年末大促,羊毛党狂欢(小程序电商的风控之道)
【年末大促,羊毛党狂欢(小程序电商的风控之道)】2021年最后两个月,电商大促接踵而来,轻量便捷的小程序成为商家营销裂变的不二之选,小程序的「薄弱防御」也使其成为薅羊毛的重灾区。
一、电商之殇:羊毛党层出不穷
电子商务伴随着互联网和科技的发展驶入快车道,电商经济的繁荣也使商家之间的竞争更加激烈,优惠券、红包、抽奖等常见的拉新促活的手段为商家带来业务增长的同时,也引来一大批「羊毛党」,商家被薅羊毛的新闻更是不乏其例。
- 2020年10月10日,某国产家电品牌经销商在知名电商平台上放出30万的优惠券,被羊毛党恶意领券刷单,原价62.9元的电水壶,到手价仅为7.9元,导致商家损失严重。
- 2020年7月13日,某连锁快餐品牌在APP和小程序发放优惠券,免费吃汉堡,引来大量羊毛党,远超餐厅的接待能力,导致不少人排队1-2 个小时,该品牌被骂上热搜。
- 2019年1月20日,某社交电商被爆出一个巨大漏洞,用户可以重复领取100元无门槛优惠券,被羊毛党恶意盗取了数千万平台优惠券。
双十一临近,电商平台各类大促接连不断,成熟的电商平台,如淘宝、京东等,经过多年积累,拥有了较固定的交易模式和用户积累。当用户进入购物平台,面对熟悉的购物场景和消费模式,会保持相对理性的消费心理,不利于商家进行消费激励,使得商家向站外寻求多渠道营销推广。
企业们通过小程序开展补贴、优惠、红包、抽奖等各类营销活动,以期获得快速的转化和裂变。然而随着小程序生态的建立,其特有的安全风险也逐步显现,职业羊毛党们当然不会错过这种时机,立刻紧随其后,将薅羊毛阵地拓展至各类电商小程序。
的确,小程序给商家带来的增长十分可观,据腾讯财报,2020年小程序生态的总交易额增长超100%,商家自营小程序商品交易总额同比增长255%。根据2020年小程序电商榜单,社区团购、实体零售、品牌商家等集体亮相小程序电商,并取得不俗成绩,小程序电商带来的用户购物决策和行为习惯的转变,已经开创出的全新的交易生态,即将成为商家的必耕之地。
文章图片
但小程序带来的安全风险也不容忽视。小程序作为成熟APP的衍生,在该应用体系内运行,实际上天然拥有该应用的防御能力。以微信小程序为例,它具有天然的抗跨站攻击的优势,但是在电商场景下:
- 小程序无法像APP一样获取全面的权限,在面临营销作弊、薅羊毛时,风险防御能力相对薄弱;
- 小程序作为新的流量入口,在前期会考虑更多更快的引流,更容易忽视安全问题;
- 在Web、APP平台上存在的机器流量的风险,在小程序上一样存在,并且会更难处理。
- 2021年8月,丁某利用某手办平台的小程序抽奖活动漏洞,在信号不好的地方反复抽奖不受次数限制,在平台提现或换取手办近80万元。
- 2021年4月,徐某利用某连锁快餐APP客户端与微信小程序有数据不同步的漏洞,通过骗取兑换券和取餐码,转手给别人,造成商家损失20多万元,并罚获刑2年半。
- 某茶饮品牌小程序推出限时抢购活动,买 1 送 1 ,可以用 1 张卡券的价格购买 2 张卡券,活动期间出现了大量的羊毛党交易信息和自动化的攻击工具。
文章图片
一方面,小程序带来的可观增长不断吸引着商家进入这个生态,另一方面,小程序脆弱的风控能力又为黑灰产留下漏洞,导致商家不可预估的损失。企业在选择小程序电商的同时,也需要了解即将面对的风险,先羊毛党一步,将防御措施做到位,在享受小程序优势的同时保证自身的业务安全,趋利避害,促成增长。
三、剖析围绕小程序电商的黑灰产业链 市面上小程序类产品遍地开花,除了上面讨论过的微信小程序,还有支付宝小程序、百度小程序、字节跳动小程序等等。
小程序作为一种内嵌于高流量平台的轻量级应用,具有开发成本低、迭代快、使用便捷的优势,但安全防御能力却没有同步发展,致使围绕小程序的黑灰产活动愈发活跃,例如薅羊毛、刷流量等营销欺诈事件,成为企业线上活动的巨大阻碍。
据腾讯安全专家,由于开发门槛低,小程序质量参差不齐,隐藏着大量安全漏洞,可能在客户业务场景下导致盗刷资金或优惠券等诸多问题。以职业薅羊毛为例,这是一种不需要大额资本和复杂商业计划,并且游走在法律法规边缘的网络黑灰产业,收益几乎无上限。这种几乎是无本万利的灰色地带吸引着大批专业化、自动化的黑灰产团伙,他们通过虚假注册、虚假邀请、恶意下单、领红包和优惠券等一系列自动化方式薅商家羊毛,大大降低商家的营销效果,50%-80%的营销资金都可能会因此而浪费。
目前业界认为小程序的安全问题主要集中在以下三方面(以微信小程序为例):
- 小程序与微信交互存在安全问题。与微信的交互只能使用其提供的API进行,对这些API规范的使用会导致安全问题;
- 小程序与第三方服务器的业务逻辑交互存在问题。这是安全最薄弱的环节,业务逻辑多种可能存在风险或漏洞,如用户信息泄漏、订单盗刷、信息安全;
- 第三方服务器Web服务风险。Web服务器中存在的风险,如存储型XSS攻击、SQL注入、管理员口令泄露。
- 上游——号商
小程序需要通过微信号登录,为了制造大量账户用于薅羊毛,职业羊毛需要大量微信号,号商作为黑灰产上游部分,向职业羊毛党出售微信账号,这些账号通常来自出售自用账号的人群或专业云端养号的工作室。 - 中游——自动化信息收集
职业羊毛党通过自动化程序,爬取并批量收集各类优惠信息,商品详情、促销专题、活动公告等数据。 - 下游——批量注册、登录、抢购
借助大量账号,使用批量登录软件登录并完成秒杀、抢红包、领优惠券、恶意抢购等行为。
海恩法则同时也指出,基于这种规律,「任何不安全事故都是可以预防的」。
只要有营销活动,就会有钻规则漏洞的羊毛党,攻守双方的对抗也将会持续下去。极验「行为验」为多平台小程序提供了第四代适应型验证码插件,为客户的小程序业务加持安全和防御能力。
极验「行为验」之「小程序插件」优势
1动态适应的安全策略
作为适应型验证码的产品系列之一,「行为验小程序插件」延承了适应型验证码的革新性功能——「七层动态安全防护」策略。通过无时无刻的动态变化,适应不同的攻击方式,大幅提升黑产攻击成本,较上一代产品,黑产绝对攻击成本最高上升 3.714倍。赋予小程序更强的安全防御能力。
图片图片
此外,在验证资源的更新策略上,极验根据自己的图像识别模型设计了反识别模型, 通过图片像素混淆, 使人类用户看到的图像不变,但黑灰产原有的识别模型判别错误, 定期更新这种图集,既可以防止黑客穷举验证资源,又可以达到对抗识别模型的作用,进而为客户提供积极进攻的防御安全体系。极验依靠这套运营体系,对多个黑客团体进行跟踪和定位, 跟踪黑客破解网站的类型, 偏好等,再针对性地使用反识别混淆图片并更新,使得黑客每次都需要花费巨大的代价进行搜集、打标签、训练模型等破解步骤。
2 覆盖全响应快
广泛的客户部署场景使得「行为验小程序插件」拥有最强的适配能力。极验验证码小程序插件适配主流平台,为客户提供尽可能高的兼容性。除此之外,极验凭借着多年的客户服务经验, 对于层出不穷的客户端,PC浏览器,手机浏览器,应用内嵌类h5程序也有着良好的适配。
图片图片
3接入流程精简便捷
「易用性」是验证码作为一个安全技术能力输出型产品的重要考量维度之一。「行为验小程序插件」简化接入流程,帮助企业技术人员快速将安全能力融入业务,保障用户服务最佳响应速度,最大限度降低对企业的打扰。
图片图片
4 多种验证形式
「行为验小程序插件」提供8种验证形式,结合上文提到的动态适应的安全策略,可灵活切换验证形式和难度等级,根据客户多种业务场景提供最贴合的验证能力,增加黑产破解成本。
图片图片
五、小程序电商可持续的攻守之道 电商向来是黑灰产攻击的重点,成熟电商平台之外,商家向安全防御能力更弱的小程序生态拓展,通过拼团、发红包、优惠券、积分换购等模式来进行营销,疫情和年末大促双重因素使得黑灰产在这段时间异常活跃。
有需求,就有解决方案。市面上不乏小程序的攻防方案。但最大的问题在于攻防不对等,由于小程序代码无法实时更新,算法一旦被破解,需要等到新的版本才能升级新的算法。
即能提供安全防护,又能无时无刻的动态变化的防御策略才是可持续的攻守之道。????
推荐阅读
- 年末的欢喜
- 吻别---观网上年末猪吻图片有感(三首)
- 阿里云 MSE 云原生网关助力斯凯奇轻松应对双 11 大促
- 2016年再也不见
- 理财|理财 | 年末了,该算算今年到底花了多少钱()
- 花小钱办大事(云函数+云开发撬动央视晚会的电商大促弹性架构实践)
- 年末福利!专业级研发项目管理工具CORNERSTONE开源版正式上线!
- 腾讯云营销大促一站式解决方案,专注微信生态业务成功
- 【微软比特熊故事汇】12月英雄故事(年末技术VS休闲实用帖,相约璀璨2022)
- 23岁的我和27岁的我