五一暗战黄牛党

admin 2023年5月12日09:25:32评论69 views字数 3790阅读12分38秒阅读模式

“3、2、1,开抢!”

2023年4月21日晚上8点43分,A景区的几位工作人员围坐在会议室,疯狂地点击着购票小程序。但放出的5000张门票一秒售罄,会议室仍然无一人买到。

这样的测试他们做了很多次,8:11、8:23、8:37……每次放票都是随机设定的时间。“我们自己知道几分几秒放票,蹲点抢都抢不到,更何况普通游客?”多次测试失败后,会议室的气氛变得愈加紧张。

一般情况下,正常的用户从选择日期、提交订单到支付,至少需要三四秒。如今一秒就售罄,很明显,门票都被黄牛用自动化工具扫走了。

A景区是知名的5A级国家景区,五一假期即将到来,因门票秒售罄已经连续几日被顶上了热搜。为了保证普通游客的权益,A景区迅速找到腾讯安全天御风控团队寻求帮助。

一场与黄牛党的暗战,就此拉开。

五一暗战黄牛党

千里驰援

直接拉上战场

2000多公里之外的深圳,腾讯安全天御风控团队迅速拉起了紧急会议,商讨A景区的黄牛党对抗方案。

“有点难搞啊,它的数据散落在各个地方,一条完整的数据链都没有。”腾讯安全专家Sonic眉头紧锁。

五一暗战黄牛党

这是传统文旅行业普遍存在的问题。他们的数字化程度不及互联网公司,缺少齐备的IT运维及技术人员储备,售票的小程序前端、后台等模块通常会交由第三方公司来负责,上下游数据可能割裂在不同的模块里,无法给到全链路的数据。

“黄牛党对抗的关键,就是从过往的订单信息中去捕捉他们的‘身影’,例如抢购的频率、设备的聚集度、IP的聚集度等等。然后通过算法模型对数据进行深度挖掘,分析黄牛党的抢购方式、路径以及画像等等,从而制定相应的风控策略。”据腾讯安全专家Nathan称。

兵临城下,在没有过往数据进行离线测试的情况下,腾讯安全天御风控团队只好快速部署SaaS版方案,进行第一阶段的防护。“就像打仗,没有练兵,直接就上战场了。”Sonic说。

腾讯天御风控团队有着二十多年的黑灰产对抗经验,但面对数字化程度不高、黄牛党对抗需求较少的文旅行业,还是较为谨慎。在部署初步方案的同时,天御风控团队兵分两路,展开了与黄牛党对抗的第一回合。

第一路,补齐数据链、白夜追凶。

敌暗我明,需要把历史订单数据“补”齐,才能摸清黄牛党的“作恶链条”。好在,A景区、第三方开发公司也积极响应,三个团队用了整整2天的时间,“修补”4月份的所有订单数据。腾讯安全的算法模型专家则同步抽出正负样本,进行深度分析,制定进一步的防护策略。

第二路,布阵陷阱、加固堡垒。

除追踪黄牛党之外,天御风控团队还为A景区配置了基础的防护策略,例如限定每个账户买票的数量,拦截查询频次异常的账户等等。同时,在售票小程序上埋下了设备指纹、蜜罐等层层陷阱,在后续的放票过程中“围猎”黄牛。为了防止黄牛对小程序安装包进行反编译,天御风控团队还对小程序进行了进一步加固。

“原来90%多都是黄牛

咱这是捅黑窝子了”

初步的方案部署后,A景区的门票从一秒售罄,支撑到了几十秒。虽然抢票时间有所变长,但是后台的监控显示,拦截率为——7%。

“机刷只占7%?”Nathan陷入了沉思。“其他订单都是真实的姓名、身份证号……黄牛在用真实的用户信息刷票?!”

五一暗战黄牛党

时间越来越紧,4月24日Nathan和Sonic也赶到A景区的现场,与景区工作人员面对面商讨对抗策略。这时Nathan发现一个关键点,A景区只发售一星期之内的门票,而在某生活服务平台上则能购买官方尚未发售的门票,价格比官方高出两三倍,捆绑了所谓的“导游讲解”等附加服务。

“你在平台上下单后,他们会发送一条出票成功的信息。然后等A景区门票正式开售之时,黄牛就用自动化脚本去抢票,快速填写在平台上获取的真人信息。若抢票成功,则会给你正常出票;若抢票失败,则会发信息通知出票异常。”Nathan摸清楚了黄牛党的作案手法。

从下单后的信息来看,这背后最大的黄牛是一家当地的旅行社,每天薅走一大半的门票。A景区工作人员表示,所谓的“导游讲解”并不存在,到了景区现场是找不到人的。

过去的很多年里,这些“不起眼”的旅行社似乎没有天敌,盘踞在各大热门景区的背后大口吸血。而今年年初疫情全面放开以来,文旅行业快速复苏,将旅客和黄牛党的门票矛盾暴露无遗。景区也开始引入正规军,绞杀黄牛党。

24日下午,4月份订单数据链条终于补齐,腾讯安全算法模型专家也通过数据样本的快速学习,为A景区定制了一个实时计算的流量风控引擎,展开了与黄牛党对抗的第二回合。

晚上8点,升级了防护策略的A景区开始放出2000张票,大家屏住呼吸观察门票消耗情况。最终,门票在20分钟内卖完,有1000多正常用户进来,相当于一个用户买到了两张票。“这个消耗的情况非常良好。”A景区工作人员终于露出了微笑。

“卧x,拦截率直接飙升到了90%多。”腾讯安全算法模型专家指着监控屏幕感叹道,“原来90%多都是黄牛,咱这是捅了黑窝子了。”

五一暗战黄牛党

监控屏幕的另一端显示,8点正式放票,在8:0000001的时候,就瞬间涌进十几万个访问请求。而这些请求都是黄牛党发起的,所以正常用户手速再快,也抢不过机器人脚本。

5分钟

黄牛党攻击了100万次

与传统互联网中批量注册小号的黄牛党不同,文旅行业的黄牛呈现出真人作恶的特征,而真人对抗的难度比机器对抗大很多。

“黄牛党用的都是真实账号、真人信息,难点就在于我们需要从真人信息里辨别善恶。”Nathan说。“比如说我们采用的蜜罐技术,会对抢票全程用时过快、下单频率过高的IP进行标记,染上第一笔‘墨’,随着IP的可疑动作越来越多,此IP的颜色便会越染越深,直到成为风控系统中的黑样本,还能够实现溯源追踪。”

在第二回合的对抗中,天御风控团队设计的实时计算引擎,可实现分钟级、小时级、天级等不同的策略级别,根据业务订单信息实时计算出最佳的防护策略。并且,天御风控团队每天都会对阈值进行修复和调整,让黄牛党无法测试出明确的阈值设置。

但是,4月25日晚上8点,意外发生了。A景区门票开售后,一个IP不断对小程序发起网络扫描和攻击行为,五分钟超过了一百万次。

原来升级策略之后,黄牛党仍然在持续扫描小程序接口,但下单请求统统都被系统拒绝。于是,黄牛党不断加码扫描的频率,从一秒钟几百次加到几千次几万次,试图冲破防护。由于后端第三方开发公司没有设置流量疏通策略,高频率的访问直接把小程序打崩了。

小程序崩了。黄牛党买不了票,正常用户也买不了票。

“黄牛党这是疯了吧!”Sonic无奈地摇了摇头。

实际上,治理恶意流量很简单,就如同治水,堵不如疏、疏不如引。天御风控团队迅速联系第三方开发公司,帮助其在系统里增加新的管控模块,将拦截下来的黄牛党“脏流量”,引到无效的处置中,与跟正常用户流量进行隔离。

就这样,在双方的通力合作之下,小程序在10分钟内恢复了正常。

五一暗战黄牛党

请君入瓮

这回它踢到了钢板上

两个回合下来,黄牛党所用的设备、账号、IP等信息逐渐被天御风控团队掌握。无论黄牛党怎么轮巡、下单,都被系统快速拦截。

“留给他们的只剩一条路了。”Nathan嘴角泛起微笑。

因为真实的好账号是有限的,真人信息也是有限的。假设黄牛党有手里有100个高质量账号,但在几天频繁的操作下,几乎都被天御风控系统拉进了“小黑屋”。当黄牛党传统的手段悉数失效后,就会一步步逼上互联网黄牛的“造假之路”,而这就到了腾讯非常优势的领域。

“小程序有一个账号体系ID,黄牛党会从前端抓取Open ID,批量生成与真ID长度、构成等相似的假ID,然后用假账号再去狂刷抢票接口。”Sonic解释道。

果然不出所料。4月26日晚上8点,A景区门票开售后,后端服务就收到了大量虚假账号的请求。天御风控团队早就埋下小程序设备指纹、业务风控系统,系统能够在后端实时校验账号的真实性,只要假账号一冒头,就能直接打掉。

这一招“请君入瓮”,让黄牛党最后的挣扎踢在了腾讯的钢板上,不战而屈人之兵。

小程序设备指纹是腾讯天御风控的能力壁垒,在小程序生态刚刚兴起时,就已经做了针对性的风控布局。不仅如此,如今文旅、零售、生活服务等众多行业,都基于微信小程序开展服务,这让长期在小程序生态下做风控对抗的天御团队,更加了解可能会碰到哪些难题,以及如何能更快更好地解决。

不仅如此,腾讯有着伴随中国互联网发展全周期的风控能力积累,自诞生以来就与黑灰产斗争,二十多年间沉淀了大量可复用的“反黑”武器和经验。就像人体的免疫系统一样,感染过各种病毒之后,体内的免疫细胞储备就会越充分,一旦病毒入侵,就知道要启动何种免疫细胞进行防御。

五一暗战黄牛党

三个回合下来,黄牛党招数用尽,放弃了所有的抵抗。

在4月27日-5月3日期间,A景区的门票销售情况非常健康,从此前的一秒售罄,到半个小时逐渐消耗,让真实的用户都可以买到门票。

结语

年初疫情全面放开以来,文旅行业逐渐成为了黑灰产的主要目标。在过去的许多年里,腾讯天御风控团队更多是帮助泛互企业做黑灰产的对抗,这一次文旅行业的暗战,给他们带来了不一样的成就感。

“看到每天有几万游客能够顺利买到门票,开心出游,我们是非常欣慰的。这也让我们深切地感受到了数字科技给普通人生活带来的变化,对我们的工作来说,是一个非常大的激励。”Nathan说。

A景区的五一对抗告一段落,但文旅行业与黄牛党的战争并未结束。

对抗结束后,腾讯天御风控团队来不及欣赏景区的风景,便匆匆踏上了下一个景区的防护旅程。

他们的背影,消失在人头攒动的夜色中。

原文始发于微信公众号(腾讯安全):五一暗战黄牛党

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月12日09:25:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   五一暗战黄牛党https://cn-sec.com/archives/1728167.html

发表评论

匿名网友 填写信息