社交APP的崛起,不仅慰藉了都市里孤独的灵魂,也为黑色产业提供了温床,社交平台如何自救?
据《2019 网络黑灰产治理研究报告》估算,2019 年我国网络安全产业规模超过500亿元,而黑灰产已达近1000亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达1000亿元。而且,电信诈骗案每年以 20%~30%的速度在增长,各种“杀猪盘”层出不穷,各大社交APP 都在奋起对抗。
2019 年末到 2020 年初中国 14 亿人民受到疫情的影响大多“宅”在家中,因而社交软件成为很多人借以补给精神食粮的地方,疫情期间应运而生出许多新兴社交APP,甚至传统型电商类产品、直播、短视频等越来越多平台的 APP 也都被注入社交属性。在流量和利益的巨大诱惑的驱使下,黑产工作链也对社交领域虎视眈眈,于是乎一系列的安全问题一触即发。
现阶段社交主要分为 UGC 社交内容运营 APP和陌生人交友婚恋平台 APP,市面上比较知名的 UGC 社交内容运营APP有马蜂窝、小红书、虎扑体育等以内容为核心的社交平台,陌生人交友类 APP 有陌陌、探探、soul、珍爱网等以陌生人交友婚恋为核心的平台。
总体来看目前社交 APP 主要还是面临以下风控问题:
① 内容生态环境破坏(APP 内头像、评论、原创文章、聊天内容充斥着涉黄、涉政、暴恐等内容。)
② 虚假流量工作室(通过工作室刷量、刷评论、刷点击等方式伪造真实流量。)
③ 引流“杀猪盘”诈骗(通过发布引流文字、图片水印、微信、QQ号、私聊加好友等方式把平台用户引流到别的平台加以变现套利。)
④ 平台资源套利(通过恶意注册冒充真实新用户,再养号、群控变向谋取平台资源,最后变现套利。)
在监管风控机制上,看到的企业基本上都是采用行业标杆式的严格的机器审核和人工审核双重制度,主要还是围绕前置账号+设备+后置行为模型的方式来解决。提防黑产们进入自己APP进行欺诈的第一步就是管理好自己的“大门”。
就账号侧而言,黑产作弊通常分为3步:
① 利用各类接码平台(专门用于接收注册平台手机号的短信验证码)接收验证码,用户无需使用本人手机号,就能完成手机号和短信验证码的校验。
② 通过打码平台 帮助用户搞定各种文字、图形验证码。
③ 各类秒拨、代理 IP,每一次断线重连就会获取一个新的 IP,此类 IP 池巨大,并且难以与正常用户区分,最后注册成为新账号,再利用群控设备软件批量操作。这种作弊的操作成本比较低,无需养号, 只要注册进入APP后,就可以批量加好友或者发布一些引流及破坏性的内容。
那么要做到社交反欺诈,就需要从3个维度进行防控,即手机黑卡、黑 IP、设备篡改,其中手机黑卡和黑IP属于资源型,设备篡改属于技术型。资源型的维度,需要企业充分完善自己的手机黑库和黑IP库,从而引入第三方安全厂商。
技术型的维度,既可以自己做,也可以引入第三方安全厂商,目前市面上的设备指纹(设备ID)都是以 SDK 的形式服务的,绝大多数企业出于安全考虑,都是选择自己做。
设备主要分为Android端和 IOS端,IOS 端目前做的都比较浅,因为苹果公司比较封闭,能拿到的设备信息很少,即使能够拿到一些简单的设备信息,使用艾斯助手就可以破解。而由于谷歌公司比较开放,Android 10 版本以前可以拿到绝大多数的设备信息,所以生成的设备指纹具有良好的唯一性。不过自从Android 10 版本发布以来,谷歌公司也逐渐向苹果公司靠近,逐渐收紧设备信息,导致设备指纹的效果大范围下降。
设备篡改主要通过模拟器、root、更改 xp 框架等一系列操作,原本凭借设备指纹就可以解决很大一部分设备端的问题,不过随着Android 10 版本的普及,设备这块的漏洞恐怕会日益扩大,企业急需防患于未然。
针对以上账号侧问题,很多企业自有的成熟的账号管理团队配合第三方安全厂商,就能够很好的去识别机器账号。
接下来,对于社交软件的内容生态坏境破坏的问题,可以参考“账号准入+敏感词策略+决策引擎+举报机制”的思路。
首先做好账号准入体系,提高注册门槛,就可以有效防止黑产注册进入APP ,并将黑产贩卖账号的行为消灭于萌芽,其后的常规操作是以敏感词策略为主,根据内容违规程度再进行不同梯度的账号处罚,然后再提炼相关违规的关键词,进行风控策略查补,通过算法和策略提取用户的特征配合决策引擎,最后可以加一个举报机制,让用户来举报黑产,不仅可以增加用户粘性,还可以让用户更有参与感,实属点睛之笔。
总而言之,社交企业风控的第一步就是通过手机号、IP、设备等信息,先把“机器号”(也叫作“假人”)的号码识别出来,如此为之,可以杜绝很大程度由机器号带来的内容违规、虚假注册等问题。
随着黑产对抗的升级,黑产也是步步为营,寻找突破。随之而来的就是真人实号,第一类是通过做任务的形式来让大学生、家庭主妇等用户群体来注册 APP 养号,第二类是黑产深入三、四县城市,利用“鸡蛋,食用油”等礼品来获取居家老人的手机号注册 APP 养号,据雷木数据统计,湖南湘潭、江苏盐城、黑龙江双鸭山等地方比较明显。这类手机号不属于接码平台或者卡商,所以市面上大多数安全厂商很难识别此类手机号,不过也有雷木数据这样的公司,可以通过此类手机号的一些特征,例如月消耗极低、位置更新慢等来识别。相信这个思路是很多做资源型安全厂商未来努力的方向。
也是由于这种真人实号,“杀猪盘”的惨案屡见不鲜,所谓“杀猪盘”,是指诈骗分子利用网络交友,诱导受害人投资赌博的电信诈骗方式。诈骗分子准备好人设、交友套路等“猪饲料”,将社交平台称为“猪圈”,在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系的“养猪”行为,最后骗取钱财,即“杀猪”成功。可以想象“杀猪盘”给各个社交平台带来的恶劣影响不言而喻。
我们曾有幸和很多社交公司的风控总监沟通,他们针对这种情况目前有3种解决方法:
① 直接拒绝低端机型注册,例如伊对基本上直接拒绝了苹果 7 以下的机型注册。
② 通过手机号基站位置和IP位置来匹配判断。
③ 加强客服团队的力量,实现全方位人审。
现在看来,其实这3种方法并不完善,尤其是真人实号的情况,可能是社交企业目前最头疼的问题,想要突破这个局面可以参考上述雷木数据的做法。 不管机器号还是真人实号注册进入 APP,后面都是会有一系列的操作,针对后面的用户行为企业都会做一套机器学习模式。
目前比较流行一种是无监督机器学习,主要是利用聚类的思想(k均值、基于密度的聚类、最大期望聚类)。k 均值(即k-means) 在聚类算法中最为简单高效,属于无监督学习算法,核心思想是由用户指定 k 个初始质心(initial centroids),以作为聚类的类别(cluster),重复迭代直至算法收敛。其宗旨是通过用户行为来判断用户是否为黑产用户,此类方法优势是证据链充足,精准地抓住黑产用户,而劣势是比较滞后,往往是用户行为发生之后才会识别。
以上介绍的账号准入体系+设备指纹+行为模型皆属于机器的范畴,再完备的机器模式也无法完全代替人工,所以企业会设有客服团队加以辅助,一般都是根据机器这块做的完善程度来匹配客服团队人数。
账号准入体系作为注册的第一关就是企业反欺诈的重中之重,一旦注册门槛失守,那么它带来的危害将需要不可估量的人力物力去弥补!所以,现在风控需要以账号信息权限为新的边界构建自动化和智能化安全体系,同时将大数据分析和人工智能、机器学习等新的技术运用于安全体系中,做到对安全事件的前置侦查!