关于薅羊毛风控对抗的思考总结

本文主要根据《薅羊毛产业报告》内容和实际工作中的经验进行的一些思考。

首先思考一个问题，对于一个黑产来说，要想通过薅羊毛获取一定的收益，至少满足以下一个或者几个点：

羊毛出在羊身上，羊可能是商家的推广活动(领劵，抽奖，满减，送话费，冲流量等等），如果这些活动存在业务或者安全上的漏洞，原本的薅羊毛行为可能会演变成放羊血的行为，羊甚至因为失血过多而死亡，此种示例也不鲜见。

一般情况下，一个账号能薅到的羊毛有限，黑产可以通过注册大量的账号来薅，然后通过汇聚，变现等手段积小成大。另外，无论是注册账号，还是后续的薅的行为都需要借助自动化的操作，才能在短时间内薅足大量的羊毛。

薅羊毛行为已经从单人发展到群体化、规模化，形成了薅羊毛团伙和 一条完整的产业链。现在平台也开始越来越重视薅羊毛的危害性，往往会采取一些对应的防范措施。针对厂商的风控策略，羊毛党主要从以下几个方面展开对抗。

展开来说明一下：

接口对抗

自动化操作主要是程序来请求接口来模拟用户行为来实现的，在没有任何防护的情况下，黑产可以通过抓包来模拟用户请求，实现批量化操作。风控端可以通过加签，body加密对接口进行保护，在没有获取到加密算法的情况下，黑产就直接模拟用户请求了。（此时如果存在可重放攻击的漏洞，就不需要解密了）黑产通过逆向来获取加密算法来破解；此时接口保护，就变成逆向与反逆向，混淆与返混淆的对抗了。如果通过模拟接口这条路已经被封的很严，还可以通过群控设备，按键精灵等绕过模拟接口，进行自动化操作；

设备对抗

目前大量的风控规则都是针对于设备层面的，比如一个设备登陆N多账号就会被判定为异常行为，比如有些拉新的活动会识别是否为新设备。

那么黑产如何绕过呢？主要还是通过改机工具，这样一个老设备就可以被识别成新设备了。

通过劫持系统函数，来对设备信息进行篡改，很明显这需要root权限。依次来绕过设备指纹有关的风控策略。所以在平台上埋点的设备指纹，如果发现root的机器要提高警惕；android：xposed框架；IOS：cydia框架；模拟器：当前发展的高级形式，黑产逐步转向自制的ROMandroid模拟器。这些模拟器具有一键新机的功能，每次启动所有的系统参数都会随机发生变化，同时因为没有安装hook框架，所以比较难以识别；

用户对抗

上文已述，黑产需要掌握大量的账号。目前大部分系统的注册都需要绑定手机号，而且注册接口需要手机验证码和滑块验证码等一系列验证手段.

猫池：批量管理手机卡的软件，可以设置对应的手机号、自动读取短信、发送短信、拨打指定号码、批量设置呼叫转移等。比如酷卡软件收到的短信会放到mdb文件中，配合其他软件可以自动读取和识别短信验证码；卡商：大部分是从运营商内部流出来的，有的时效很短，只能收发短信等。接码平台：协助进行收集验证码消炎；可以提供API的方式，对接到自动化脚本和自动化工具中，实现批量化注册；打码平台：可以采用机器学习或者人肉打码，解决验证码验证问题；