风控要略-互联网业务反欺诈之路（一）

风控要略-互联网业务反欺诈之路（一）

前提概要

此系列文章主要针对“洞察黑产“、“反欺诈体系构建“、“黑产对抗的实战案例“、“对新的可风控场景的探查“四个部分的核心内容进行介绍，也是出于对于风控业务的初步了解和学习～（所谓，知己知彼，方能百战不殆）

引言-互联网业务安全概述

当前中国互联网安全产业答题可以分为基础安全和业务安全两个领域。从互联网诞生至2014年，互联网安全行业关注的热点基本都聚焦在网络安全、系统安全和应用安全这个三大基础安全领域上，“DDOS“（分布式拒绝服务攻击）1、“漏洞“、“拖库“2和“挂马“3等大家耳熟能详的术语也是从这些领域中衍生出来的。

2014年前后，随着互联网业务的爆炸式发展，黑产团伙开始从“攻击渗透系统“的传统套路进化到“利用业务风控确实进行大规模牟利“的模式，并且逐渐形成规模庞大、分工明确的黑色产业链。在2014年之后的几年时间里，互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战，涉及游戏、电商、支付、视频直播甚至共享单车等几乎所有互联网业务领域。

黑产攻击的蔓延 年份事件过程

2017年

“快啊答题“黑产团伙破解多家互联网公司验证码

“快啊答题“黑产团伙开发的验证码破解软件，采用先进的基于神经网络深度学习的人工智能技术，可不断自我训练学习以完善准确度，快速海量地破解验证码。该团伙仅一个季度就对多家互联网公司的验证码进行了数百亿次破解，非法获取并贩卖大量公民信息，已在2017年被浙江省绍兴市警方破获。

2018年

星巴克圣诞特饮邀请券被黑产“薅羊毛“

2018年，星巴克推出营销活动：下载星巴克APP，注册后可获赠一张邀请券，能免费兑换任意一杯中杯圣诞当季特饮。由于此次营销活动没有采用反羊毛措施，黑产开发了自动注册机，后台自动调用打码平台进行自动兑换，短时间获取的廉价兑换券高达数十万张。换来的兑换券通过朋友圈、微商等渠道批量销售。在朋友圈中，价值25元的咖啡券以9.9元、8.8元，甚至两三元的价格进行销售。随着消息的扩散，“薅羊毛“的行为指数级增长，开始出现网友在星巴克咖啡厅排队兑换咖啡的场景，部分店面的正常用户消费收到严重影响。

2019年

浙江省绍兴市警方侦破“瑞智华胜“窃取30亿条用户账号数据案件

浙江省绍兴市警方侦破了新三板上市公司北京瑞智华胜科技股份有限公司非法窃取用户30亿条消息的案件。这次案件信息窃取规模庞大，涉及多家互联网科技公司，包括百度、腾讯、阿里、京东等全国96家互联网公司。该涉案团伙通过与全国十余多家运营商签订广告系统服务合同，非法从运营商流量池中获取用户账户信息，从而操控用户账号，在微博、微信、QQ、淘宝和抖音等平台上加粉、加群、违规推广，非法获利。

业务安全的崛起

常见的风控场景举例：

风控场景常见风险点

注册和登录场景的风控

如何对抗黑产注册虚假账号、养号的行为，如果对抗黑产暴力破解账户密码，如何对抗“撞库“攻击

注营销活动风控保护

营销活动发放的红包、游戏点券或其他奖励如何才能够不被黑产团伙“薅羊毛“

APP渠道推广保护

推广APP装机量投入巨额费用后，如何衡量真实效果（用户每安装激活一个APP，平台需要支付10元甚至20元，黑产通过“手机农场“虚假安装已经是广告行业顽疾）

交易和支付场景风控

盗号支付如何解决、非法聚合支付如何解决、洗钱如何解决

接口安全保护

短信发送接口被坏人用于制作“短信炸弹“是大家都遇到过的场景

内容安全

内容安全既包括“入“也包括“出“，“入“是检测用户发布到平台的内容是否包含“色情、反动、赌博和暴恐“等违规信息，“出“则是对抗专业爬虫大量获取网站内容信息

总结

本部分主要针对互联网安全从起至今的发展过程进行了大致梳理。互联网安全主要分为基础安全和业务安全两大方向，起初是以基础网络安全为主要的防御和治理方向，互联网的不断发展使黑产团伙发现了可牟利的非法途径和渠道，对业务安全的有效治理开始成为了炙手可热的话题。下篇主要介绍一下“黑产的发展态势“，即国内黑产的总体发展情况。

DDOS（分布式拒绝服务攻击）：是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 ↩︎

拖库：拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库文件，拖库的主要防护手段是数据库加密。 ↩︎

挂马：所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day,等各种方法获得网站管理员账号，然后登录网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个。利用获得的修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当用户访问被加入恶意代码的页面时，用户就会自动的访问被转向的地址或者下载木马病毒。 ↩︎