營銷反作弊通常指平臺在進行促銷/拉新策略時做的反欺詐工作，即反作弊風控。本篇將詳細描述用戶風險域之營銷反作弊。

我們常說的互聯(lián)網(wǎng)公司的風控部門主要為三方支付和銀行支付環(huán)節(jié)的風控以及金融小貸的用戶風控。金融小貸特別是涉及信貸,借貸業(yè)務，常常能聽到一個詞語叫做高危/高風險客戶，這類用戶往往會被拒之門外，其風控本質(zhì)是通過大數(shù)據(jù)描繪用戶畫像進行風控。

而三方支付和銀行支付環(huán)節(jié)的風控更多的是偏向技術風控，在技術層面進行風險控制，防止整個交易鏈路被黑客入侵轉移資金等。而在電商風控領域中，針對不同對象我們又可以分為用戶和商戶，針對用戶域和商戶域再進行區(qū)別化的防控措施。

電商領域的用戶風險域不僅指用戶本身資質(zhì)還涉及到用戶操作行為，我們對這塊用戶風險域的工作概括為兩個方向：營銷反作弊和內(nèi)容信息安全。

營銷反作弊通常指平臺在進行促銷/拉新策略時做的反欺詐工作，即反作弊風控。在實際風控過程中，咱們可能會發(fā)現(xiàn)大量的關于業(yè)務上的漏洞、技術上的漏洞、人為流程因素以及風險發(fā)生后產(chǎn)生的次生風險。本篇將詳細描述用戶風險域之營銷反作弊。

互聯(lián)網(wǎng)帶來了方便和快捷的同時也產(chǎn)生了夾雜其中的灰色，咱們都知道平臺做推廣往往會有預算經(jīng)費和KPI指標，其目的是為了留存用戶細水長流實現(xiàn)長期盈利。而羊毛黨式往往集群作弊，一個BUG信息在瞬間可以進行病毒式傳播在極短時間內(nèi)薅走具有變現(xiàn)價值的紅包、優(yōu)惠券。

筆者參與了大大小小無數(shù)場灰產(chǎn)薅羊毛，在其中見證了各平臺營銷反作弊的進化和迭代。攻守的雙方都在成長和進步，從最初的家庭小作坊到現(xiàn)在明確分工、程序半自動流程化以及各層級的分銷傳播。想做好反作弊沒有一定的實戰(zhàn)經(jīng)驗，僅僅依靠零散的公眾號文章和碎片化信息，只會陷入不切實際的行動和理想化的策略。

引用《資本論》中鄧寧格說過的一句話：只要有百分之五十的利潤，就會引起積極的冒險；有百分之百利潤，就會使人不顧一切法律；有百分之三百利潤，就會使人不怕犯罪，甚至不怕絞首的危險的人。

知己知彼方能百戰(zhàn)百勝。在進入戰(zhàn)斗前,及時地查看相關對手的信息非常重要。

灰產(chǎn)的群體和模式

如果有這么一門生意，不需要大額的資本，不需要復雜的商業(yè)計劃，游離于法律法規(guī)之外，而它的收益是幾乎沒有上限且是純收益，筆者相信任何有機會參與其中的人都會趨之若鶩。這群人我們常稱之為羊毛黨，對于羊毛黨來說，薅羊毛的行為就像是日常工作。

“家庭小作坊”：一人多賬號（親朋好友）或者家庭親友團

20年前，某節(jié)假日杭城某泰搞大促。其規(guī)則大體就是商城大促期間每個自然人都有一份極優(yōu)的折扣額度，但是商城為了保障更多的用戶享受到優(yōu)惠，對每個自然人的總優(yōu)惠金額做了上限。

這顯然低估了人民的智慧， “實惠”當頭，老百姓紛紛發(fā)動一切可以動員的力量。萬萬沒想到，上至80老頭老太下至7、8歲的小伢兒都積極參與這次商城大促。而這，也是筆者最早見識的家庭式作坊 “薅羊毛”。

在目前電商時代非常典型，通過口口相傳，將優(yōu)惠分享給身邊的人，也是眾多電商平臺愿意看到的現(xiàn)象。

“鄉(xiāng)里包工頭”：稍具規(guī)模以盈利為目的的羊毛團體

包工頭往往通過傳幫帶的形式將一個個零散小作坊或零散人群進行收編，通過任務形式發(fā)放羊毛信息，將回收的實物或虛擬物變現(xiàn)到相應的渠道，賺取中間差價。

作為羊毛群體中最廣泛的群體，“鄉(xiāng)里包工頭”還有一個常用俗稱—羊頭。眾所周知，互聯(lián)網(wǎng)金融行業(yè)獲客成本常年居高不下，部分平臺內(nèi)部人員為了完成KPI，甚至會直接聯(lián)系羊頭(或代理)進行談判，通過羊頭進行拉新促活以及募集資金。

這類羊毛黨中較專業(yè)人士已經(jīng)針對平臺基礎的反作弊措施進行了迭代優(yōu)化。咱們常見的設備號識別，IMEI 號識別或者是其它一些IP地址、Wifi地址等，羊毛黨都可以進偽裝，一臺設備就可以偽裝出N臺不同型號不同地址的App，直接繞過中小平臺甚至某些大型平臺的風控檢測。

而從平臺方看，這些都是一個一個真實的設備，但其實這些信息都是羊毛黨通過軟件編寫好的沒有價值的偽信息。

“接軌國際小地主”：專業(yè)刷手，分工明確，自產(chǎn)自銷

小地主顯然比“鄉(xiāng)里包工頭”更勝一籌。要業(yè)務渠道人家是一手的，要技術支持人家也是一流的，俗稱擼毛屆扛把子。因擅長方向不同又分信息流和技術流。

• 信息流擅長數(shù)據(jù)采集數(shù)據(jù)分析同時輔以技術，譬如優(yōu)惠券信息各大主流電商平臺以及銀行推廣活動，針對業(yè)務模式尋找業(yè)務漏洞，再利用技術手段迅速行動獲得利益。
• 技術流擅長技術手段，針對活動背后的技術層面進行剖析，尋找技術上的漏洞和可能性，常見的有各類半自動化工具生產(chǎn)以及數(shù)據(jù)請求解密硬解等。

當然，因為合力才能斷金，信息流和技術流通常不分家。

目前，灰產(chǎn)屆部分技術業(yè)務流相結合的團體，甚至可以利用爬蟲甚至入侵數(shù)據(jù)庫的形式，獲取平臺方數(shù)據(jù)庫信息。得到數(shù)據(jù)后，對數(shù)據(jù)進行整理篩選，機選出優(yōu)惠券信息和“錯”價產(chǎn)品，因平臺方業(yè)務漏洞等自身原因造成的BUG，羊毛黨發(fā)現(xiàn)后會在第一時間進行行動。比如：某電商的支付隨機立減4999的名額，通過技術手段直接實現(xiàn)100%獲得立減4999的名額。

當然如果某些平臺漏洞過大則會在吃完第一口肉后立即將信息傳播給下一層級的羊頭，畢竟出了事兒法不責眾。合情合理的在規(guī)避法律法規(guī)后，最大限度的合法獲利。

羊毛黨的威力和危害

在行業(yè)內(nèi)有一句話叫做“薅上一天夠吃一年”。

羊毛黨的危害舉不勝舉。分分鐘擼垮上市公司的羊毛黨不僅會對平臺優(yōu)質(zhì)用戶的造成損害，更重要的是嚴重危害企業(yè)生命線。

案例一：拼多多一夜被薅疼

1月20號凌晨一點至9點30分，一則關于拼多多100元無門檻優(yōu)惠券的線報刷爆羊毛群。薅上一天夠吃一年，一場羊毛黨的盛宴開啟了。不限設備不限IP不限賬號，皆可領取100元無門檻券。注意，這是領取，不是搶購。

截止20日上午9時許，拼多多工作人員上班后開始堵截漏洞。21日9時30分左右，基本完成作廢領券&無門檻券的使用。網(wǎng)傳平臺損失上千萬，在后期平臺對損失的大額變現(xiàn)的虛擬物品進行凍結并對變現(xiàn)實物的訂單要求商戶停止派發(fā)快遞，把損失控制在百萬內(nèi)。

顯然，拼多多的風控存在嚴重的漏洞。不論是在技術保障、策略流程，還是企業(yè)內(nèi)部都存在不可推卸的責任問題。

另一面，也凸顯出羊毛黨的可怕，上市公司都hold不住羊毛黨的群羊之勢。

案例二：家教O2O被薅到倒閉

把時間軸撥到2015年，那一年O2O模式被資本熱追。我們熟知的滴滴、Uber、美團、大眾點評等都獲得了數(shù)億美元的融資，瘋狂的補貼大戰(zhàn)就此開啟?！凹媛毰艿蔚?，月入10W不是夢”，打車O2O模式在那年早就了許多暴富的司機。

除了打車領域外，熱切的資本迅速把O2O的這把火燒到教育領域，游戲開始上演，無外乎：

• 增長靠補貼；
• 刷單作假刷數(shù)據(jù)；
• 依賴數(shù)據(jù)再融資。

這一時期，至少出現(xiàn)了上百家家教O2O品牌，但是截止今日除了被收購外，剩下的企業(yè)幾乎全部倒閉，能存活下來的零星幾家那也是早早轉型并將業(yè)務重心放在了其他領域的在線教育。

慶幸的是，對于目前稍微有點規(guī)模的電商企業(yè)，隨意一場營銷策劃活動。不論技術保障、流程方案是否有漏洞，還是活動策劃是否成功，或多或少大伙兒都會去做一些門檻設置。其實這已經(jīng)是基本的反作弊風險意識了。

營銷反作弊，御守羊毛黨

龐大的用戶規(guī)模和大量的現(xiàn)金流動為電商行業(yè)貼上了“非典型行業(yè)”的標簽，因此網(wǎng)絡攻擊、黑客入侵、惡意刷單等不法行為步步緊盯這塊“肥肉”。尤其在節(jié)慶、大促等重要時間節(jié)點，電商行業(yè)面臨的風險和挑戰(zhàn)將更加突出。

薅羊毛大都和業(yè)務強相關，從技術角度分析，手段并不新穎，但是通常由于電商企業(yè)產(chǎn)業(yè)鏈較為復雜，無可避免或多或少的“BUG”。

當面對這些羊毛黨以及有組織的攻擊，電商平臺何去何從？我認為以下幾點可以幫助電商平臺更好的做好風險控制。

1. 建立完善全面的安全風控體系及模型

大多數(shù)中小型企業(yè)在做“用戶畫像”的時候，往往標簽化用戶，其標簽評定來源用戶填寫的數(shù)據(jù)。這種單維且較少更新的“用戶畫像”，相對價值較低，當咱們參考這類 “用戶畫像”去做推到產(chǎn)品分析，往往會發(fā)生精確度和趨勢與實際背離的情況。如果把這類信息作為主要的安全風控模型，或多或少存在一定風險，不是一個嚴謹?shù)倪x擇。

對于用戶數(shù)據(jù)，根據(jù)所提供信息渠道來源我們可以分為明面數(shù)據(jù)和暗面數(shù)據(jù)。這里明面數(shù)據(jù)一般指注冊信息和實名認證，包括手機號、銀行卡信息等識別用戶主要憑證。

暗面信息指采集的用戶信息，這里一般指用戶環(huán)境（設備、網(wǎng)絡、sim卡等）和三方數(shù)據(jù)信息。除此之外，根據(jù)用戶信息的變化情況我們還可以再分為動態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)。

動態(tài)數(shù)據(jù)往往針對不斷變化的用戶行為信息，比如消費信息（金額、偏好、時間等），通訊信息（聯(lián)系人、通話記錄等），身份信息（職業(yè)、收入情況、教育培訓等）。

不論是何種信息，我們都有必要對信息進行整合分類，在分類后進行屬性的區(qū)分，主屬性后還有子屬性，就像一個樹狀圖，當然這僅僅只是關于數(shù)據(jù)的整理。隨后，咱們還需要對數(shù)據(jù)進行再加工，如下圖所示：

目前，越來越多的安全風控體系通過對數(shù)據(jù)多個維度進行深度的挖掘，避免了前文提到的單維且較少更新的用戶畫像存在的風險。

2. 梳理產(chǎn)品線評審新業(yè)務，強化運營實現(xiàn)全方位數(shù)據(jù)監(jiān)控

在上一篇《從產(chǎn)品流程上，復盤拼多多的風控漏洞》中，有較為殷實的描述。

很多企業(yè)在迭代產(chǎn)品線前并未做好產(chǎn)品的架構導致整條產(chǎn)品線十分冗雜，當新業(yè)務上線無法做好到“高內(nèi)聚低耦合”，這就直接導致新業(yè)務很有可能產(chǎn)生新的業(yè)務風險。所以，不論新業(yè)務內(nèi)容大小，都需要進行審核評估，增加一層審批機制。

除此之外，越來越多的灰產(chǎn)從“單核、無序、粗暴”發(fā)展成“有目標、有組織、有進退”的三有的專業(yè)團隊，這直接導致咱們做好風控工作的難度越來越高。所以，實現(xiàn)全流程操作實時監(jiān)控就十分有必要。

從用戶進入頁面的的那一刻起，注冊、登陸、領券、瀏覽、購物、倉配、評價到售后，每一個環(huán)節(jié)每一個步驟都進行統(tǒng)計。當某一個環(huán)節(jié)出現(xiàn)數(shù)據(jù)暴增等異常，就可以第一時間進行預警，控制風險的蔓延，并防止次生風險的發(fā)生。

3. 做好技術層面的數(shù)據(jù)接口流程及監(jiān)控

除了產(chǎn)品及運營層面的風險防控外，技術層面的風險防控也尤為重要，作為產(chǎn)品筆者認為有必要了解一下相關的知識點。

著名的漏洞平臺烏云網(wǎng)曾經(jīng)有一個接口跨域?qū)е滦畔⑿孤┑陌咐?/p>

簡單介紹一下：在前后端分離架構中，接口等同于前后端聯(lián)系的“電話線”。

• 核心關鍵資源，凡是資源的調(diào)用都與接口有關系；
• 凡是不是直接連接，需要“橋梁”過渡，均需要接口的輔助。

接口漏洞案例：

在我們使用4G上網(wǎng)的時候，常常見到網(wǎng)頁下方某處懸浮“流量助手”、“xx運營助手”等。這其實就是xx運營商進行了鏈路劫持，安插一些代碼。這個功能的本質(zhì)是通過 jsonp 接口跨域數(shù)據(jù)請求，也正是這個功能，存在用戶手機號碼、流量使用狀況泄漏，同時安插某些而已接口還會惡意消耗用戶話費。

技術提升網(wǎng)絡安全的方式：

1. 采用HTTPS協(xié)議
2. 密鑰存儲到服務端而非客戶端，客戶端應從服務端動態(tài)獲取密鑰
3. 請求隱私接口，利用token機制校驗其合法性
4. 對請求參數(shù)進行合法性校驗
5. 對請求參數(shù)進行簽名認證，防止參數(shù)被篡改
6. 對輸入輸出參數(shù)進行加密，客戶端加密輸入?yún)?shù)，服務端加密輸出參數(shù)

除了以上三點外，筆者認為咱們安全團隊做好營銷反作弊需要兩手準備。一面咱們需要知己知彼，更深入了解灰產(chǎn)，熟悉攻擊手法，制定有效的策略。另一面，隨著業(yè)務體系的范圍擴容，涉及面越來越廣，這樣那樣的漏洞無可避免，這時總結經(jīng)驗教訓尤為重要。

在開辟新道路的路上，有坑十分正常，當咱們跌倒了記得爬起來反思己身。常駐風控思維，面對未來道路有坑填坑有洞補洞，這樣才能最大限度的完善咱們的產(chǎn)品線提高灰產(chǎn)作案門檻。

本文由 @四月春波 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉載。

題圖來自Unsplash，基于CC0協(xié)議