滴 滴 滴

9點58分，劉雅的手機響瞭。她手忙腳亂地打開瞭某保險公司App。 今天是6月16日，618電商大促的沖刺階段，上午10點，該平臺商城將送出10-200元不等的抽獎紅包，劉雅特意定瞭鬧鐘，提前進入抽獎頁面。 然而——10點剛剛過去30秒，頁面顯示，該抽獎紅包已發放完畢，“這秒殺的速度，都趕上春運搶火車票瞭。” 然而，劉雅並不知道，和她一起競爭“紅包”的，並不僅僅是普通消費者。鬧鐘響起的那一刻，“職業羊毛黨”已經開啟瞭紅包狂歡。

“職業羊毛黨”的進攻 BIG SALE 6.18

林瑞的工作室就是一個典型的“職業羊毛黨”組織，像線上搶紅包這樣的活動早已輕車熟路。 兩周前，在收到保險公司618紅包促銷活動的短信後，林瑞就開始瞭一系列的準備工作：先是向卡商老K買瞭上萬個手機號，然後找自己經常合作的接碼平臺去該保險APP、微信小程序上批量註冊賬號。有瞭這批賬號，林瑞再使用貓池、模擬器、多開軟件來掛機“養號”，讓這批新賬號看起來像是普通用戶的賬號。 6月15日下午5點，林瑞使用自動化腳本，提前爬取瞭抽紅包頁面的URL，並讓上萬個虛假賬號提前登錄瞭抽紅包頁面，在驗證碼驗證環環節，憑借自動化工具實現瞭90%以上的通過率。 一切準備停當，林瑞設置好6月16日上午10點自動搶紅包的指令之後，就安心回傢瞭。

保險公司在線營銷被“坑” BIG SALE 6.18

6月16日上午10點，搶紅包活動頁面順利上線。為瞭這次拉新促活，保險公司投入瞭上百萬的營銷費用，在自傢APP、微信小程序上線“抽獎得紅包”的用戶活動，力度之大，史無前例。 然而1小時後，保險公司業務部門和安全風控部門負責人召開緊急會議，內部一致認為抽獎頁面後臺數據不太對勁，明天同一時間的抽紅包活動可能要暫停。 原來後臺數據顯示，大量紅包在放出的一瞬間就被“一掃而空”，即便是準時蹲守在手機旁都會落空，而抽中紅包的用戶大多是在近1-2周剛註冊的新用戶，更早註冊的新用戶和老用戶屈指可數。但奇怪的是，保險公司部署的風控產品並沒有發出告警。 除此之外，活動頁面還經常卡頓，後端服務器會在短時間內會收到大量的服務請求，資源難以支撐，嚴重影響瞭用戶參與活動的體驗。 這一現象引起瞭保險風控部門的警覺。在經過安全廠商瑞數信息的後臺診斷分析後，發現大部分紅包並沒有按計劃被發放至終端用戶手上，而是被大量“羊毛黨”薅走瞭。

不僅如此，瑞數信息還發現瞭“羊毛黨”黑產的蛛絲馬跡：

批量調取接口行為分析

通過單獨分析抽獎路徑，瑞數信息發現：20%的請求操作行為字段為空值，可以判斷這一部分是使用的簡單腳本進行攻擊；30%的輸入操作記錄為0，說明可能是通過高級自動化攻擊發起的請求，或者是使用重放工具發起的請求。 正常的抽獎邏輯需要先訪問抽獎頁面，然後通過該頁面發起抽獎的接口請求。但瑞數信息從接口調用的referer發現：其中20%的請求沒有前置頁面請求，referer值為空，說明這些請求是直接自動化調用的抽獎接口，沒有按照正常的抽獎邏輯進行抽獎。

高級Bots工具

通過日志分析，瑞數信息發現瞭不少高級自動化工具。這類工具的訪問日志中操作行為字段為空，沒有人為的輸入、滑動等行為，所有請求都是腳本驅動瀏覽器完成。

黑產批量調取接口行為分析

通過瑞數信息的cookie id（每個用戶不會重復，具備唯一性），以及提取到的頁面輸入行為進行聚類分析，發現黑產團夥進行接口批量調用，直接參與抽獎行為。 以上種種分析，都指向瞭黑產團夥的行為路徑：使用簡單腳本，定時抓取活動頁面，獲取活動信息；使用高級自動化工具和重放攻擊，模擬真人訪問，自動化參與抽獎。 有瞭初步判斷，保險公司風控負責人心裡也有瞭底，決定聯合瑞數信息一起，快速打一場翻身仗。

保險風控有力打擊“羊毛黨”黑產 BIG SALE 6.18

6月17日上午9點50分，林瑞再次開啟瞭新一輪的紅包“狩獵”。像往常一樣，他隻要盯著屏幕，看著紅包像下雨一樣進入自己控制的上萬個賬號，就可以輕輕松松獲得幾十萬元。 但是這一次，林瑞有點慌瞭。距離10點搶紅包的開始時間，已經過去瞭5分鐘，可是自己控制的賬號還沒有絲毫的紅包進賬。是自動化工具出bug瞭嗎？還是哪個環節出錯瞭？林瑞的大腦在飛速地運轉，卻絲毫找不出頭緒。 而在保險公司風控中心的電子大屏上，一連串被封堵的IP列表向上快速滑動，數量變得越來越多。原來瑞數動態應用防護系統Botgate開啟瞭攔截模式，當發現紅包抽獎請求中有自動化工具發起的搶紅包行為，系統就自動將這些非法IP封禁瞭。 之所以瑞數動態應用防護系統Botgate能夠精準打擊“羊毛黨”黑產，主要得益於瑞數信息利用獨創的“動態安全+AI”技術，打破瞭傳統安全/風控產品對於固定規則和特征庫的依賴，能夠有效打擊各類網絡欺詐，包括偽裝成正常交易的業務作弊、利用合法賬號竊取敏感數據、假冒終端應用等。 在清晰洞察瞭黑產行為之後，瑞數信息采用四招分層解決黑產“薅羊毛”問題。

招數一：針對簡單腳本攻擊和高級Bots工具

瑞數信息的“動態令牌”“動態驗證”技術，能夠確保運行環境，進行人機識別，對抗瀏覽器模擬化以及自動化攻擊；同時，防止重放攻擊和越權，確保業務邏輯正常進行。

招數二：針對黑產團夥

瑞數信息能夠通過業務威脅感知、群控模型、聚類分析指紋和IP對應關系、分析頁面輸入行為等技術，實時識別模擬合法操作的異常行為，並梳理出黑產名單，並定制可編程對抗策略，在不影響業務的情況下實施攔截。 不僅如此，考慮到黑產一般在活動發起前就開始進行諸多準備，如掃描系統漏洞、爬取用戶信息、分析活動頁面信息等，瑞數信息在活動發起前就對業務做好防護，讓業務“風險前置”。

招數三：漏洞防掃描

通過瑞數信息“動態安全”技術，使得漏洞掃描或漏洞利用工具無法發起有效自動化掃描探測，無法發現可利用的漏洞及網頁目錄結構。同時，在網站/APP等應用未打補丁或補丁空窗期，提供有效安全防護。

招數四：用戶信息防泄露

針對用戶信息惡意爬取，瑞數信息利用“動態混淆”技術，將黑產每一次獲取的信息都動態加密，讓黑產無法獲取真實信息；利用“動態封裝”技術，將業務關鍵邏輯動態變化，防止攻擊者分析網站代碼。

隨著搶紅包活動結束，一場爭分奪秒的黑產對抗戰落下瞭帷幕，保險風控部門負責人露出瞭滿意的笑容。

經過內部復盤發現，此次瑞數信息對於自動化工具領紅包行為的攔截比例為50%。如果以平均一次領紅包活動投入市場費用超過200萬來計算，每年不定期有4次活動，1年就能節約400萬市場費用。 同時，瑞數信息助力該保險企業的營銷資金精準投放至目標用戶，讓真實用戶可以真正享受活動優惠，維持現有用戶粘性的同時吸引大量新用戶的加入，提升企業的整體市場滿意度和行業競爭力。 但一場對抗的勝利，並不代表下一次不會受到黑產的攻擊。隨著線上營銷重要性的逐步增加，對線上業務的持續安全防護顯得更加重要。

瑞數信息 以動態安全為核心

無需修改應用代碼，無需進行特征庫及策略庫的升級維護工作，不僅可以實現業務全天候運行，實時動態安全防禦，沒有防護空窗期，還可以將采集數據進行可視化處理，以及多維度數據統計分析，輔助管理者進行安全決策，節省安全評估、安全應急、安全運維等方面的投入。

如今國傢對金融行業的安全監管愈加嚴格，瑞數信息的動態安全建設，能夠讓保險機構更好地將行業政策要求與業務需求結合落地，為保險線上營銷業務構築起全方位的安全防線，讓黑產無處遁形！