風(fēng)控，簡單來說就是風(fēng)險的控制，隨著整個互聯(lián)網(wǎng)技術(shù)的發(fā)展，有另外一種技術(shù)也在默默的發(fā)展、壯大，甚至形成一種上下游閉環(huán)的產(chǎn)業(yè)鏈，即“黑產(chǎn)”。黑產(chǎn)遍布整個互聯(lián)網(wǎng)各行各業(yè)、各個角落，今天來跟大家說說關(guān)于電商黑色產(chǎn)業(yè)哪些事兒。

在電商的研發(fā)體系中有一個叫做“風(fēng)控”的部門，整個部門負(fù)責(zé)保障整個網(wǎng)站的安全、可靠。是一個比較神秘的組織，每天需要與形形色色的黑客、黃牛斗智斗勇。

那么一個電商網(wǎng)站會存在哪些安全隱患呢？

1.數(shù)據(jù)的泄露

數(shù)據(jù)的重要性不言而喻，尤其是電商的數(shù)據(jù)，包含了個人信息（姓名、性別、收貨地址、電話）以及購物信息，還是比較敏感的，現(xiàn)在國內(nèi)比較大的電商平臺都在搞大數(shù)據(jù)，可以算出每個用戶的喜好是什么，根據(jù)每個人的不同喜好做定制的推送。甚至像阿里、京東在搞的金融業(yè)務(wù)，背后也是依賴這些常年積累下來的用戶數(shù)據(jù)，基于這些數(shù)據(jù)可以對用戶進行信用評級。

如果這些數(shù)據(jù)遭到泄露公司將受到巨大的損失，用戶也會受到相應(yīng)的損害，現(xiàn)在大家經(jīng)常收到的各類騷擾電話，就是廣告商通過各種渠道拿到用戶信息，這信息基本都來自非正常渠道。

之前網(wǎng)上有黑客爆料過多家知名網(wǎng)站的用戶數(shù)據(jù)信被竊取，如果爆料情況屬實，那么可以看出我們目前所處的互聯(lián)網(wǎng)環(huán)境并沒有那么的安全，只是在不知不覺中我們的數(shù)據(jù)已經(jīng)被泄露。好消息是目前關(guān)于安全的問題各大公司已經(jīng)開始非常重視，尤其是用戶的隱私信息，所以這里建議大家不要在一些不是很出名的網(wǎng)站上留下個人的敏感信息，因為目前中小網(wǎng)站的自我保護能力還沒那么的強。

2.黃牛刷單

電商平臺常用的促銷手段一般為滿減、滿贈，當(dāng)有稀缺商品或者價格力度比較大的話會上秒殺。由于活動促銷確實非常給力，這時候會招來黃牛，黃?？梢哉f大家都比較熟悉了，在火車站旁、在醫(yī)院旁、在演唱會門口、在電影院、在體育館。。?？梢哉f只要有稀缺資源的地方都有黃牛的身影。

在電商網(wǎng)站上只要搞大型促銷活動，也會出現(xiàn)黃牛的身影。但是商家搞促銷活動是希望能夠吸引新用戶，激活老用戶，本質(zhì)是一種花錢買潛在用戶的過程，所以商家才愿意賠本搞促銷。如

果商家投入了很大的成本搞了一場促銷，結(jié)果他的商品都被黃牛買走了，真正它希望的目標(biāo)用戶沒有買到，那么這是商家不愿意看到的情況；這個時候就需要電商平臺有辦法、有機制能夠識別出黃牛，這就是一個跟黃牛斗智斗勇的過程。

互聯(lián)網(wǎng)時代的黃牛也會使用互聯(lián)網(wǎng)的工具，不僅僅像線下一樣單純靠人肉、體力去排隊?；ヂ?lián)網(wǎng)時代的黃牛會采用更智能化的工具，自動進行熱門商品的搶購。

每年過年回家的時候相信大家都使用過自動搶票工具，黃牛使用的工具類似，只是對象變成了個各大平臺的促銷商品，這里的工具需要針對每個電商平臺的特定協(xié)議進行定制開發(fā)。所以現(xiàn)在的黃牛已經(jīng)不僅僅是一個人，已經(jīng)是一個生態(tài)閉環(huán)的產(chǎn)業(yè)鏈：

• 有人專門提供工具
• 有人專門負(fù)責(zé)收集各大平臺促銷信息
• 有人負(fù)責(zé)定時的搶購商品
• 有人負(fù)責(zé)將搶到的商品通過各種渠道賣出去。

已經(jīng)是一個比較專業(yè)的團隊，團隊內(nèi)部分工明確，專業(yè)度也較高，這就為電商平臺帶來了比較大的挑戰(zhàn)。是一個魔高一尺道高一丈的不斷升級對抗的過程。

3.惡意攻擊

上面提到的黃牛刷單盡管對業(yè)務(wù)有一定的影響，但不管怎樣人家也是付了錢買東西的。還有一類更惡意的攻擊就是他不僅不買東西，還讓正常的用戶無東西可以買。

這種惡意行為又具體分為兩類：

其一是鉆空子

因為現(xiàn)在電商平臺下單有一個業(yè)務(wù)的邏輯是：如果你下了單，但是沒付款，那么這個商品的庫存會被你先占用掉，等30分鐘你仍然不付款，那么系統(tǒng)會將這個訂單自動取消，然后釋放庫存。但是在這30分鐘內(nèi)你購買的商品庫存是被你占用的，別人無法購買。

有點抽象，舉個例子。

如果你在京東上買了一個iPhone7，這部iPhone7 京東的倉庫里面一共有100件，你下單后京東會幫你鎖定一件庫存，表示你有購買意愿，給你預(yù)留著，等你付款后倉庫會幫你發(fā)貨。如果你30分鐘沒付款系統(tǒng)會把你的訂單取消，但是在你下了單沒付款的這30分鐘里面，京東實際對外只能賣99件iPhone7，盡管他倉庫里面有100件，因為有一件是給你預(yù)留的。

主流的電商基本都是這么玩的，只是大家等待的時間不一樣，有的是半個小時、有的是1個小時、有的是2個小時。

有人利用這個業(yè)務(wù)特點會寫工具進行批量下單但是不付款，導(dǎo)致電商平臺上某段時間熱門商品無法售賣，像上面的例子，如果黑客知道京東有100件iPhone7，那么他就把倉庫的iPhone7 100件全部下單，但是不付款，就會導(dǎo)致京東有明明有很多iPhone7，但是商詳上無法購買，會顯示“到貨通知”，因為庫存全部被惡意占用了。

還有一種類似的攻擊方法，現(xiàn)在很多網(wǎng)站支持貨到付款。那么攻擊者就將上面例子中的iPhone7買下來，但是支付方式選擇“貨到付款”，等配送員辛辛苦苦實際送到的時候再拒收。那么他同樣占用了這個商品的庫存，并且占用的時間更長，消耗的資源更多（還消耗了倉庫撿貨、配送資源）。如果再采用批量下單惡意占用某些商品的話，那么電商平臺將遭受比較大的損失。

批量下單的方法有很多種，有的是一單下多個數(shù)量，但是主流平臺一般會對一次購買數(shù)量有一個上限的控制。然后攻擊者會通過各種渠道拿到很多注冊賬號，每個注冊賬號下多單等等。關(guān)于惡意注冊也是常見的一種攻擊方式，淘寶上也有賣各個平臺的注冊賬號，也是一個完整的產(chǎn)業(yè)鏈，這里就不詳細(xì)說了。

另外一種是大量惡意請求攻擊導(dǎo)致網(wǎng)站不用

這種攻擊手段比較偏技術(shù)些，細(xì)分下來也有兩種：一種是DDOS攻擊，簡單暴力，導(dǎo)致整個網(wǎng)站請求流量過大而失去響應(yīng)。另外一種是針對業(yè)務(wù)的攻擊，專業(yè)術(shù)語叫“CC”攻擊，比如寫工具批量請求商詳或者加入購物車的接口。因為每一次請求都會耗費服務(wù)端的資源，服務(wù)端響應(yīng)的能力又是有限的，如果攻擊的請求量比較大的話會導(dǎo)致正常用戶的請求無法響應(yīng)最終使得整個電商平臺失去響應(yīng)。這種攻擊的目的就是導(dǎo)致網(wǎng)站不可用，需要網(wǎng)站具有快速擴容的能力與惡意流量清洗的能力。

上面介紹了幾種常見的攻擊手段，并不是很全面，現(xiàn)實中還會有一系列的問題需要解決，比如：虛假注冊、盜號、套現(xiàn)、劫持、欺詐等等以及相應(yīng)的預(yù)防手段，這里只能說水很深，很深！

相關(guān)閱讀：

電商技術(shù)解密之庫存系統(tǒng)

電商技術(shù)解密之取消訂單

電商技術(shù)解密之跨店鋪促銷

電商技術(shù)解密之購物車

電商技術(shù)解密之如何快速打開商詳頁

本文由 @Nicole 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。