模拟器
灰产已经集结成军。而既然是军队,就会采用大规模杀伤性武器——自动化工具。
这些自动化工具一般会在 PC 上使用模拟机模拟手机的运行环境,然后按照脚本批量进行特定操作。探测到某个用户正在使用虚拟机进行登录,那么这个用户就是很可疑的,因为正常的用户几乎不可能用虚拟机来登录这些服务。
祝伟告诉雷锋网,他曾经注意到同盾科技的检测系统报告过某平台的一次异常登录。
一天早上,有一个用户试图登录多个账号,但是被平台拦截了;
接下来他试着更换了不同的 IP 地址登录,还是被识别出来;
接下来他又使用了模拟器登录,仍然被拒绝。
这是一个典型的异常行为。后来我们对这个用户进行追踪,发现 Ta 不久前在一个著名的“羊毛论坛”发表过针对这个平台的“薅羊毛”技术贴。根据这些数据进行全局关联,我们还原了 Ta 尝试“薅羊毛”的路径,认为这就是一个典型的羊毛党。
【某安卓手机模拟器】
彪悍的大数据
通过技术手段的判定和用户的反馈,风控云背后积累了众多的正常用户和风险用户数据。对于某些数据而言,分散在各行业各平台之中,并没有明显的价值,而一旦被汇总到统一的系统中,价值就会呈几何数级增长。
祝伟把这种彪悍的数据应用称为“联防联控”。他举了一个信贷行业的例子:
各大借款平台的借款人是有可能重合的。
如果一个人在A平台上提出了借款申请,而大数据显示他在B平台因为拖欠贷款已经被追债玩失联。这个时候系统就会提示A平台这个用户存在巨大风险。
如果一个人在A平台上提出了借款申请,而大数据显示他同时在BCDEF平台都提出了借款申请,说明这个人对钱的渴望程度非常高,这可能表明这个人的经济状况不佳,存在一定风险。
如果一个人在A平台上提出了借款申请,而大数据显示他已经在BCD平台成功借款,这说明他的负债金额很大。
当然数据的维度不止于此,例如我们也可以通过高院的接口来调查这个人是否有过法院纠纷。对于A平台来说,这些数据使得这个人的背景并不是一片漆黑,他们可以根据自己的风险承受能力选择是否批准。
当然,所有技术手段,例如判断账号的交叉登录、同一设备多账号登录、某一类特定归属地的电话号码用户登录,其实都采用了多组数据组成多个规则的方法,对潜在的风险进行筛查。而为了精准地揪出“坏人”,还需要高质量的情报,所以各大羊毛党论坛、qq群成为了非常重要的情报来源。
祝伟说,当羊毛党在论坛或群里发帖招揽“同伙”的时候,系统会根据某些关键词自动抓取这类“羊毛信息”,再把信息通知到相应的平台。当然最重要的一步是:检验自己究竟有没有防护接下来可能到来的潮水般的攻击。
曾经有一个客户平台,他们的新产品刚刚上线,我们的系统监控到某专门的论坛里有羊毛党盯上了这个产品。让人惊讶的是,很短的时间内,他们就把刷产品的方法、教程、软件工具全部准备好并且放到网络上了。羊毛党的攻击虽然千奇百怪,但是基础原理大同小异,例如用不同的方法实现代理 IP,或者采用最新的模拟器来逃过模拟器检测。在这种不断对抗的攻防中,我们要做的就是不断升级自己的规则,保证识别效果。
当然,为了保证风控效果,很多更为精尖的识别规则无法对外透露。但言而总之,为了揪出一个骗子,无数顶尖专家耗用了诸多最先进的科技。同盾科技CEO蒋韬早些时候曾经对雷锋网 (搜索“雷锋网”公众号关注) 表示:“攻防是一个相互对抗的过程。在中国的实际情况下,黑产的力量非常强大,所以客观上风控的技术也变得国际领先。”
面对大数据组成的“照妖镜”,仍然铤而走险的骗子们可以尝试一下最后一招——金盆洗手。
