FSRC分享：羊毛党和风控那些事（一）

FSRC经验分享系列介绍

新年新气象，我们会在FSRC公众号发出焦点科技信息安全部工作过程中总结的经验。分享内容不仅是漏洞分析，也包括运营、sdl、等保、自研工具等。只要安全相关，我们都会整理并分享给大家，欢迎各位安全从业者关注。

1什么是薅羊毛？

2羊毛事件

• 新注册APP会员既可以获得一份饮品兑换券

• 上线1天半即下线，产生40万个虚假帐号

• 每张优惠券可兑30-35元饮料，约损失千万

• 和非诚勿扰合作的线下测试优惠券，测试时在凌晨自动上线

• 通过非正常手段生成该优惠券二维码，并疯狂传播

• 0-10点，被领取价值数亿优惠券，最终损失千万

3人群分类

最普通的人群，有日常的职业和工作。

一般通过做任务获利，如注册金、关注公众号、下载APP、填写问卷、领取部分优惠券等方法薅羊毛。

有自己的分享渠道如羊毛群群主、有大量信用卡。

一般通过返利、黄牛、刷单等获利，部分也涉及各种信用卡、线下活动等薅羊毛。

分为黑产和开发者

黑产拥有大量的身份账号、卡池、代理池等。

开发者开发群控、脚本等自动化系统，并且会研究平台的机制发现漏洞。

4产业链分析

• 监控脚本

• 批量注册工具

  

• 爆破脚本

• 验证码识别工具

  

• 批量下单工具

  

• 登录/注册/领取/消费时，自动化绕过验证码

• 直接把图片转至第三方打码平台，通过人工判断确认验证码

• 大约在200个-300个验证码/1元，很便宜

• 批量拨打号码

• 批量收发短信

• 分享、点赞

• 上传、下载

• 批量下单

• 黑银行卡提现

• 直接购买油卡、商城购物卡等

• 兑换成话费、Q币、游戏币等

5整体流程

6业务对抗

黑产通过活动的各种要求如注册/邀请/分享，开始进入到业务的流程中。

脚本批量注册

撞库获取用户账号密码

已准备大量用户密码

对IP/设备ID/UA等做好限制

通过注册时间、活跃度等给帐号打标

进入业务后，开始获取目标资源如优惠券、积分，在业务中领取到对应的奖励。

爆破优惠券

越权领取无法领取优惠券

分享/邀请机器人

模拟正常人行为

领取条件限制

用户风险级别控制

领取时增加验证机制

整体数量限制

在获取到目标资源后，将该资源换为实物/现金/现金等价物离场。

优惠复用

条件竞争

绕过限制

用户身份判断

二次安全验证

人工介入审核

7部分互联网公司风控经验

通过手机号，地址，历史行为，IP，设备ID，支付ID，LBS，user-agent、资料血缘，勾勒出一个用户的完整关系网络，对于用户的帐号进行打标分级。

无门槛券不高于单张10元，并且最低需支付1分钱；

大额券消费领域限制，如不得用于购买Q币，话费，游戏充值等虚拟物品。

监控优惠券情况，设置报警阈值，失效机制，熔断机制；

监控平台情况，对产品销量、GMV等出现异常增长的情况提高注意。

面对大量的黑产信息，可以在后续的关键节点中再对账号进行处理，设置一定的“通过率”，尽量避免和刷手进行面对面的攻防对抗。

8免责声明

9参考资料