極驗GeeTest：營銷活動中的黑產薅羊毛分析報告（12頁）.pdf

1、2022營銷活動中的黑產薅羊毛分析報告GeeTest 營銷活動中的黑產薅羊毛分析報告Product Brief營銷活動中的黑產薅羊毛分析報告Product B一、報告概述01二、活動數據總覽01三、活動用戶分布03?年齡分?設備分?地域分布四、活動數據分析07?參與時間維?參與次數維?邀請關系維?驗證耗時維?驗證行為維度五、行為驗的攔截趨勢10六、總結10目錄營銷活動中的黑產薅羊毛分析報告Product Brief網絡黑產，通常指利用互聯網技術實施網絡攻擊、竊取信息、勒索詐騙、盜竊錢財等網絡違法行為，以及為這些行為提供工具、資源、平臺和非法獲利變現的渠道與環節。常見的形式有垃圾注冊、薅羊毛、黃

2、牛刷單、虛假內容引流、數據非法售賣等。根據艾瑞咨詢2020年發布的現代網絡詐騙分析報告，全國黑產從業者已經超過40萬人，依托其進行網絡詐騙的行業人數至少有160萬人，“年產值”在1000億元以上。以營銷活動中大家熟知的薅羊毛為例，潛伏在我們四周的“羊毛黨”會第一時間瞄準紅包、優惠券，搶奪平臺資源，使營銷活動無法觸達真實用戶，給企業造成巨額損失。為了解黑產薅羊毛究竟有多大的規模及危害，業務安全公司極驗首創了一個真實的“人與黑產對抗”的活動（Geetest 抽卡），通過模擬運營方案，發放愛奇藝會員月卡作為獎勵，吸引真實 C 類用戶以抽卡兌獎的形式來參與活動。同時，黑產也聞訊而至，開始和用戶來搶奪資

3、源。Geetest 抽卡活動共持續10天（2022年10月22日-2022年10月31日），每天10：00開始抽卡，卡片分人物卡、機器人卡和炸彈卡三種。每個賬號每天共9次抽卡機會，每邀請一位好友參與可增加9次抽卡機會。集滿6張機器人卡自動合成一張人物卡，集滿4張人物卡即可兌換獎勵。10月27日，極驗開始設置驗證碼防護來平衡用戶的便捷性和黑產的安全性，并將真實的活動數據公開，體驗在真實的營銷活動中，將有多少資源被黑產薅走。一、報告概述二、活動數據總覽營銷活動中的黑產薅羊毛分析報告Product Brief從10月22日至10月31日，累計參與用戶9725503人，領獎用戶30000人。10月25

4、日，日訪問量達到頂峰。日訪問次數 41.79 萬10.25增加了行為驗證10.27共 166.44萬真人參與10.25共 23.23萬黑產參與10.27共 4.02萬黑產參與10.25真人領獎 654 次10.25黑產領獎 2346 次10.25增加了行為驗證10.2710月25日，參與抽卡的黑產數量只占抽卡總數的2.36%，但被黑產領取的獎勵卻占獎勵總數的63.2%。02營銷活動中的黑產薅羊毛分析報告Product Brief三、活動用戶分布2.設備分布?年齡分布參與用戶主要以18-39歲年齡段的人群為主，其中18-24歲的參與用戶最多，占比38.39%。以抽卡形式呈現的活動趣味性較高，更容

5、易吸引年輕人的參與；且視頻會員獎勵符合年輕人的需求，黑產察覺到了變現獲利的機會，通過惡意刷量等方式，將原本發放給用戶的福利收入囊中。03營銷活動中的黑產薅羊毛分析報告Product Brief3.地域分布2022年10月22日2022年10月31日20000=20000=15000=10000=5000=1000從用戶設備畫像分析，使用 iOS（占比52.36%）和 Android（占比47.64%）平臺機型的用戶比例基本相當，但 Android 系統的設備機型大多數無法獲取具體的機型參數。相較于 iOS 封閉的系統環境，Android 生態更適合黑產在設備上效率最大化。以過往和黑產對抗經驗來

6、看，大部分工作室、黑產團伙會更改設備配置、篡改設備系統參數，偽裝成一部新的設備，從而躲避風控工具的檢測；此次活動交叉數據顯示大部分有模擬器、群控設備嫌疑的數據均未獲取到具體的機型參數。從用戶地域分布來看，沿海地區的參與度普遍更高，如廣東、浙江、上海、江蘇、福建等。來自廣東的用戶占15.49%，來自浙江的用戶占9.07%。這些省份資源匯集，有更多的發展機會，因此年輕人占比更多，對于此類抽卡活動的參與度也更高。用戶地域畫像04營銷活動中的黑產薅羊毛分析報告Product Brief從黑產地域分布來看，經濟發達的沿海地區遭受自動化攻擊的比例也更高。1000500010000506332022年10月

7、22日2022年10月31日數據顯示，正常用戶與黑產在參與時間、抽卡頻次、邀請人數、驗證失敗次數及驗證耗時方面的表現均有差異。4.活動引流方式分布黑產地域畫像05營銷活動中的黑產薅羊毛分析報告Product Brief本次活動新參與的用戶主要來自群聊分享，群聊分享是裂變類活動獲取新用戶最普遍最有效的方式；從黑產變現角度來看，運營大量的微信群，逐漸建立起私域流量，會加大變現效率和收益。06營銷活動中的黑產薅羊毛分析報告Product Brief抽卡活動每天10:00后方能參與，而接口日志顯示，部分請求在10:00前已經發出。正常用戶一般不會在無效時間發起抽卡，提前請求的這一行為非常吻合定時腳本的

8、運作特征，提前啟動，在時間上保障效率最大化。數據顯示，正常用戶與黑產在參與時間、抽卡頻次、邀請人數、驗證失敗次數及驗證耗時方面的表現均有差異。四、活動數據分析1.參與時間維度2.參與頻次維度IP最早抽卡時間最晚抽卡時間223.xxx.xx.212022/10/23 00:02:272022/10/23 13:39:01218.xxx.xxx.412022/10/23 00:16:492022/10/23 12:51:30224.xxx.xxx.572022/10/23 02:41:322022/10/23 14:18:4659.xxx.xxx.2242022/10/23 03:12:15202

9、2/10/23 15:31:19184.xxx.xxx.1042022/10/23 06:47:022022/10/23 16:08:2207營銷活動中的黑產薅羊毛分析報告Product Brief活動規則規定機器人只能抽到機器卡，6張機器卡自動合成一張任務卡。因此，黑產想要集齊4張人物卡兌換獎勵，需要每天抽24次；而正常用戶每天只需要抽15次以內。為了獲取更多的抽卡次數，相比正常用戶，黑產會想方設法邀請更多的下級用戶來增加抽卡次數。隨著群體的擴大，黑產內部也越來越有組織性，分工越來越明確。3.邀請關系維度真實用戶黑產真人與黑產抽卡次數對比08營銷活動中的黑產薅羊毛分析報告Product Br

10、ief根據驗證耗時來看，黑產的驗證時長普遍高于正常用戶；模型最復雜的驗證形式，黑產完成驗證耗時在5-6秒；正常用戶在3秒左右。10月27日，極驗開始在兌獎環節設置驗證碼防護，只有成功通過驗證碼才能領取獎勵。數據顯示，黑產驗證失敗的普遍次數是4-5次；正常用戶驗證失敗的普遍次數是0-1次。4.驗證耗時維度5.驗證行為維度縱坐標：真人/黑產數量；橫坐標：驗證通過時長縱坐標：真人/黑產數量；橫坐標：驗證失敗次數09營銷活動中的黑產薅羊毛分析報告Product Brief五、行為驗的攔截趨勢六、總結10月22日至10月26日，在不設置任何防御的情況下，越來越多的黑產加入到這場資源爭奪大戰，共薅取了40

11、.54%的獎勵。10月26日，被黑產領取的獎勵高達78.2%。從10月27日起，極驗在領獎環節增加了行為驗證防護，真人與黑產的領獎數據也開始發生了變化：27日、28日黑產領獎數驟降，驗證碼防護效果初見成效。然而，10月29日，黑產領獎數再次回升。為了平衡用戶體驗，極驗升級了驗證模式策略：面對有風險的請求，驗證AI大腦會自動強化對抗策略，如動態切換驗證形式、自動更新視覺模型等。動態變化的驗證碼模型給黑產帶來極大的挑戰，增加了破解成本和時間，攔截能力提升。升級驗證模型策略后，最后兩天的黑產領獎數再次降低。10月31日，黑產領獎數僅占領獎總數的3.1%。黑產都是無效的機器流量，給企業造成直接損失的同時，還會破壞業務平衡，給真實用戶造成糟糕的體驗?；ヂ摼W63%的流量來自自動化程序腳本產生，每年將給企業造成數億的經濟損失。在不加以防御的營銷活動中，絕大部分資源都會被黑產薅走。因此，各行業都應該提高警惕，提前部署好安全防御措施，避免活動過程中遭遇黑灰攻擊形成巨額損失。精準全面的全棧式風控，才能保障業務免受攻擊，極驗提供分析、處置、決策全流程風控系統，通過行為、設備、身份三個維度建立風控模型，為客戶保駕護航。增加了行為驗證10.27加大了驗證難度10.2910