当营销活动碰上羊毛党，车企这样“精准反击”

2023上半年，新能源汽车的渗透率逐月攀升，在新势力车企的带动下，车企们纷纷加入了这场激烈的“用户争夺战”。

为了更好地“粘”住客户，从进店、试驾到下定，车企每一个营销环节都需要更精细化的运营，车企试驾有礼、拉新返现等活动层出不穷。

行业内卷之下，一大波羊毛党“闻风而动”，借机薅取大量用户福利。

营销福利因黑产攻击而无法转化到真实用户的手上，企业付出了巨大的营销成本，也给用户带来了不良的消费体验。

车企接码情报在今年3月达到顶峰，涉及品牌数量23个

2023年以来，威胁猎人对风险情报平台捕获的数据进行分析发现，汽车品牌相关“接码数量”呈快速上升趋势，如图所示，接码数量在三月达到顶峰，涉及到品牌数量达23个。

在捕获的短信内容中，发现包含大量车企APP“注册、登录”等关键词，存在营销欺诈风险。

经研究分析发现，黑产攻击团伙通过接码平台提供的大量手机号及验证码，在车企APP上进行账号批量注册，配合自动化工具，迅速采集小额优惠并获利，攻击场景以这三类营销活动为主：

试驾活动：试驾活动中，部分黑产通过批量注册汽车品牌APP的虚假账号，线上报名参加试驾活动，线下核销试驾券从而薅取大量会员礼品，抢占真实用户的活动资源。

拉新活动：拉新活动中，不少黑产利用刷量软件或机器人自动化注册汽车品牌APP账号，完成邀新任务，从而获取大量礼品、积分。

短期营销活动：短期营销活动可能存在外部刷单获得优惠的现象，虚假刷单批量参与促销活动，对企业销售数据统计造成干扰，营销活动业绩增长但留存率低。

调整风控策略后，某车企品牌“接码”数量大幅下降

今年四月，某汽车品牌举行“邀新有礼”活动，成功邀请新用户注册即可获得相应的积分，用户可以使用积分在商城兑换实物礼品或会员卡。

活动上线后，我司安全研究员在TG、暗网等多个渠道发现，大量黑产发布该活动相关信息并开发出各式各样的自动化工具，使用代理IP及手机号资源，在汽车APP上进行批量用户注册。

注：图为“黑产自动化攻击工具”

与此同时，威胁猎人风险情报平台同步捕获了黑产在该汽车品牌APP“API注册接口”的攻击流量，进一步验证了黑产正在利用API接口对营销活动展开大规模攻击。

发现风险后，威胁猎人安全研究员第一时间联系到该汽车品牌，告知其营销活动存在被黑产薅羊毛的风险，该车企表示也发现了部分邀新注册用户存在薅羊毛嫌疑。

经过沟通，我们了解到：风控策略调整前，该企业只能通过筛选异常用户行为来判定恶意用户，这类判定方式往往属于事后分析且证据链不足，实际造成的活动损失已经发生且无法有效避免。

对此，该汽车厂商进行了风控策略的调整。企业借助威胁猎人手机号画像产品，对四月注册的新用户手机号进行检测，发现55%的手机号存在高风险，车企对于高风险号码直接进行拦截处置，事后未发现有客诉行为。

经过对相关“接码”情报进行持续、自动化监测，我们发现，在威胁猎人风险画像产品的加持下，与该车企相关的“接码数量”在四月下旬开始显著下降。

同时，该企业相关的“接码成本”大大上涨，由四月初的2.5元/10条，到四月末涨价为7元/10条。

无论是相关接码数量的大幅下降，或是接码成本的大大上涨，都验证了：威胁猎人风险情报产品的应用，有力扼制了此次薅羊毛行为，为其营销活动的风控管理带来了显著的效果。

以“风险画像”摸清黑产动向，精准打击薅羊毛

回顾黑产薅羊毛的整个攻击过程，“羊毛党”利用大量手机号资源、IP资源进行攻击变现，并通过“自动化攻击软件”极大提高攻击效率。

我们可以从软件的两大功能来看黑产是如何绕过风控的：

1、对接代理IP平台：避免在黑产访问注册登录API接口时，因单个IP访问频次过高而被拦截；

2、对接各类黑卡平台：帮助黑产实现注册卡类型的快速切换，例如在一定的风控策略下，虚拟卡无法注册账号，黑产可以马上切换到实体卡。

黑产借此绕过企业风控策略，使得传统的安全防御机制难以奏效。

面对屡禁不止的薅羊毛行为，企业可以通过构建“黑产资源画像库”进行有效防御，例如：手机号风险画像、IP风险画像，从黑产使用的资源、工具等源头出发，摸清黑产行径、保障业务安全。

1.手机号风险画像

通过在营销活动中接入手机号画像产品，可以基于手机号风险标签，快速识别风险手机号，并根据高、中、低风险程度及时采取相应的风控手段。

风控手段例如直接拒绝注册、允许注册但不发放活动奖励等，避免营销活动被恶意利用。

威胁猎人基于的独有的“情报”技术，积累了国内最大的手机号标签库，梳理了丰富的风险标签，包括猫池卡、拦截卡等，能第一时间反馈风险号码的作恶行为和时间，作为企业业务风险判断的依据，让风控团队的每一个管控动作都有理有据。

2.IP风险画像

黑产在作恶工具中集成了代理IP接口，用于高频访问登录、注册API。

此时通过在营销活动中接入IP画像产品，可以快速识别IP状态，并通过黑产IP的全生命周期评分模型，实时判定IP风险等级，根据风险值来灵活制定业务规则，有效控制营销作弊行为，同时尽可能减少对正常用户的误杀。

威胁猎人IP风险画像基于大数据算法，实时动态更新IP风险等级，不依赖客户的业务数据，直接监测黑灰产发起攻击时所使用的攻击资源，对市面上各类提供短效动态IP的代理平台、秒拨平台进行监测，直击问题源头。

此外，结合威胁猎人风险情报平台捕获到的“最新”攻击流量，呈现实时、具体的风险数据，帮助企业精准判定风险。

至此，企业可以精准识别涉嫌薅羊毛的营销欺诈行为，及早进行针对性防御，在这场以“用户”为核心的营销战役中，赢得更多用户的信赖。

2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”（详见： 成立6周年，威胁猎人焕新回归 ）。