回绝羊毛党:经营同学必看的防薅羊毛技能彻底解读
本文摘要:本文旨在对防备羊毛党的技能做个科普,让我们知道羊毛党究竟是怎么薅的,有哪些方法可以根绝羊毛党的薅羊毛行为。enjoy~薅羊毛这三个字我们都十分熟悉了,典故出自 1999 央视春晚小品《昨日?今天?明天》中的“薅社会主义羊毛”,而现在的薅羊毛主要发生在互联

本文旨在对防备羊毛党的技能做个科普,让我们知道羊毛党究竟是怎么薅的,有哪些方法可以根绝羊毛党的薅羊毛行为。enjoy~

薅羊毛这三个字我们都十分熟悉了,典故出自 1999 央视春晚小品《昨日?今天?明天》中的“薅社会主义羊毛”,而现在的薅羊毛主要发生在互联网上,尤其集中在电商平台、P2P网贷平台等。

无利不起早,正式因为这些平台有显着的利益可图,所以即便需要消耗很大的精力,也有很多人乐此不疲。我们可以搜到,网上有各种薅羊毛信息发布网站,还有许多有组织的薅羊毛群体,这背后对错常大的产业。

正因为羊毛党之多,斗争困难,很多网站和商家对此都很苦楚,同时又感觉很羊毛党奥秘,好像羊毛党有什么深不可测的技能,无力反抗。

所以本文的意图就是对防备羊毛党的技能做个科普,让我们知道羊毛党究竟是怎么薅的,有哪些方法可以根绝羊毛党的薅羊毛行为。

我们可以先预览一下全文的脉络:

目录:

1. 羊毛党的分类

1.1 刷单刷票类

1.2 使命类

1.3 黄牛党

1.4 黑客类

1.5 缝隙研讨类

2. 通过运营手法防备

2.1 用户群体限制

2.2 客户端版本限制

2.3 次数/上限限制

3. 通过技能手法防备

3.1 封禁 IP 或 IP 段

3.2 封禁用户

3.3 添加验证码

3.4 体系限流

3.5 离线数据分析

3.6 综合解决方案

4. 总结

5. Q A

1. 羊毛党的分类

依据详细薅的方法不同,可以把羊毛党大致分为五类:

1.1 刷单刷票类

这类用户主要靠刷单刷量获取利益,比如淘宝刷单、刷评论等。刷票也算,代刷投票、阅读数、粉丝数等等。

1.2 使命类

望文生义,很多网站对特定使命会有奖励,比如注册、问卷、绑卡、实名认证等等。有些是耗费时间和留意力,有些爽性是拿自己或他人的信息卖钱。

1.3 黄牛党

黄牛党一般使用信息不对称或者技能优势、人脉优势,可以更早、更快获取信息,也多是团队合作,同享资源,往往会对某些稀缺资源进行垄断,然后再高价转手获利。比如多火车汽车票,有现场排队的黄牛,也有互联网上的黄牛。

1.4 黑客类

假如论技能,这些人也未必称得上黑客。可是特点仍是使用技能手法找到平台安全缝隙,获取利益。假如无节制,直接把羊薅死也不一定。比如积分商城的商品、抽奖的现金、优惠券代金券等等。或者直接爆库,转卖用户数据等。这一类根本都是违法行为,是要追查法令职责的。

1.5 缝隙研讨类

这类用户主要研讨活动规则的缝隙,也可能加上一点技能手法。跟黑客的差异就是,体系可能没有缝隙,只是没有做好防薅的工作罢了。或者是活动规则设计不健全,使之有利可图,比如信用卡养卡。当然,养卡这种还有深层次原因,平台也需要这些活跃用户,这种算是互赖型的薅羊毛。

假如再笼统一点,可以分红手动和主动两大类。手动的薅羊毛,即人肉薅羊毛,靠各种群集合起来,有羊头组织和派发使命,其别人只需抽出些碎片时间参加即可。主动的就是要建立一套程序,在特定活动时开启,或者针对某些平台长时间运转。

本文主要评论怎么防备主动化的薅羊毛,因为除了黑客之外,这种羊毛党危害最大。而防备黑客的话题太大,也没有什么固定的解决方案,评论也没啥用。而关于人肉薅羊毛,做使命、刷单等,现在也没有太好的方法,毕竟都是真实的用户,除非有明确的行为数据模型可以射中,不然只能作为正常用户。这个后边会提到。

2. 通过运营手法防备

我们都知道羊毛党的危害十分大,尤其关于运营活动来说,最常导致的问题就是运营本钱失控、数据样本失真、废物账号稠浊、公正性失期等等。其间运营本钱失控,假如掌握欠好,拖垮公司都是有可能的。而数据统计的失真,也导致无法明晰判断后续的运营策略。羊毛党的蜂拥而至,也会下降真实用户的积极性这忠诚度,榨干平台。

要想防备羊毛党,最主要的仍是控制利益的引诱,防止直接利益,比如红包话费等。而关于优惠券之类,用户需要购买才干使用的,引诱就没那么大了。除非是五折以上或者是大额现金券。此外,购物也需要填写明确的收货地点及其他个人信息,羊毛党会相对慎重一些。

因此,在制定营销活动时,有必要制定齐备的事务规则,有必要要有相应的活动门槛和限制,例如:

2.1 用户群体限制

界说哪些类型的用户能参加活动,指定明晰的分界限。关于特定的活动,可以适当提高参加门槛,比如 V2 以上会员可以参加,有过购买记载的可以参加等等。这种主要针对特定群体会员做运营,关于被扫除在外的用户,体验就没那么好了。

2.2 客户端版本限制

界说哪些 APP 或小程序版本能参加,比如:拉新活动要求有必要使用最新版 APP 注册才给奖励。

2.3 次数/上限限制

明确界说账户级、设备级、实名信息级能参加活动的上限和参加活动的频率等。活动给用户的预期要控制在合理的规模,并且控制上限,才干有用防备羊毛党。比如每一个账号的上限,每日活动预算的上限。活动规则中也要明确说明,假如发现有人通过刷单刷票等形式违规操作,平台有权撤销其参加资历或相应奖励。这样关于异步发放的奖品,也能够在发放之前查看一下数据,筛掉可疑用户。

终究,关于所有活动的数据,在开发之前就要明确提出需要监测哪些数据。不然活动都现已跑起来了,没有预先埋点的东西肯定是拿不到的。作为运营对数据一定要极其敏感,假如有暴增的用户量或者参加量,就要当心是否是有羊毛党来袭,而不是莅临着乐。

3. 通过技能手法防备

我们可以先简略看一下腾讯云的防刷接口对风险类型的界说:

通过技能手法薅羊毛,最多见的就是高频刷接口,歹意注册账号,撞库等。而这类羊毛党,一般会很多养卡,或有很多虚拟的打码平台,可以提供手机号+验证码效劳。有的可能还会具有很多动态IP地点,海外效劳器,以及批量的身份证等。还有专业的设备,称作“猫池”、“卡池”。关于移动端的事务,许多这类公司还购入很多实体手机,再通过软件批量控制,称为“群控”,这个我在《微信里的赚钱路子》文章里提到过。关于这种羊毛党和黑灰产,传统的防护手法一般有三种:封IP,封用户,添加验证码。下面分别进行说明。

3.1 封禁 IP 或 IP 段

针对异常 IP,我们可以通过技能手法直接封掉。现在大部分网站的接入层都是 Nginx,那么可以考虑使用 deny 配置封禁 IP 或 IP 段:

deny 1.2.3.4;deny 1.2.3.4/24;

假如运维层面不便利操作,也能够把请求放到应用层封禁,由 WEB 容器来解决。这里要留意,封禁 IP 或 IP 段是有风险的,许多公司对外的出口 IP 都是统一的,假如全公司很多人同时拜访某网站,就可能被误伤。同享的 WIFI,某些移动基站也多是有固定的出口 IP,所以最好容易不要封禁 IP 或 IP 段。

3.2 封禁用户

我们可以依据某些特定的规则,筛选辨认出一批用户,对其进行一些限制。可以选用黑名单机制,或者用户风险分级、信用分级等等。然后再依据黑/白名单,或用户等级限制特定的行为,比如完全回绝效劳、限制某些功用、限制大奖等等。

封禁用户的标记有很多种,最根本的假如用户有登录态的话,就能够直接封账号。假如没有的话,可以通过设备指纹来标识设备,依据平台的不同,设备指纹可所以 PC 端的阅读器指纹,移动端的 IMEI、MAC 地点、UUID 等,或者这些条件综合起来核算出来的 machine key,使之无法造假,然后在要害请求时校验 machine key 的合法性。

网络环境也是个因素,WIFI 和 4G 的切换,或者网络 IP 的变化,都可所以回绝效劳的理由。这种在银行 APP 中最多见,假如切换了网络,银行 APP 一般会要求从头验证身份才干继续操作。然而,现在市道上现已呈现了各种改机软件和模仿器,能不断修正设备信息,让一般的设备指纹失掉作用。

这种方式的风险就是,规则要慢慢养成,过程当中必定有遗失和误杀,操作不妥可能会引起很多投诉。所以这种方式最好是宽进严出,默许用户都是好的,再慢慢收紧,辨认出明确的歹意用户。关于可疑但不确定的用户,可以先标记等级,再针对这些等级单独观察后续行为后,对其进行等级的升降。然后针对不平等级限制行为。

关于羊毛用户的辨认标记,可所以根本数据是否健全,比如资料是否完好,是否有真实可信的昵称,手机号等;行为数据,如鼠标点击、鼠标移动、按键次数,每次打卡是否固定时间等等;更高级一点的,可以施行全途径实时布控策略,从 APP 启动、账号注册、登录,到事务场景(如直播热度/电商销量排行等),再到设备风险(篡改、虚拟机、设备农场、积分墙等)设下层层关卡,全栈式防御欺诈行为。

3.3 添加验证码

验证码有很多种,往往加在重要操作流程中,比如注册/登录/绑卡/支付等环节,我们应该都体验过八门五花的验证码。比如注册用户时的拼图滑块、Google 的 I m not robot、手机验证码、图片验证码等等。

第三方授权的功用也是一道天然屏障,比如微信授权、QQ登录授权,这样歹意用户需要先通过第三方验证一道,最少在拜访频率和账号真实性上多了一道屏障。假如事务允许的话,还可以要求用户进行实名认证,密保问题校验等等。当然,步骤越多体验就越差。

验证码的主要作用就是区分操作者究竟是人仍是机器。可是不同的验证码难度千差万别,普通的手机验证码,有专门的打码平台可以提供 手机号+验证码 效劳,并且都是程序对接,主动化执行。而关于一般的图片验证码,也有很多公开的图片验证码辨认效劳。因此才会导致各个平台的验证码越做越杂乱,到了人类都很难辨认的程度,体验很差。

3.4 体系限流

限流只能一定程度上缓解,或者说让风险可控。主要是防止歹意请求流量、歹意攻击,或者防止流量超出体系的峰值,破坏体系。前面第 1 小点封禁 IP 也能够了解为限流的一种,在接入层直接回绝,关于体系资源的损耗最小。而关于网络流量,能够使用 Nginx 的 limit 模块进行限制,防止过大的流量穿透到后端应用。

常用的限流算法有两种:令牌桶算法,漏桶算法。令牌桶算法,是一个存放固定容量令牌的桶,单位时间内,拿到令牌的才干通过,多余的不派发令牌;漏桶算法则是单位时间内流出的数量固定,流入无所谓。那么无论关于网络请求的数据量,仍是用户新增的数量,奖品发放的数量,都能够使用这两种思路进行限制。这里是体系架构的常识,不再赘述。

3.5 离线数据分析

假如活动现已在进行,或者活动现已完毕,可是总感觉不对劲,这时候候就要选用离线数据分析的方法,细心区分是否有羊毛党的存在。那么数据从哪里来呢?

前面提过,除了活动有必要的数据之外,假如想更深化地分析用户行为,那么在需求设计阶段就要想好,期望记载哪些行为,便于后续分析。假如体系没有提供这些能力,显然也没有相关的数据可以分析了。

3.6 综合解决方案

完好风控解决方案,不只要考虑用户体验,同时又要兼顾效果,需要考虑很多方面。因此有很多巨细公司都专门提供了这方面的解决方案。比如腾讯、阿里、网易等等,此外还有许多提供这种事务的公司,查找“防薅羊毛”就会呈现很多。这些解决方案的根本原理与上述技能无异,只是数据基数更大,再加上机器学习和大数据分析,可以更加精确辨认出歹意用户和黑产用户。

以下内容(3.6.1 3.6.4)来自网易易盾《全链路风控解决方案深度解读》中提到的风控效劳,不代表自己观念,仅供参考,文末参考文献中有文章链接,感爱好的同学可曾经往查看。

事前预防:通过数据采集收集用户侧信息、通过事务规则来约束参加活动的门槛、通过身份核验来确认用户身份等手法,防止风险工作的发生。

事中检测处置:通过实时在线的手法来检测风险,并做相应的风险处置,防止风险工作的发生。

事后分析回馈:基于长周期的离线数据分析,核算用户侧、设备侧、IP侧、事务侧的各种风险特征,并作用于事前风控和事中风控。

3.6.1 事前预防

事前预防主要有三个层面的事项:数据采集、事务规则、身份核验。

a)数据采集

在事务活动的各个阶段,都需要埋点采集数据,主要有设备指纹、操作行为、网络数据、事务数据、第三方数据等。采集的数据主要用于事中的风险监测和事后的离线分析。

b)事务规则

在制定营销活动时,有必要制定齐备的事务规则,有必要要有相应的活动门槛和限制,例如:

用户群体限制:界说哪些类型的用户能参加活动,指定明晰的分界限。比如:电商大促常常呈现的神券,可以限制账户等级 3、年度内购物次数 2才干收取等等。 APP版本限制:界说哪些APP版本能参加,比如:拉新活动要求有必要使用最新版APP注册才给奖励。 参加次数限制:明确界说账户级、设备级、实名信息级能参加活动的上限和参加活动的频率等。

c)身份核验

身份核验主要是为了确保是用户自己来参加活动,主要手法包括:手机短信校验;验证码校验;密码校验;密保问题校验;本机校验:校验手机号对应的SIM卡是否在其时设备中使用;实名认证,有三种:1)身份证OCR校验;2)身份证OCR、人脸校验;3)身份证OCR、活体检测;个人信息。

3.6.2 事中检测处置

事中检测主要依赖人机辨认、风控引擎、风险处置三个手法。

a)人机辨认

人机辨认主要区分是人,仍是机器主动化的行为。客户端与后端的数据交互过程当中,添加如下的数据保护手法,一旦发现数据有问题,则都是机器行为。数据合法性校验;数据加解密;数据篡改检测。

b)风控引擎

事中检测的核心东西就是风控引擎,风控引擎主要的工作是辨认风险,一般的风控引擎都需要如下几个功用:

名单效劳:建立黑、白、灰名单; 画像效劳:建立基于IP、手机号、账户等层级的画像效劳; 指标核算:一般包括高频类统计、求和、计数、求均匀值、求最大值、求最小值等等; 风控模型:基于采集到的数据,建立风控模型,比如:设备模型、行为模型、事务模型等; 规则引擎:最终的风控数据进入规则引擎,由规则引擎判断是否存在风险。风控运营需基于事务建立各种风控规则,以辨认风险。

c)风险处置

辨认到风险之后,需要对风控进行处置,处置手法一般有:

二次校验:比如,正常用户无需二次校验,有风险的用户需再次校验手机短信等; 拦截:回绝其时事务操作; 下降奖励:比如,正常用户的奖励金是1元,风险用户奖励金是0.01元; 拉黑:直接进黑名单; 名单监控:进灰名单监控; 风险审核:进入人工审核,比如:电商场景的订单事务,一般嫌疑类风险订单,都会组织人工审核。

3.6.3 事后分析回馈

事后主要是做离线分析,分析成果可作用于事中实时检测和事前预防。关于T+N的事务(比如:拉新奖励金提现),离线分析之后,若辨认出风险,也能够做拦截(回绝此次提现)。

离线分析主要有几个方面:

离线指标:基于长周期、大数据的离线指标核算; 关联分析:基于前后关联事务、关联数据做关联分析,辨认风险用户、风险操作; 杂乱网络:基于用户数据、设备数据、网络数据、事务数据,建立杂乱关系网络,基于数据与数据之间的关系,来辨认风险; 模型训练:基于机器学习、深度学习技能来构建事务模型、设备模型、行为模型,或文本类模型(异常地点检测、异常昵称检测)等; 名单库:通过离线分析,堆集、沉淀各种名单库; 数据画像:基于离线分析,对账户、IP、设备、手机号等构建数据画像。

3.6.4 全链路布控

全链路风控解决方案另外一个十分重要的过程是:全链路布控。若只是构建了全链路风控模型(东西),未做全链路布置,那也是牛鼎烹鸡。

全链路布控主要要做到:

多事务设防:在事务的各个环节都需布控防刷手法,一般的营销活动都需先注册、登录,再参加营销活动。所以,可以在注册、登录、营销活动各个环境都布控风控检测。

联防联控:前置事务为后置事务产出事前特征,防止后置事务风控检测冷启动;后置事务为前置事务提供事后特征,比如:准实时、中长周期的风险特征。

3.6.5 第三方解决方案的弊端

第三方解决方案的弊端就是对体系的侵入,需要我们在自己的体系里嵌入许多外部代码。那么带来的风险就是,体系数据悉数开放给外部,用户数据风险,事务运营数据风险,体系可用性风险等。一旦外部体系呈现问题,可能导致我们自己的体系不可用,或者数据泄漏。假如不能承受这一点,或者无法信赖第三方,或者公司政策不允许,那就无法使用这种效劳。

4. 总结

终究,我综合总结一下全文的梗概,假如前面都没细心看的话,那么只看这里就能够了。

(1)适用规模

主要针对主动化薅羊毛的防御。

(2)事务逻辑设计

拉新活动要当心(拉新送、注册送、重视送、新用户立减、日常打卡、签到、取得积分、积分兑换、抽奖)。

(3)体系设计

接入层:Nginx,限制频率,IP 黑名单(代理IP辨认);

应用层:redis,漏桶,令牌桶算法;

接口层:拜访控制,防重入 token(token是用户一次操作的仅有标识),模糊的呼应利诱歹意请求;

事务层:验证码,黑/白名单机制(大数据),设备指纹,行为数据,全链路布控;

界面层:提高破解门槛,防主动化(按键精灵等);

数据分析:分析前史做弊数据,优化活动奖励,选用堵不如疏的策略,与其强硬的一刀切,不如提高攻击本钱,减少获利;机器学习,大数据反做弊平台,GCN、Node2V、Louvain、GAN、GBS、LSTM等模型,我也看不懂了~

以上,就是防备羊毛党相关技能的悉数内容,建议保藏。终究,我们再回忆一下文章脉络:

5. Q A

问:要不要使用第三方风控效劳?

答:这完全取决于你地点公司或事务的状况,包括对数据风险的容忍度、体系对接的难度、费用问题、招标等等。详细状况详细分析了。

问:被回绝的用户的体验是怎样的?

答:这里可以适当柔性处理,假如不确定是否歹意用户,可以做隐性的限制,再依据后续行为继续观察打标。关于歹意刷接口、刷票等,也能够返回具有利诱性的过错提示,防止羊毛党猜到体系判断逻辑。比如我就遇到过刷票接口,使用技能手法尝试,每次都返回投票成功,但实践并没有,你也不知道为啥,因为没有特定的过错码和提示。别问我为何知道。

问:限制主动化有详细的例子吗?

答:微信 PC 客户端就是个很好的例子。你可以用按键精灵或者 autoit 之类的软件尝试,会发现它的窗口是捕获不到的,所以就很难编写主动化脚本。不过,在安卓下面因为体系可以高度定制,所以这都不是问题了。

好了,如有我们还有其他任何疑问,欢迎随时留言与我交流。

参考文献:

 

作者:姬小光,微信大众号“姬小光(ID:hi-laser)”

本文由 @姬小光 原创发布于人人都是产品主管。未经答应,禁止转载。

题图来自Unsplash,基于CC0协议


你好,我是你的粉丝,一直都有在看你宣布的文章,十分的喜欢,不知道便利留一下的VX吗?


我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦我我你摸摸摸摸摸摸默默哦哦哦


现在银联云闪付和招行掌上日子这类大厂APP某些运营活动主要就是给羊毛党用的,作者能否解释一下,因为APP也需要他们来展示活动的活跃度


意图不一样。羊毛党并不是全无作用,在风险可控的状况下,羊毛党可以起到很好的活跃和传达作用


人人都是产品主管(woshipm)是以产品主管、运营为核心的学习、交流、分享平台,集媒体、培训、社群为一体,全方位效劳产品人和运营人,建立9年举行在线讲座500+期,线下分享会300+场,产品主管大会、运营大会20+场,掩盖北上广深杭成都等15个城市,内行业有较高的影响力和知名度。平台集合了众多BAT美团京东滴滴360小米网易等知名互联网公司产品总监和运营总监,他们在这里与你一同生长。

相关内容