年末大促，羊毛党狂欢（小程序电商的风控之道） captcha网络安全人工智能

【年末大促，羊毛党狂欢（小程序电商的风控之道）】2021年最后两个月，电商大促接踵而来，轻量便捷的小程序成为商家营销裂变的不二之选，小程序的「薄弱防御」也使其成为薅羊毛的重灾区。
一、电商之殇：羊毛党层出不穷电子商务伴随着互联网和科技的发展驶入快车道，电商经济的繁荣也使商家之间的竞争更加激烈，优惠券、红包、抽奖等常见的拉新促活的手段为商家带来业务增长的同时，也引来一大批「羊毛党」，商家被薅羊毛的新闻更是不乏其例。

2020年10月10日，某国产家电品牌经销商在知名电商平台上放出30万的优惠券，被羊毛党恶意领券刷单，原价62.9元的电水壶，到手价仅为7.9元，导致商家损失严重。
2020年7月13日，某连锁快餐品牌在APP和小程序发放优惠券，免费吃汉堡，引来大量羊毛党，远超餐厅的接待能力，导致不少人排队1-2 个小时，该品牌被骂上热搜。
2019年1月20日，某社交电商被爆出一个巨大漏洞，用户可以重复领取100元无门槛优惠券，被羊毛党恶意盗取了数千万平台优惠券。
双十一临近，电商平台各类大促接连不断，成熟的电商平台，如淘宝、京东等，经过多年积累，拥有了较固定的交易模式和用户积累。当用户进入购物平台，面对熟悉的购物场景和消费模式，会保持相对理性的消费心理，不利于商家进行消费激励，使得商家向站外寻求多渠道营销推广。

二、小程序之苦：薄弱的安全防护小程序作为一种轻量应用，衍生于成熟的应用平台，用完即走，而且自带衍生平台的特性，如微信小程序。截至 2020 年，微信小程序日活用户破4亿，月活用户为 8.3 亿，交易规模突破 2 万亿，形成了丰富且庞大的商业生态体系。这类天然拥有强社交属性的小程序成为了电商商家们站外营销的不二之选，同时，对于传统实体商家，小程序低成本开发的特性也成为了他们数字化转型的关键一步。
企业们通过小程序开展补贴、优惠、红包、抽奖等各类营销活动，以期获得快速的转化和裂变。然而随着小程序生态的建立，其特有的安全风险也逐步显现，职业羊毛党们当然不会错过这种时机，立刻紧随其后，将薅羊毛阵地拓展至各类电商小程序。
的确，小程序给商家带来的增长十分可观，据腾讯财报，2020年小程序生态的总交易额增长超100%，商家自营小程序商品交易总额同比增长255%。根据2020年小程序电商榜单，社区团购、实体零售、品牌商家等集体亮相小程序电商，并取得不俗成绩，小程序电商带来的用户购物决策和行为习惯的转变，已经开创出的全新的交易生态，即将成为商家的必耕之地。

文章图片

但小程序带来的安全风险也不容忽视。小程序作为成熟APP的衍生，在该应用体系内运行，实际上天然拥有该应用的防御能力。以微信小程序为例，它具有天然的抗跨站攻击的优势，但是在电商场景下：

小程序无法像APP一样获取全面的权限，在面临营销作弊、薅羊毛时，风险防御能力相对薄弱；
小程序作为新的流量入口，在前期会考虑更多更快的引流，更容易忽视安全问题；
在Web、APP平台上存在的机器流量的风险，在小程序上一样存在，并且会更难处理。

薅羊毛在各大电商平台成熟的风控体系下仍层出不穷，当场景转移到风险防御能力更弱的小程序时，职业羊毛党们只会更加猖狂。针对小程序电商的薅羊毛案例随处可见。

2021年8月，丁某利用某手办平台的小程序抽奖活动漏洞，在信号不好的地方反复抽奖不受次数限制，在平台提现或换取手办近80万元。
2021年4月，徐某利用某连锁快餐APP客户端与微信小程序有数据不同步的漏洞，通过骗取兑换券和取餐码，转手给别人，造成商家损失20多万元，并罚获刑2年半。
某茶饮品牌小程序推出限时抢购活动，买 1 送 1 ，可以用 1 张卡券的价格购买 2 张卡券，活动期间出现了大量的羊毛党交易信息和自动化的攻击工具。

年初有小程序开发者统计过，创建一场小程序砍价活动后，活动页面访问总量2452次，而通过会话方式打开的只占约55%，后台可见同一个时间点访问用户瞬间增加200多人。

文章图片

一方面，小程序带来的可观增长不断吸引着商家进入这个生态，另一方面，小程序脆弱的风控能力又为黑灰产留下漏洞，导致商家不可预估的损失。企业在选择小程序电商的同时，也需要了解即将面对的风险，先羊毛党一步，将防御措施做到位，在享受小程序优势的同时保证自身的业务安全，趋利避害，促成增长。
三、剖析围绕小程序电商的黑灰产业链市面上小程序类产品遍地开花，除了上面讨论过的微信小程序，还有支付宝小程序、百度小程序、字节跳动小程序等等。
小程序作为一种内嵌于高流量平台的轻量级应用，具有开发成本低、迭代快、使用便捷的优势，但安全防御能力却没有同步发展，致使围绕小程序的黑灰产活动愈发活跃，例如薅羊毛、刷流量等营销欺诈事件，成为企业线上活动的巨大阻碍。
据腾讯安全专家，由于开发门槛低，小程序质量参差不齐，隐藏着大量安全漏洞，可能在客户业务场景下导致盗刷资金或优惠券等诸多问题。以职业薅羊毛为例，这是一种不需要大额资本和复杂商业计划，并且游走在法律法规边缘的网络黑灰产业，收益几乎无上限。这种几乎是无本万利的灰色地带吸引着大批专业化、自动化的黑灰产团伙，他们通过虚假注册、虚假邀请、恶意下单、领红包和优惠券等一系列自动化方式薅商家羊毛，大大降低商家的营销效果，50%-80%的营销资金都可能会因此而浪费。
目前业界认为小程序的安全问题主要集中在以下三方面（以微信小程序为例）：

小程序与微信交互存在安全问题。与微信的交互只能使用其提供的API进行，对这些API规范的使用会导致安全问题；
小程序与第三方服务器的业务逻辑交互存在问题。这是安全最薄弱的环节，业务逻辑多种可能存在风险或漏洞，如用户信息泄漏、订单盗刷、信息安全；
第三方服务器Web服务风险。Web服务器中存在的风险，如存储型XSS攻击、SQL注入、管理员口令泄露。

而职业羊毛党又有一条完整黑灰产业链和自动化流程来攻击小程序脆弱的防御机制：

上游——号商
小程序需要通过微信号登录，为了制造大量账户用于薅羊毛，职业羊毛需要大量微信号，号商作为黑灰产上游部分，向职业羊毛党出售微信账号，这些账号通常来自出售自用账号的人群或专业云端养号的工作室。
中游——自动化信息收集
职业羊毛党通过自动化程序，爬取并批量收集各类优惠信息，商品详情、促销专题、活动公告等数据。
下游——批量注册、登录、抢购
借助大量账号，使用批量登录软件登录并完成秒杀、抢红包、领优惠券、恶意抢购等行为。

四、极验「行为验」小程序安全解决方案海恩法则指出，「每一起严重事故的背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患」。以上的电商薅羊毛案例或许就是未来某个巨额电商损失的序幕。
海恩法则同时也指出，基于这种规律，「任何不安全事故都是可以预防的」。
只要有营销活动，就会有钻规则漏洞的羊毛党，攻守双方的对抗也将会持续下去。极验「行为验」为多平台小程序提供了第四代适应型验证码插件，为客户的小程序业务加持安全和防御能力。
极验「行为验」之「小程序插件」优势
1动态适应的安全策略
作为适应型验证码的产品系列之一，「行为验小程序插件」延承了适应型验证码的革新性功能——「七层动态安全防护」策略。通过无时无刻的动态变化，适应不同的攻击方式，大幅提升黑产攻击成本，较上一代产品，黑产绝对攻击成本最高上升 3.714倍。赋予小程序更强的安全防御能力。
图片图片
此外，在验证资源的更新策略上，极验根据自己的图像识别模型设计了反识别模型, 通过图片像素混淆, 使人类用户看到的图像不变，但黑灰产原有的识别模型判别错误，定期更新这种图集，既可以防止黑客穷举验证资源，又可以达到对抗识别模型的作用，进而为客户提供积极进攻的防御安全体系。极验依靠这套运营体系，对多个黑客团体进行跟踪和定位，跟踪黑客破解网站的类型, 偏好等，再针对性地使用反识别混淆图片并更新，使得黑客每次都需要花费巨大的代价进行搜集、打标签、训练模型等破解步骤。
2 覆盖全响应快
广泛的客户部署场景使得「行为验小程序插件」拥有最强的适配能力。极验验证码小程序插件适配主流平台，为客户提供尽可能高的兼容性。除此之外，极验凭借着多年的客户服务经验, 对于层出不穷的客户端，PC浏览器，手机浏览器，应用内嵌类h5程序也有着良好的适配。
图片图片
3接入流程精简便捷
「易用性」是验证码作为一个安全技术能力输出型产品的重要考量维度之一。「行为验小程序插件」简化接入流程，帮助企业技术人员快速将安全能力融入业务，保障用户服务最佳响应速度，最大限度降低对企业的打扰。
图片图片
4 多种验证形式
「行为验小程序插件」提供8种验证形式，结合上文提到的动态适应的安全策略，可灵活切换验证形式和难度等级，根据客户多种业务场景提供最贴合的验证能力，增加黑产破解成本。
图片图片
五、小程序电商可持续的攻守之道电商向来是黑灰产攻击的重点，成熟电商平台之外，商家向安全防御能力更弱的小程序生态拓展，通过拼团、发红包、优惠券、积分换购等模式来进行营销，疫情和年末大促双重因素使得黑灰产在这段时间异常活跃。
有需求，就有解决方案。市面上不乏小程序的攻防方案。但最大的问题在于攻防不对等，由于小程序代码无法实时更新，算法一旦被破解，需要等到新的版本才能升级新的算法。
即能提供安全防护，又能无时无刻的动态变化的防御策略才是可持续的攻守之道。????