第八期| 藏在短视频背后的黑灰产:批量刷票、虚假流量
顶象防御云业务安全情报BSL-2022-a3c11号显示,某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票,严重影响其他用户参与的积极性,给平台的带来大额的资产损失和大量虚假用户,不仅严重破坏了平台生态,而且使得刷票风气盛行,平台活动公平性被质疑,信誉受损。
野蛮生长的短视频行业
不可否认,短视频相对于文字、图片来说,更具感染力也更容易获得用户自发地传播,也更符合年轻人充分利用碎片化时间了解社会和全民娱乐的心理,因此才能在社会文化中扮演越来越重要的角色。
近年来,随着国内移动互联网产业的发展与网络通讯技术的迭代,信息媒介载体由文字、图片一步步发展至今已全面进入视频时代,而短视频作为视频时代发展出的更适应移动通信设备的产品形态,在近2-3年来经历了爆发性的增长发展。根据CNNIC发布的第49次《中国互联网络发展状况统计报告》数据显示,我国网民规模大10.32亿,互联网普及率达73%。截至2021年,我国短视频用户为9.34亿人,我国短视频渗透率为90%。
需要注意的是,短视频行业主要是信息流模式,平台本身对信息流具有极强的控制能力,基于此,部分平台开始上线广告推广业务,需要推广的用户选择与平台合作,平台可以在信息流中投放广告推广。
但暴利的广告变现模式下,也让黑灰产盯上了短视频平台的生意。从基本的刷赞、刷粉、刷流量,到销售工具软件,再到与短视频平台相关的牟利方式,几乎都有黑灰产的参与,甚至已经形成了完整的黑灰产产业链。
刷票工具作弊,批量套现
那么,黑灰产是如何通过作弊实现批量刷票的。
据顶象防御云业务安全情报BSL-2022-a3c11号显示,黑灰产通过设备牧场、代理IP、虚拟号、自动化工具来实现垃圾注册、批量养号、自动化完成积分任务,并通过提供刷榜服务收取服务费。
一般流程是:
1、基础资源获取:黑灰产从“卡商”手上获取大量的手机卡用于注册,通过接码平台提供的服务批量获取手机号验证码完成注册。平台攻击使用的黑卡主要是物联网卡和虚拟卡,这两种卡使用成本和获取门槛都极低,比较受黑产欢迎;
2、获取线报,了解平台规则:事先了解平台的积分获取、红包兑换规则,关注羊头发布任务和活动情况,等待时机:
3、注册养号:黑灰产通过一系列的黑产作弊工具如秒拨IP、设备牧场等工具对平台进行自动化攻击;
4、批量变现:黑灰产通过现金奖励提现、积分、优惠券等实物商品、积分等经二手平台进行售卖。
黑产作弊工具:机器刷票+人工刷票
其黑产作弊工具主要有两种:
一种是机器刷票。
机器刷票,可以给指定投票活动自动循环投票的票辅助刷票工具,主要是通过编程模拟手工网页投票然后进行自动投票的过程。搭配秒拨IP使用可实现突破IP限制,自动输入验证码,自动投票,快速增加票数的功能,轻松实现短时间上万票。
另一种就是人工刷票。
相较机器刷票,人工刷票成本更高,进而也发展出了两种刷票模式。
一是通过 “账号托管平台”获取大量真人账号,可以托管的账号包括微信、微博、抖音等,用户只要将小号托管到平台,平台使用用户小号“干活”获取收益,而用户将获得分成。二是发布众包悬赏、积分墙任务。
其变现链路主要分三步。
第一步:通过百度、论坛、电商平台等发布刷票服务信息,增加服务曝光;
第二步:将有需求用户引流至QQ群、微信群,在微信群完成需求沟通及交易,机刷价格一般在几分钱1票左右,人工价格一般2元1票左右;机刷一般会要求1000票起刷,人工刷票100票起刷;
第三步实施刷票,完成交易。
顶象防控建议及措施
针对短视频平台的黑灰产作弊手段,顶象防御云业务安全情报中心建议在终端、通信传输端进行防范,同时在业务侧进行防范,多场景全链路防控。
具体防控建议如下:
终端加固:
从客户端安全考虑,App需要加终端加固。通过加固技术,实现端安全防护,如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件保护及程序运行保护;通过对APP中可执行文件进行深度混淆、加固保护,让黑产无法直接对App进行逆向、破解;
通信传输安全保障:
在终端增加环境检测等模块后,环境检测模块产生的数据往往没有和业务数据进行绑定,这就造成黑产有可能会篡改报文中的一些数据,所以本方案里运用了一些安全手段,防止终端安全检测模块的数据被篡改和冒用。
终端风险环境检测
黑产会使用模拟器、注入等技术,结合秒拨IP池、自动化程序的方式进行批量攻击;所以终端集成安全SDK以后,会对App运行环境进行检测,检查是否有代码注入、hook、模拟器、云手机、注入、调试、代理、VPN、root、越狱等风险;
业务安全策略防控
道高一尺魔高一丈,经过多次的攻防对抗,有些黑产会不惜提高成本继续接攻击,当黑产攻击方式升级后,防控方案也要对应的升级;建议多场景接入业务安全风控,将注册、登录、积分任务、提现、投票等关联场景业务数据一同发送给风控系统,通过风控系统配置安全策略规则进行完整链路营销作弊风险识别,只传投票一个场景的业务数据进行单场景防控,防控力度远没有多场景全链路防控力度强。
风控维度建议
设备终端运行环境检测,校验运行环境是否正常,如识别指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征,通常营销作弊设备大多具备以上特征;
多场景行为检测,设备使用限制,如限制多账号使用同一设备注册,多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测;
维护本地黑白名单,基于风控数据、历史投票数据,沉淀并维护对应黑白名单数据,包括用户ID,IP地址,设备黑名单等;
外部数据服务,建议对接IP黑库,投票场景黑产为了规避IP风险,经常会结合IP代理池一起组合使用,一票一IP的刷票方式,导致IP行为策略无法覆盖,通过IP黑库可以覆盖此类代理、秒拨、机房及历史黑产行为风险IP模型,线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户行为进行建模,模型的输出可以直接在风控策略中使用。
防控产品组合建议
设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置;
行为验证码:据黑产作弊手段分析,该黑产主要还是以低成本的机刷作弊方式进行恶意攻击,对于机刷,轻部署且最简单的识别工具就是行为验证码,在批量注册、批量养号、刷票、刷积分等业务场景,行为验证码可对请求进行人机校验,可有效拦截此类黑产攻击;
风险IP名单库:机刷为了规避IP风险,经常会结合IP代理池一起组合使用,IP黑库可以覆盖此类风险IP。