互聯網的快速發展,既給人們的生活帶來很大便利,又催生了黑灰產這樣的畸形產物。
如果你對黑灰產不太瞭解,但“薅羊毛”一詞,相信很多人對它並不陌生。
2019年初,拼多多因優惠券出現bug,一夜之間被“羊毛黨”薅走200多億。這件事情,不僅讓人們對拼多多的電商安全產生懷疑,而且爲“羊毛黨”的行爲所震驚。
在《2018雙十一前夕電商行業黑灰產研究報告》中,威脅獵人指出:
黑灰產從誕生、發展到現今高度成熟的整個歷程中,電商行業扮演了重要的角色,在海量的新用戶紅包、優惠券、代金券、打折商品、秒殺活動等“真金白銀“的驅使下,黑灰產大軍變得越來越龐大。
同樣在這份報告中,威脅獵人的數據表明,在2018年雙十一前夕:
黑灰產虛假註冊主流電商平臺賬號達到1545980個;
黑灰產針對主流電商平臺接口的攻擊量達到134743987次,其中爬蟲攻擊佔42.62%;
針對主流電商平臺黑灰產工具樣本新增768種。
事實上,黑灰產已經成爲電商平臺面臨的主要安全威脅。黑灰產不僅干擾了正常的電商購物環境,而且直接影響到人們的網上購物體驗。
關於電商安全和黑灰產,InfoQ記者有很多疑問:
現在,電商安全現狀如何?與5年前相比,有何變化?如何理解電商面臨的安全問題?黑灰產現在有哪些特點?呈現一個怎樣的發展趨勢?電商企業該如何對待它?如何去識別和打擊黑灰產?對電商平臺而言,黑灰產最大的影響是什麼?
帶着這些疑問,InfoQ記者專訪了唯品會安全經理方斌。
據悉,唯品會2013年正式組建安全團隊,方斌於2014年加入,並與唯品會安全團隊一起成長。今年10月,他將在QCon全球軟件開發大會(上海站)2019分享題爲《電商複雜場景下的黑灰產對抗實踐》的演講。
據他介紹,唯品會安全團隊經歷了從0到1,最高峯團隊成員達到60+,涉及應用安全、基礎安全、業務安全、監控響應、安全產品、安全開發和安全管理,甚至有專業的安全項目團隊管理安全的所有項目。
現狀:電商安全變好,安全形勢越來越緊張
今天,人們的生活和工作都離不開電商。
在方斌看來,隨着電商行業的快速發展,網購、網上支付等新領域正被大家熟悉和認同。對電商而言,保障一個安全、健康的線上購物環境顯得尤爲重要。
他說,“現在的電商安全受大環境影響,逐漸變得越來越好,從保護購物環境安全到用戶隱私安全,這些都是各大電商企業非常重要的指標。”
不過,方斌也坦承,與5年前相比,電商面對的安全形勢也越來越緊張。5年前,黑灰產採用人工刷單模式,現在的黑灰產,已經開始使用AI刷單、自動化智能刷單,這也促使電商安全在對抗黑灰產的過程中需要不斷進步、不斷昇華。
電商安全的大敵:黑灰產
作爲電商平臺來說,其核心業務是線上購物平臺。電商面臨的安全問題即是業務面對的安全問題。
據方斌介紹,電商平臺當前面臨的主要安全威脅是黑灰產。
所謂網絡黑灰產,指的是電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網絡開展違法犯罪活動的行爲。稍有不同的是,“黑產”指的是直接觸犯國家法律的網絡犯罪,“灰產”則是遊走在法律邊緣,往往爲“黑產”提供輔助的爭議行爲。
據悉,網絡黑灰產已形成年產值達千億級別的龐大“黑金”利益鏈,並通過上中下游的嚴密分工構建起了一個密切協作的網絡,輕則讓企業遭受數千萬元損失,重則讓企業直接破產。
對電商平臺而言,黑灰產不僅干擾了正常的電商購物環境,而且直接影響到普通用戶的網上購物體驗。
他說,“在現今的電商安全挑戰中,黑灰產是屬於干擾正常購物體驗、影響正常用戶線上購物的一個業務挑戰。作爲電商企業,需要有專業的安全團隊、風控團隊去對抗它,並且這個過程是長期的。”
我們以唯品會爲例,進一步介紹其風控措施。
據方斌介紹,跟各大互聯網企業一樣,唯品會的風控初期,因各類系統不完善,導致我們在阻斷事件需要利用多個不同系統來進行,但在後期,“我們不斷完善系統的建設和檢測能力,現在已經做到基本上無需人工參與,即可打擊黑灰產的惡意刷單行爲。”他說。
在《2018雙十一前夕電商行業黑灰產研究報告》中,威脅獵人將電商黑灰產分爲四類:以賬號爲核心的黑灰產、以流量爲核心的黑灰產、以變現爲核心的黑灰產和以信息爲核心的黑灰產。
在黑灰產業鏈中,賬號是基石,其數量和質量很大程度上決定了黑灰產的投入產出比,在電商行業更是如此。在雙十一前夕,黑灰產會儲備大量的電商平臺賬號,這些賬號往往被用於刷銷量、刷好評、秒殺特價商品和搶優惠券等。
不過,隨着技術的發展,黑灰產也在進化,它們變得更加強大。
方斌表示,“在對抗黑灰產的過程中,我們發現黑灰產也在不斷進步,利用一切可利用的信息,形成自動化刷單,無需人工參與,甚至有的黑灰產團隊利用AI技術再刷單。”
黑灰產是唯品會乃至所有電商企業面臨的挑戰,並且還存在因自身業務特徵到產生“hold庫存”的挑戰。
“面臨這些挑戰時,我們也是通過各種維度去打擊,包括審單、砍單、機器學習、AI等先進技術去打擊。”他說。
同時,他也提到,打擊黑灰產不是一家電商平臺的事情,需要各大企業聯合起來,互助互補,彌補各家企業在打擊黑灰產維度上的缺陷。
對於文章開篇提到的拼多多一事,方斌指出:
各大電商平臺初期都會經歷”薅羊毛“,唯品會也一樣。
主要是因爲初期業務發展迅速,業務安全、風控檢測等能力無法全面覆蓋,而業務方安全意識較薄弱,從而使一些領券接口未經風控檢測暴露出去,給企業帶來一定損失。
作爲安全人員,尤其是電商安全人員,從來都不敢忽視任何細節。
“這件事情發生後,各企業包括電商公司的安全人員應該要引起特別重視,安全事件往往發生在那些易被忽視的細節上,所以我們要舉一反三,排除各類接口的安全隱患,加速風控能力的建設,保障業務健康運行。“他說。
新複雜環境,電商平臺的安全在哪裏?
今天,中國的電商環境越來越複雜,這種複雜性表現在多方面,比如用戶行爲習慣的改變、新零售的興起、多場景的融合等等。
這種複雜性同樣會傳導到安全上。那問題來了,這種情況下,電商平臺該如何保障系統安全、業務安全?
在方斌看來,電商平臺講究業務優先,要以業務爲主,保障業務安全健康的運行。並且,安全是多面性質的,特別是企業安全、電商安全,不能忽視任何一個微小的細節。不僅是在業務安全、風控檢測能力上,還要保障好產品安全、系統安全。
以唯品會爲例,其系統安全以SDL爲模型,力保每個上線的項目都需經過安全評審。安全評審不僅僅是做代碼評審,還包括需求評審、服務器的基線評審。
SDL,全稱Security Development Lifecycle,中文即安全開發生命週期。它指的是一個幫助開發人員構建更安全的軟件和解決安全合規要求的同時降低開發成本的軟件開發過程。
他說,“安全評審的重點是在需求評審環節。在需求評審過程中,我們針對業務的需求提出安全要求,提前規避安全風險點,從而使項目能快速上線運行。在業務安全建設上,確保可疑風險點已對接風控檢測,從而在業務場景中攔截到刷單等惡意行爲。”
在QCon上海2019的演講中,方斌老師將爲你介紹唯品會獨特的業務模式下的安全問題、“黑色星期五”的緣由和黑灰產的多樣性。如何識別黑灰產?如果在面對不斷有新活動、新玩法、日日促銷的電商複雜場景下,能否快速保障系統安全、業務安全,打擊黑、灰產?點此瞭解答案。