永安在線：生鮮電商拉新場景業務安全測評報告（(19頁).pdf

1、 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 生生鮮電商拉新場景業務安全測評報告鮮電商拉新場景業務安全測評報告 出品方出品方：鬼谷鬼谷實驗室實驗室 版權所有：深圳永安在線科技有限公司 2 數據來自永安在線數據來自永安在線 目錄 前言 . 3 一、 概述 . 6 二、 多維橫評 . 7 2.1、 攻擊消損比 ACL . 7 2.2、 攻擊效率 AE . 10 2.3、 團伙規模&攻擊流量占比 ATR . 11 2.4、 攻擊項產生的額外價值 EV . 13 2.5、 上游供給鏈成熟度和穩定度 SCS . 13 三、 綜合評價及建議 . 14 版權所有：深圳永安在線科

2、技有限公司 3 數據來自永安在線數據來自永安在線 前言前言 新人福利幾乎是互聯網營銷活動的標配，主要用來獲取新客，并期望他們當中有一定的比 例轉換為長期用戶，為平臺帶來持續的流量和收益。熟悉行業的業務團隊都會對轉化率有所預 估，通常這個數值會在一定的范圍內小幅度波動。 實際環境中卻有可能出現這樣的局面，加大活動投入后，注冊量陡然增高，轉換率卻出現 降低。這是由于活動力度的增加大幅提高了羊毛黨的關注度，導致其注冊增長速度高于正常用 戶，而羊毛黨的轉化率為 0，最終拉低轉化率，增加營銷損耗。 羊毛黨作為電商行業或者說所有線上營銷活動最熟悉的“客人”之一，在平臺發展的不同 時期，不同的活動類別下，制

3、造著不同種類的風險： 1、大力拉新階段大力拉新階段可能帶來可能帶來無端無端的的機會成本機會成本損失損失和經費損失和經費損失 電商營銷活動分很多種情況，有時活動的目的是賺取曝光或是清理庫存等等，這些活動對 羊毛黨的容忍度其實相對較高，前者是因為經費固定不變，目標主要是高曝光度，有無羊毛黨 都可達成目的， 后者由于羊毛黨也產生實際消費， 加快了庫存清空的速度， 可以容忍他們存在。 但大力拉新期間的新人福利不太一樣，目標是增加客戶，或者說增加長期客戶的數量、搶 占市場份額等，若羊毛黨占比過高，會實實在在地損失經費和機會成本。尤其同期有其他平臺 競爭，損耗將直線上升，迅速淘汰掉耗不起的公司。這其中“給

4、用戶的福利額度”將和“獲取 正?？蛻粜枰速M給羊毛黨的比例”共同決定損耗的具體速度。 2、平穩運營階段，平穩運營階段，“代下代下”模式可能模式可能成為成為新人福利新人福利轉化轉化長期福利長期福利的的作弊入口作弊入口 代下模式常見于無法使用虛擬商品變現的長期線上活動中，比如生鮮、外賣等不利于直接 變現的實體商品。代下群主會組織多個有大量正常用戶的群，按照一定的折扣通過偽造新人賬 號為“老客戶”代下訂單，賺取與新人減免福利的差價。與羊毛相同，這部分也是只消耗不轉 化的惡意流量。 “代下”通常是“平臺察覺作弊手法平臺修補惡意代下群體找到新作弊手法平臺察 覺作弊手法”周期往復的長期戰爭。 版權所有：深

5、圳永安在線科技有限公司 4 數據來自永安在線數據來自永安在線 3、對于競爭對手，對于競爭對手，羊毛黨是提高競爭力的一股反向力量羊毛黨是提高競爭力的一股反向力量 諸如羊毛、代下等類型的攻擊作弊團伙通常具有非常高的流動性，會受到不同平臺活動力 度、攻擊難度因素的影響，在各個平臺間流動作惡，當我們試圖通過營銷活動搶占市場時，羊 毛黨是一股反向力量， 在我們防護策略造成攻擊難度增高時， 將會攻擊我們的競爭對手， 同理， 我們較弱相對更容易時，也同樣會從競爭對手那里流回。 根據不同時期的整體目標，我們通常會建議客戶從以下三個角度思考調整防護處置： 資源成本資源成本： 網絡黑產發展至今，已經形成了上下游分

6、級協作的資源服務供應生態，諸如羊毛黨這樣的 攻擊并非是一個人或一個團伙一條龍完成，而是向上下游購買 IP、設備信息、手機號碼、實名 信息、支付賬號等等資源后實施攻擊。和其他行業的供應鏈一樣，不同質量層次的資源價格高 低有別，甚至一些特定資源只有某些大型團伙才有能力獲取。合理的規則設置，可以立竿見影 的從資源角度提高攻擊成本或限制攻擊，進而降低攻擊流量的占比。 時間成本時間成本： 時間成本從攻擊團伙角度通常體現在制作賬號、試驗風控規則需要花費的時間上，在攻擊 流程合適的點上做出限制，能夠增加時間成本或攻擊復雜度，降低攻擊效率，從而控制攻擊流 量。 變現渠道特征變現渠道特征： 電商通常分為虛擬商品

7、和實體商品變現兩大類，實體商品變現又分為“硬通貨”變現與代 下單模式。不同的變現渠道，渠道的大小、分成、變現能力與限制均不同，這些都是決定攻擊 團伙盈利規模的關鍵因素，反過來可以幫助我們推算黑產從平臺薅走多少，才能支撐盈利，從 而確定合理的處置方案降低黑產盈利、提高黑產成本的同時避免過度作為、浪費資源。 測試場景及標準說明測試場景及標準說明 疫情期間，國家與人民共同付出了巨大的代價，眾志成城、堅守抗擊。盡量居家的建議， 讓生鮮電商成為了人們生活中重要的伙伴，用戶人數和使用頻率都極速增加。本次業務安全橫 版權所有：深圳永安在線科技有限公司 5 數據來自永安在線數據來自永安在線 評選取了四家排名靠

8、前最為主流的生鮮電商平臺：叮咚買菜、盒馬生鮮、每日優鮮、美團買菜 （按照首字母順序排序），從網絡黑產關注度、攻擊投入產出比、攻擊效率、團伙規模、黑產 資源供給鏈成熟度等多方面綜合分析。意在為大家提供不同的視角，評估拉新營銷場景下業務 安全遭受的風險與挑戰。 各維度評分在可成功薅羊毛的基礎上進行計算， 某活動可成功薅羊毛的判定標準是攻擊可 做到批量自動化。橫評的測試過程只驗證批量自動化，不做過度測試。測評中涉及的各平臺可 聯系我們免費獲取相關黑產情報及測試細節。 聲明聲明 本次橫向評價是基于 2020 年 03 月 20 日 2020 年 04 月 10 日期間以上各生鮮電商平臺 拉新類活動進行

9、的，也僅限定在這個時間場景，請勿做上升解讀。 請勿以任何方式復制或抄襲本文的部分或全部內容，未經同意請勿轉載，侵權必究。 版權所有：深圳永安在線科技有限公司 6 數據來自永安在線數據來自永安在線 一、一、概述概述 上文提到過營銷活動中黑產常見的三種模式變現虛擬商品、 糧油紙巾手機等 “硬通貨” 實體商品以及代下單模式。由于生鮮電商實體商品通常分區備貨，數量有限，很難實現利用實 體商品變現渠道規?；霓堆蛎儸F，長期來看，主要風險為網絡黑產偽造新人賬戶，將新人 福利變為長期福利，代下模式盈利。以下各維度涉及盈利值的情況均按照代下單場景計算。 本篇測評選擇了新人滿減券作為測試場景，若某平臺新人滿減

10、券的攻擊產出為負，則選擇 同平臺拉新場景下的助力薅現金等活動。 業務安全健壯性評分（Interaction Security Robustness Score）是一套通過綜合計算攻擊成 本、效率、收益以及攻擊流量在業務流量中的占比等指標得出的評分，用以體現一項業務活動 （或功能）面對互聯網黑產抵御攻擊的能力，分值越高，健壯性越高。 ISRS 計算公式： = ACL AE ATR + + 子指標評分細節請參看第二章，根據計算公式得出各平臺 ISRS 值如下： 版權所有：深圳永安在線科技有限公司 7 數據來自永安在線數據來自永安在線 叮咚買菜 ISRS=11.58，盒馬生鮮 ISRS=32.60，

11、每日優鮮 ISRS=26.36，美團買菜 ISRS=2 0.59。如圖為 2020 年第一季度各平臺在黑產輿情中代下話題的熱力統計，能夠一定程度體現 黑產的關注度，通常黑產的關注度與 ISRS 的數值呈反比。 以下為針對生鮮電商的網絡黑產關注度、攻擊投入產出比、攻擊效率、團伙規模、黑產資 源供給鏈成熟度等維度的詳細情況。 二、二、多維多維橫評橫評 2.1、 攻擊消攻擊消損比損比ACL 攻擊消損比（Attack Cost on Loss）描述平臺迫使攻擊黑產付出的消耗占比平臺帶給黑產 盈利（平臺損失）的情況。它決定了測試項對黑產從業群體的吸引程度，用以描述黑產攻擊門 檻的高低。值越高，黑產關注度

12、越低，攻擊帶來的盈利越低，活動越安全。 如圖為各平臺代下單場景下 ACL 的對比圖，其中橫坐標為券額比，體現活動優惠力度， 縱坐標為平臺遭受攻擊的消損比，評分越低，羊毛黨的關注度越高。平行于橫坐標的紅色標記 線為 ACL=0.45，是代下單場景的損害臨界值，我們認為消損比低于此數值時，羊毛黨將開始 迅速增長。 版權所有：深圳永安在線科技有限公司 8 數據來自永安在線數據來自永安在線 電商 （利用虛擬/實體商品變現） 行業的羊毛黨從業人數大約在 82w 96w （2020 年 03 月 估算），其中叮咚買菜消損比小于臨界點 0.45，且券額比較高，其新人券活動將在羊毛黨群體 中保持一定熱度；每日

13、優鮮 ACL 略高于 0.45，但由于券額比控制的很小，對羊毛黨的吸引程 度較低；美團買菜券額比適中，ACL 最高，對羊毛黨吸引度很??；盒馬生鮮券額比最高，但由 于攻擊成本很高，最終的 ACL 很高，原本攻擊阿里系的相關團伙，可能會對其“順帶”發起 攻擊，在當前活動下，幾乎不會有團伙選擇單獨攻擊盒馬生鮮。 ACL 計算詳情： 約定迫使黑產產生的總損失為 AC、平臺損失（帶給黑產的盈利）為 L。并根據實際情況 作出以下假設： （1） 團伙規模：成本與盈利均按照團伙為單位進行計算。代下單團伙多數為中小團伙， 成本技術門檻較低。采用分層抽樣統計后得出每個團伙每天平均進行 81 次攻擊。 已去除極小團

14、伙和個人單次攻擊的數據，消除數據誤差等的影響。實際環境中，攻 擊團伙攻擊時間是跟隨活動力度、攻擊難度和變現渠道大小變化的，而非每天進行 攻擊，即攻擊時間內，每日攻擊次數可能遠高于 81 次，但其余時間非常低。由于 此處主要目標是計算投入產出比，直接選擇平均值進行計算（數據取樣自 2020-01 -01 2020-03-31 生鮮電商行業的惡意注冊流量等數據）。 0.44, 0.3157 0.51, 0.9142 0.13, 0.4544 0.29, 0.9281 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 00.10.20.30.40.50.6 消損攻擊AC

15、L比對比圖 叮咚買菜 每日優鮮 美團買菜 盒馬生鮮 消損比 券額比 版權所有：深圳永安在線科技有限公司 9 數據來自永安在線數據來自永安在線 （2） 攻擊成本：攻擊成本包含直接資源成本、時間運營成本、法律成本、渠道成本等多 方面。其中時間運營和渠道等是造成團伙規模差異的原因，放置到后文的團伙規模 模塊予以體現。ACL 模塊中僅計算帶給黑產的直接成本，即黑產攻擊購買資源的 成本。攻擊中的資源成本按照類型分為單次投入成本和消耗型成本。單次投入的成 本包括攻擊設備、攻擊腳本等，指購買后多次使用，并非每次攻擊都需要新購的資 源成本，它會隨著攻擊次數的增加被邊際化。消耗型成本指賬號、代理 IP 等每次

16、攻擊都需要更換的資源成本。 兩種資源成本的判定標準是該項是否隨著攻擊次數的 增加需要同比例多次購買，如攻擊設備是單次成本，但若此處設備為團伙租用，則 須計算入消耗性成本。消耗性成本又分為按時間付費和按次付費。對于按照時間付 費的部分，在估算中取值 7 天，能夠較合理地將這些成本分攤到每次攻擊上，與實 際環境中類似，降低 ACL 的計算誤差。 （3） 變現方式：代下團伙會通過交換、購買等方式積累“客戶群”，也會將教程和賬號 售賣給“兼職”、“代理”，由這些代理通過朋友圈等宣傳，代下賺取差價，此處 根據常見情況，假設攻擊團伙 70%的賬號通過代下變現，30%的賬號以倒賣形式變 現。由于實際過程中，

17、受限于接碼平臺手機號質量、網絡等原因，存在消耗成本但 賬號不可用的情況，以及注冊賬號未能及時在平臺活動期間變現的情況等，故假設 該團伙存在 5%的賬號損耗。 基于以上假設，計算得出各廠商代下場景的 ACL： 叮咚買菜= AC L = 99 + 81 7 (81 0.95 0.3 2.5) 7 = 0.3157 盒馬生鮮= AC L = 81 7 81 7 = 0.9142 每日優鮮= AC L = 99 7 30 + 81 7 (81 0.3 2.5) 7 = 0.4544 美團買菜= AC L = 7 (81 0.95 1.5) 7 = 0.9281 版權所有：深圳永安在線科技有限公司 1

18、數據來自永安在線數據來自永安在線 2.2、 攻擊效率攻擊效率AE 攻擊效率 AE（Attack Efficiency）描述當前黑產的攻擊效率對收益產出的影響情況，用以 體現黑產單位時間可以對測試項活動造成損害的能力。黑產的攻擊效率越高，平臺此模塊評分 越低，遭受的損失傾向于更大。 攻擊效率評分用以表現攻擊效率對盈利產出的影響， 在營銷活動拉新場景下以上各平臺攻 擊效率僅處于中等水平，但在代下場景中，變現能力主要取決于下游渠道的大小，各平臺當前 的攻擊效率足以支撐變現的速度，對收益產出的影響較小，參照“攻擊效率評分表”得出以下 評分。 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據

19、來自永安在線 2.3、 團伙規模團伙規模&攻擊流量占比攻擊流量占比ATR 攻擊流量占比 ATR（Attack Traffic Ratio）描述攻擊流量占總體業務流量的比例，幫助估 算羊毛黨造成的損害，在橫評中使用實際攻擊流量數據進行計算。如下圖為主要生鮮電商平臺 在 2020 年第一季度遭受攻擊的情況。攻擊流量越高，平臺面臨的風險越大，平臺此模塊評分 越低。 本來生活, 7.49% 叮咚, 59.15% 每日優鮮, 1.15% 京東到家, 0.11% 食行生鮮, 0.37% 中糧我買網, 0.05% 永輝生活, 21.08% 美團買菜, 0.27% 淘寶, 10.33% 生鮮電商平臺2020一

20、季度受攻擊情況餅圖 本來生活叮咚每日優鮮京東到家食行生鮮 中糧我買網永輝生活美團買菜淘寶 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 代下場景的風險與攻擊規模是伴隨著平臺成長而逐年增長的， 外賣行業是代下類羊毛的主 要攻擊行業之一。如下圖為外賣行業與上文 8 家（未將淘寶數據計算入內）生鮮電商受攻擊情 況對比。需要警惕的是： 羊毛黨關注度跟隨平臺用戶的增長而增加羊毛黨關注度跟隨平臺用戶的增長而增加： 變現出口的大小是決定羊毛黨關注度的重 要因素，而變現出口某種程度上會與平臺用戶增長保持一樣的速度，即平臺成長，用 戶數量增多，需要代下單的“客戶”增多，變現出口變大，

21、羊毛黨關注度升高。如上 圖當前處于穩定發展階段的頭部外賣平臺也“穩定地”吸引著相關攻擊流量。 代下場景中的攻擊團伙具有高流動性代下場景中的攻擊團伙具有高流動性，生鮮平臺將面臨數十倍于當前的攻擊者，生鮮平臺將面臨數十倍于當前的攻擊者：由于 代下場景攻擊套路基本一致，且攻擊門檻與難度偏低，除去代下“客戶”群體的大小 外，活動力度是決定攻擊者關注度最重要的因素之一。當前攻擊外賣行業的攻擊者也 可以便利地對生鮮平臺發起攻擊， 并且這個群體在與外賣平臺風控的數年的相愛相殺 后，早已積累了豐富的繞過技巧。處在旺盛生長階段的處在旺盛生長階段的生鮮行業也將生鮮行業也將很快很快面臨面臨這些這些數數 十倍與當前的

22、潛在攻擊者十倍與當前的潛在攻擊者。 此處使用 10 分制攻擊流量占比記作 ATR 數值，叮咚買菜 ATR=10-5.91=4.09，盒馬生鮮 A TR=10-1.03=8.97（使用淘寶數據替代，相當于最大化估算，實際情況將小于此值），每日優鮮 ATR=9.89，美團買菜 ATR=9.97。 餓了么 62% 美團 36% 前文8家生鮮平臺 2% 代下場景相關平臺2020一季度受攻擊情況餅圖 餓了么美團前文8家生鮮平臺 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 2.4、 攻擊項產生的額外價值攻擊項產生的額外價值EV 攻擊產生的額外價值 EV（Extra Value

23、）用于描述攻擊產生額外價值的大小，如一些社交 支付賬號帶來的引流洗錢等能力，攻擊產生的額外價值越大，穩定攻擊測試項的團伙越多，平 臺面臨的長期風險越高，此模塊評分越低。 代下場景中可能具備額外價值的主要是賬號，參考“賬號額外價值評分參照表”，各平臺 額外價值如下： 得出評分：叮咚買菜及每日優鮮 EV=7，美團買菜 EV=6，盒馬生鮮 EV=3。 2.5、 上游供給鏈成熟度和穩定度上游供給鏈成熟度和穩定度SCS 網絡黑產發展至今，已經形成了上下游分級協作的資源服務供應生態，諸如代下這樣的攻 擊并非是一個人或一個團伙一條龍完成，而是向上下游購買 IP、設備信息、手機號碼、實名信 息、支付賬號等等資

24、源后實施攻擊。和其他行業的供應鏈一樣，不同質量層次的資源價格高低 有別，甚至一些特定資源只有某些大型團伙才有能力獲取。 上游供給鏈成熟度和穩定度 SCS（Supply Chain Stability）用于描述測試項攻擊中所依賴 的上游資源自身的成熟穩定度，穩定度越高，上游變化對攻擊產生的影響越小，平臺面臨的長 期風險越高，此模塊評分越低。參考“攻擊資源供給鏈成熟度評分參照表”，各平臺代下場景 所需資源及其穩定度如下： 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 得出評分：叮咚買菜 SCS=2，盒馬生鮮 SCS=5，每日優鮮 SCS=1，美團買菜 SCS=1。 三、

25、三、綜合評價及建議綜合評價及建議 五維圖將各指標切換為十分制后繪制，整體面積越大，該場景下的業務安全健壯性越高。 叮咚買菜： 0 2 4 6 8 10 ACL AE ATREV SCS 綜合評分雷達分析圖 叮咚買菜盒馬生鮮每日優鮮美團買菜 ACL：攻擊消損比，值越大，越不容易 吸引和遭受攻擊； AE：平臺控制攻擊效率的能力，值越大， 控制越好，當前的攻擊效率越限制盈利； ATR：攻擊流量占比評分，評分越高， 攻擊占比越低，平臺風險越??； EV：攻擊產生的額外價值評分，值越低， 攻擊產生的額外價值越高，長期團伙越 多； SCS：攻擊所需資源供給鏈的成熟穩定 度評分，值越低，攻擊團伙的穩定性越 高

26、，平臺面臨的長期風險越大。 ISVS11.5832.6026.3620.59 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 手機號碼獲取渠道較不穩定， 無法直接使用接碼平臺常見號碼， 需要特殊的私接渠道， 將手機號維度攻擊成本提高了 24 倍。 手機號判別處置的信號較明顯， 攻擊者能夠從是否觸發語音驗證等快速判斷卡源是否 可用， 整體手機號維度可以過濾掉初級小白， 但仍可以吸引很多代下場景的長期團伙。 券額較高是吸引黑產的主要原因。 嚴格限制了新人券的使用時間，能夠良好地避免了黑產囤號，修改相關規則后不會留 下歷史遺留問題。 在設備識別維度攻擊者的繞過成本較低。 盒

27、馬生鮮： 券額設置很高，但由于賬號獲取門檻高，提高了攻擊團伙的資源門檻，降低了攻擊收 益，只針對盒馬的小型團伙將非常少。 阿里系賬號的額外價值很高，針對淘寶和支付寶的攻擊會時有動態波動，但持續會有 大型團伙長期關注?；顒雍线m時，一些團伙將通過跳轉的方式順帶攻擊阿里系下的其 他 APP。 每日優鮮： 手機號等相關資源獲取門檻較低，但由于券額設置很低，攻擊流程復雜，攻擊收益很 低，攻擊團伙關注度不高。 拉新助力類活動高度依靠微信，大幅提高了作弊成本，進一步以壓低了攻擊收益。 美團買菜： 判黑信號模糊，美團買菜并未在注冊、發券環節對賬號做出信號明顯的限制，只有到 支付環節，才知道賬號能不能使用優惠券

28、后付款，模糊了焦點，攻擊團伙走到支付環 節已經使用了的黑產資源有手機號、改機、代支付賬號等，可能是任意一個環節沒有 通過風控規則，大幅增加了黑產排除試驗的成本。 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 美團買菜的賬號與美團系賬號通用， 美團系是代下場景攻擊的主要行業的主要目標之 一，當活動合適時，可能出現攻擊團伙一號多用的局面，攻擊的資源成本將被拉低。 生鮮電商基本為區域配貨， 使用虛擬商品和實體商品變現相對不太容易， 長期來看 “代下” 將是主要的風險和問題。針對生鮮電商活動的特點以及黑產攻擊流程的特點，可從以下幾個方 面提升攻擊門檻，整體控制攻擊的量級：

29、1、模糊模糊判黑判黑信號信號，在核心矛盾點周圍設限，放寬其他流程節點的限制：代下場景的風險 規避目標是，降低羊毛黨作弊消耗新人福利。核心點是限制羊毛黨“用券”，那么除 使用優惠券以外的流程可以僅識別標記不限制。如，在賬號注冊環節，系統通過手機 號、 IP 信譽庫靜態規則匹配， 判定為高危作惡， 但允許其注冊， 甚至發放新人優惠券， 并允許其支付購買商品，但在跳轉至付款時提示賬號異常不允許使用優惠券，僅可以 直接下單。類似這樣的做法好處有二：（1）提升了攻擊者的試驗周期及復雜度提升了攻擊者的試驗周期及復雜度，到支 付環節為止攻擊團伙已經使用了黑卡資源、IP 資源、改機資源以及代支付賬號資源等 多

30、個偽造賬號用途的非自然人資源，攻擊團伙無法直接判斷出是哪一個環節被識別， 甚至可能是多個環節被識別判黑， 試驗難度和復雜度變高， 且單次試驗的流程被拉長， 試驗過程中也需要消耗相關資源，增高了試驗成本；（2）另一方面我們可以收集多維收集多維 的黑數據的黑數據。如，我們是在注冊環節通過手機號和 IP 識別標記風險的，但我們可以在剩 余流程環節中收集其他維度的惡意數據，如嘗試提取惡意代支付賬號特征、惡意設備 指紋特征等，用于優化系統當前的識別方案以及復盤過程中識別更多黑色流量。 2、模糊判黑原因：對于非用戶相關的異常提醒，盡量模糊原因，避免黑產直接定位到問 題資源，包含報錯的提示語，以及統一的驗證

31、方式，如對于某一環節異常統一要求語 音驗證等，可結合第一點，驗證置后。 3、結合黑產資源特征拉高攻擊成本： 手機號， 注冊和后續驗證采取不同方式， 一個語音， 一個短信 l 二次驗證：基礎渠道的黑卡掌握在接碼平臺的卡商手中，在線時間隨機（手機黑卡 供應鏈的盈利情況是：卡商通過貓池設備統一管理手機卡收發短信，貓池設備數量 是有限，一批卡源占用有限的貓池端口，隨著時間推移，可以注冊的平臺將逐漸減 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 少，而卡商與接碼平臺是通過項目個數 手機號用于注冊某平臺，則稱某項目，項 目數量即這張卡注冊的平臺個數 結算的，可注冊的項目數量會

32、直接影響卡商的收 益，故卡商會通過頻繁換卡，讓手里的卡源輪流在線來達到收益最大化，這就是羊 毛黨注冊后有時無法第二次取到同一個號碼驗證碼的原因，該手機卡當時沒有插入 貓池。），若平臺要求再次驗證手機號，隨著時間的推移（距離首次注冊），羊毛 黨有 30% 60% 以上的概率無法再次接收相同手機號的驗證碼， 賬號作廢率很高。 對于注冊作惡中間有養號環節以及針對固定日期大型促銷活動的囤號，可利用此特 征，對攻擊團伙造成不小的賬號損耗。 l 羊毛黨通過溝通卡商可以解決二次驗證問題黑卡的生命周期是 3 個月 1 年， 羊毛黨可以溝通卡商重新上卡或是注冊前預先約定卡源在線時間來解決二次驗證 問題。但這并不

33、意味著二次驗證是無效的。上小節提到卡商會頻繁換卡來達到收益 最大化，所以卡商約定在線時長（某一批卡源固定占用部分貓池設備）時，會通過 提高取號單價來保證收益。這對于作為供應方的卡商來說是符合盈利需求的，但對 于下游羊毛黨來說取號成本將是原來的 2 10 倍， 618 和雙十一等大促活動時通常 還會再提升 25 倍。當單個賬號的盈利降低時，羊毛黨通常需要以量取勝保證總收 益，對于一些設備數量有限的小團伙就可能由于收益過低放棄攻擊，轉而尋找 LOS 更高的平臺進行攻擊。小團伙的特征是規模小但數量多，提升攻擊成本至此類小型 團伙流走，攻擊量級同樣會大幅降低。 l 不同的卡類型：如短信驗證和語音驗證背

34、后的黑卡其實是不同的卡源，開放語音功 能的卡由于可能會流至電信詐騙， 風險較高， 只有某個圈子內固定的卡商可以出卡， 質量與價格高于短信卡，短信卡無法接收語音驗證，也就是說如果注冊時要求短信 驗證，而消費時可能會觸發語音驗證，那么兩次驗證攻擊團伙都必須使用同一張語 音卡。對于下游攻擊團伙來說，語音二次卡的總體拿卡渠道窄，價格高，找卡和消 費成本均得到提高。 l 第三方跳轉：三方跳轉號是一種常見的批量惡意注冊賬號，對于實名要求不嚴格， 可批量注冊小號類型的第三方平臺，用戶使用其賬號跳轉登錄后，需增加額外的規 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線 則驗證。 4、增加黑產攻擊的運營流程 l 如二次驗證造成的隨機賬號損耗，是一種高運營成本，自動化腳本需要額外寫容錯 部分，且運行浪費時間，如果倒賣賬號流轉到下游需要售后人力給下游補號，并非 無法攻擊，只是很多團伙會嫌“麻煩”選擇其他不需要這些額外運營的項目。 l 商品頁部分隨機變動，動態加載隨機的推薦商品、隨機彈出提醒頁等，都是增加運 營成本的方式。 本報告意在為大家提供不同的視角，評估拉新營銷場景下業務安全遭受的風險與挑戰。讀 者有任何意見建議與想法，都歡迎隨時與我們討論。 _ 版權所有：深圳永安在線科技有限公司 1 數據來自永安在線數據來自永安在線