攻击团伙无法直接判断出是哪一个环节被识别，甚至可能是多个环节被识别判黑，试验难度和复杂度变高，且单次试验的流程被拉长，试验过程中也需要消耗相关资源，增高了试验成本；

（2）另一方面我们可以收集多维的黑数据。如，我们是在注册环节通过手机号和IP识别标记风险的，但我们可以在剩余流程环节中收集其他维度的恶意数据，如尝试提取恶意代支付账号特征、恶意设备指纹特征等，用于优化系统当前的识别方案以及复盘过程中识别更多黑色流量。

2、模糊判黑原因：对于非用户相关的异常提醒，尽量模糊原因，避免黑产直接定位到问题资源，包含报错的提示语，以及统一的验证方式，如对于某一环节异常统一要求语音验证等，可结合第一点，验证置后。

3、结合黑产资源特征拉高攻击成本：手机号，注册和后续验证采取不同方式，一个语音，一个短信

二次验证：基础渠道的黑卡掌握在接码平台的卡商手中，在线时间随机（手机黑卡供应链的盈利情况是：卡商通过猫池设备统一管理手机卡收发短信，猫池设备数量是有限，一批卡源占用有限的猫池端口，随着时间推移，可以注册的平台将逐渐减少，而卡商与接码平台是通过项目个数 [手机号用于注册某平台，则称某项目，项目数量即这张卡注册的平台个数] 结算的，可注册的项目数量会直接影响卡商的收益，故卡商会通过频繁换卡，让手里的卡源轮流在线来达到收益最大化，这就是羊毛党注册后有时无法第二次取到同一个号码验证码的原因，该手机卡当时没有插入猫池。），若平台要求再次验证手机号，随着时间的推移（距离首次注册），羊毛党有30% ~ 60% 以上的概率无法再次接收相同手机号的验证码，账号作废率很高。对于注册作恶中间有养号环节以及针对固定日期大型促销活动的囤号，可利用此特征，对攻击团伙造成不小的账号损耗。

羊毛党通过沟通卡商可以解决二次验证问题——黑卡的生命周期是3个月 ~ 1年，羊毛党可以沟通卡商重新上卡或是注册前预先约定卡源在线时间来解决二次验证问题。但这并不意味着二次验证是无效的。上小节提到卡商会频繁换卡来达到收益最大化，所以卡商约定在线时长（某一批卡源固定占用部分猫池设备）时，会通过提高取号单价来保证收益。这对于作为供应方的卡商来说是符合盈利需求的，但对于下游羊毛党来说取号成本将是原来的2 ~ 10倍，618和双十一等大促活动时通常还会再提升2~5倍。当单个账号的盈利降低时，羊毛党通常需要以量取胜保证总收益，对于一些设备数量有限的小团伙就可能由于收益过低放弃攻击，转而寻找LOS更高的平台进行攻击。小团伙的特征是规模小但数量多，提升攻击成本至此类小型团伙流走，攻击量级同样会大幅降低。

不同的卡类型：如短信验证和语音验证背后的黑卡其实是不同的卡源，开放语音功能的卡由于可能会流至电信诈骗，风险较高，只有某个圈子内固定的卡商可以出卡，质量与价格高于短信卡，短信卡无法接收语音验证，也就是说如果注册时要求短信验证，而消费时可能会触发语音验证，那么两次验证攻击团伙都必须使用同一张语音卡。对于下游攻击团伙来说，语音二次卡的总体拿卡渠道窄，价格高，找卡和消费成本均得到提高。

第三方跳转：三方跳转号是一种常见的批量恶意注册账号，对于实名要求不严格，可批量注册小号类型的第三方平台，用户使用其账号跳转登录后，需增加额外的规则验证。

4、增加黑产攻击的运营流程

如二次验证造成的随机账号损耗，是一种高运营成本，自动化脚本需要额外写容错部分，且运行浪费时间，如果倒卖账号流转到下游需要售后人力给下游补号，并非无法攻击，只是很多团伙会嫌“麻烦”选择其他不需要这些额外运营的项目。

商品页部分随机变动，动态加载随机的推荐商品、随机弹出提醒页等，都是增加运营成本的方式。

本报告意在为大家提供不同的视角，评估拉新营销场景下业务安全遭受的风险与挑战。读者有任何意见建议与想法，都欢迎随时与我们讨论。