試想一下,如果你收到了這樣的私信:
某交友平臺上:看你照片覺得挺帥的,能加下微信聊聊嗎,我微信**********
某音樂平臺上:發現你聽的歌我都愛聽,要是可以的話交個朋友,我qq**********
某運動健身平臺上:以前我是一個100多斤的小胖子,自從用了她家的減肥產品都瘦了二十斤了,效果真的不錯,有需要的朋友加他qq**********
某二手交易平臺上:阿迪達斯,耐克,LV,你喜歡的應有盡有,價格非常便宜,和正品沒區別,加我的V信**********,支持貨到付款
對于這類信息,我們似乎已經司空見慣,有的APP一段時間沒清理,私信就變成99+。但其實,給我們發送這些私信的,既不是寂寞的帥哥美女,也不是與你音樂品味相同的“知音”,更不是減肥成功的勵志小胖,他們甚至都不是真實的“人”。
“他們”很可能只是黑產用來引流的自動化腳本。
黑產為了實現發廣告、賣東西、吸粉、導流、詐騙等目的,會利用平臺的私信功能,批量一對一給用戶發送信息,最終目的只有一個:獲利。
為了使利益達到最大化,黑產手中的商品信息、導流信息、詐騙信息需要快速、大量、低成本的曝光,因此黑產不會真的一條一條手動給用戶發送私信,這種方式成本高且效率低下。此時,腳本模擬、數據打接口等手段提高了黑產的“生產力”。也就是說,黑產們無需自己動手,只需要設計并運行引流腳本,就能自動將一條條私信、評論源源不斷地發送給用戶。
自動化引流腳本從哪獲得,又如何運行?
目前市面上存在各類大大小小的腳本工作室,他們根據不同平臺的特點,設計出專門針對電商平臺、直播平臺、交友平臺、網購平臺的引流腳本,有的賣家還會提供針對不同場景的引流話術,再將腳本和話術打包賣給需要引流的用戶。
用戶拿到引流腳本,第一步需要下載模擬器;
(模擬器是一種讓手機APP在電腦上運行的軟件,能夠在電腦上模擬安卓系統,實現安卓應用的安裝、使用和卸載)
第二步,下載、安裝客戶端和引流腳本;
第三步,運行客戶端,注冊賬號;
第四步,設置引流腳本的功能、話術、操作時間;
第五步,在客戶端界面運行腳本。
自動化引流腳本開始運行,黑產就能“坐收漁利”,無須手動操作,即可給用戶24小時不間斷地發送私信、評論,獲得免費的流量。
某音樂平臺中用戶收到的腳本引流私信
致命弱點,讓引流黑產被“抓包”
自動化引流腳本看似一勞永逸,實則存在一個致命的弱點。
黑產在利用腳本發送私信的過程中,一般需要給機器操作設置兩個時間:
某短視頻平臺引流腳本
“操作延時”是指給一個用戶發完私信,切換到下一個用戶的間隔時間;“話術延時”是指給同一個用戶發多句話時的間隔時間。
正常人發送私信時,時間間隔是不固定的,秒回、十分鐘說一句話或者不回復都是有可能的。
而黑產的私信腳本就沒有這么“人性化”了:由于機器操作的穩定性,腳本在給同一個人發多句話時,會存在穩定的時間間隔,這一點有別于真人與真人的對話。給一個人發完內容,需要切換到下一個用戶的私信界面繼續操作,在切換過程中,機器操作也會出現穩定的時間間隔,這也不屬于正常人的行為特征。
數美科技基于自動化腳本所表現出來的時域特征,能夠評估出發送信息的賬號是機器操作的可能性。
“時域”就是指時間和地域。黑產的行為在時間上、地域上都會暴露一定特征,同時時間和地域的特征也存在高度關聯性。因此通過時域方面的特征分析,我們就能夠順藤摸瓜,找到黑產留下的蛛絲馬跡。
操作過快、操作時間間隔穩定,這類都是自動化引流腳本運行過程中所產生的不同于正常用戶的時序特征。針對這些特征,數美科技實時風控引擎能夠分成多個時間窗口,統計賬號的行為頻度,一旦操作快到一定程度,遠遠超出人所能達到的速度,就會識別此賬號存在機器操作,從而做出攔截動作。
這種簡單的頻度策略,首先能夠保證簡黑產作惡的有限性。
批量發送消息被攔截后,黑產也不會就此罷休。他們會試探風控系統的閾值并試圖繞過,此時簡單的頻度策略很難將他們攔住,需要依靠行為特征進行識別。正常人的行為是雜亂無序的,我們可能在一個小時內切換使用不同的軟件,進行各種操作。以短視頻APP為例,正常用戶進行會瀏覽、點贊、評論等操作,但這些操作是無規律的,停留在某一頁面的時間、是否點贊、評論內容都不固定。與之不同的是,機器操作行為穩定,或者存在某種周期規律,即使黑產有意識地加入隨機數,仍然會被察覺出與正常人的操作有所區別。
通過分析賬號的頻度特征和行為特征,利用自動化腳本引流的黑產基本上就浮出水面了。
時域特征:辨別黑產團伙蛛絲馬跡
數美科技曾幫助某社交APP解決違規廣告引流問題,接入數美科技全棧式智能風控產品天網后,我們嘗試用模擬器上登錄該APP,嘗試3次均提示“當前版本過低,請更新到最新版本!”,查看數美后臺,拒絕理由為虛擬機+安裝引流軟件,絕大多數引流腳本均會被我們識別并攔截。為此,我們專門詢問了腳本的賣家,得到的答復如下:
數美黑產研究同學與腳本賣家交涉
從時域上來看,黑產所表現出來的特征遠不止頻度特征和機器操作特征,地域離散、重要節點不一致以及各種相似聚集特征,都是我們追蹤黑產的重要抓手。
依靠頻度特征、行為特征、地域離散、重要節點地域特征,能夠做到一個賬號的單點識別。但是黑產也會批量注冊賬號,讓每個賬號保持正常活躍度,也就是我們常說的“養號”。如果對這些賬號的行為單獨進行分析,很難發現其中的問題。但如果能夠證明這樣的可疑人群是一個團伙,事情就變得簡單多了。
欺詐團伙挖掘
“好人是多樣的好,壞人是相似的壞” 。一個黑產團伙控制的一批賬號,具備高度一致性,雖然黑產也能意識到到這點,并試圖繞過,但是不能完全抹除這樣的一致性,一定會留下蛛絲馬跡。
數美科技曾總結出這樣一條反欺詐定律:“好人”的朋友通常也是“好人”,“壞人”的朋友通常也是“壞人”。正常賬號也有可能在時間和地域上表現出異常,但是如果某個分組下,幾乎全是這樣的異常可疑賬號,則可以判斷是團伙作案。異常用戶存在本身是正常的,但是這些用戶應該是分散的、關聯性低的,如果在某些方面存在多重聯系,就有足夠理由懷疑其是有問題的。
時域特征在風控策略中不是孤立存在的,時域信息和設備信息、賬號畫像、關聯網絡、團伙挖掘、模型檢測相互聯系,從多個方面指證出黑產,才能給予精準打擊。風控就像一張大網,既有層級遞進結構、先后順序、通用和專用、保底和深挖的關系,同時還有層層聯系、互相配合的功能,這樣才能將這張大網“織密”,達到1+1>2的效果。
目前,數美科技已經數美科技目前提供的風控4.0版本的千人千面智慧風控,從賬號層、設備層、內容層三個層面形成用戶畫像的全面判定,以畫像輔助判斷賬號風險、設備安全和內容和內容合規性,并不斷通過新的行為輸入進行畫像更新修正,實現風險識別能力和用戶畫像體系的相輔相成,真正做到天網恢恢疏而不漏。
