滴 滴 滴

9点58分，刘雅的手机响了。她手忙脚乱地打开了某保险公司App。 今天是6月16日，618电商大促的冲刺阶段，上午10点，该平台商城将送出10-200元不等的抽奖红包，刘雅特意定了闹钟，提前进入抽奖页面。 然而——10点刚刚过去30秒，页面显示，该抽奖红包已发放完毕，“这秒杀的速度，都赶上春运抢火车票了。” 然而，刘雅并不知道，和她一起竞争“红包”的，并不仅仅是普通消费者。闹钟响起的那一刻，“职业羊毛党”已经开启了红包狂欢。

“职业羊毛党”的进攻 BIG SALE 6.18

林瑞的工作室就是一个典型的“职业羊毛党”组织，像线上抢红包这样的活动早已轻车熟路。 两周前，在收到保险公司618红包促销活动的短信后，林瑞就开始了一系列的准备工作：先是向卡商老K买了上万个手机号，然后找自己经常合作的接码平台去该保险APP、微信小程序上批量注册账号。有了这批账号，林瑞再使用猫池、模拟器、多开软件来挂机“养号”，让这批新账号看起来像是普通用户的账号。 6月15日下午5点，林瑞使用自动化脚本，提前爬取了抽红包页面的URL，并让上万个虚假账号提前登录了抽红包页面，在验证码验证环环节，凭借自动化工具实现了90%以上的通过率。 一切准备停当，林瑞设置好6月16日上午10点自动抢红包的指令之后，就安心回家了。

保险公司在线营销被“坑” BIG SALE 6.18

6月16日上午10点，抢红包活动页面顺利上线。为了这次拉新促活，保险公司投入了上百万的营销费用，在自家APP、微信小程序上线“抽奖得红包”的用户活动，力度之大，史无前例。 然而1小时后，保险公司业务部门和安全风控部门负责人召开紧急会议，内部一致认为抽奖页面后台数据不太对劲，明天同一时间的抽红包活动可能要暂停。 原来后台数据显示，大量红包在放出的一瞬间就被“一扫而空”，即便是准时蹲守在手机旁都会落空，而抽中红包的用户大多是在近1-2周刚注册的新用户，更早注册的新用户和老用户屈指可数。但奇怪的是，保险公司部署的风控产品并没有发出告警。 除此之外，活动页面还经常卡顿，后端服务器会在短时间内会收到大量的服务请求，资源难以支撑，严重影响了用户参与活动的体验。 这一现象引起了保险风控部门的警觉。在经过安全厂商瑞数信息的后台诊断分析后，发现大部分红包并没有按计划被发放至终端用户手上，而是被大量“羊毛党”薅走了。

不仅如此，瑞数信息还发现了“羊毛党”黑产的蛛丝马迹：

批量调取接口行为分析

通过单独分析抽奖路径，瑞数信息发现：20%的请求操作行为字段为空值，可以判断这一部分是使用的简单脚本进行攻击；30%的输入操作记录为0，说明可能是通过高级自动化攻击发起的请求，或者是使用重放工具发起的请求。 正常的抽奖逻辑需要先访问抽奖页面，然后通过该页面发起抽奖的接口请求。但瑞数信息从接口调用的referer发现：其中20%的请求没有前置页面请求，referer值为空，说明这些请求是直接自动化调用的抽奖接口，没有按照正常的抽奖逻辑进行抽奖。

高级Bots工具

通过日志分析，瑞数信息发现了不少高级自动化工具。这类工具的访问日志中操作行为字段为空，没有人为的输入、滑动等行为，所有请求都是脚本驱动浏览器完成。

黑产批量调取接口行为分析

通过瑞数信息的cookie id（每个用户不会重复，具备唯一性），以及提取到的页面输入行为进行聚类分析，发现黑产团伙进行接口批量调用，直接参与抽奖行为。 以上种种分析，都指向了黑产团伙的行为路径：使用简单脚本，定时抓取活动页面，获取活动信息；使用高级自动化工具和重放攻击，模拟真人访问，自动化参与抽奖。 有了初步判断，保险公司风控负责人心里也有了底，决定联合瑞数信息一起，快速打一场翻身仗。

保险风控有力打击“羊毛党”黑产 BIG SALE 6.18

6月17日上午9点50分，林瑞再次开启了新一轮的红包“狩猎”。像往常一样，他只要盯着屏幕，看着红包像下雨一样进入自己控制的上万个账号，就可以轻轻松松获得几十万元。 但是这一次，林瑞有点慌了。距离10点抢红包的开始时间，已经过去了5分钟，可是自己控制的账号还没有丝毫的红包进账。是自动化工具出bug了吗？还是哪个环节出错了？林瑞的大脑在飞速地运转，却丝毫找不出头绪。 而在保险公司风控中心的电子大屏上，一连串被封堵的IP列表向上快速滑动，数量变得越来越多。原来瑞数动态应用防护系统Botgate开启了拦截模式，当发现红包抽奖请求中有自动化工具发起的抢红包行为，系统就自动将这些非法IP封禁了。 之所以瑞数动态应用防护系统Botgate能够精准打击“羊毛党”黑产，主要得益于瑞数信息利用独创的“动态安全+AI”技术，打破了传统安全/风控产品对于固定规则和特征库的依赖，能够有效打击各类网络欺诈，包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。 在清晰洞察了黑产行为之后，瑞数信息采用四招分层解决黑产“薅羊毛”问题。

招数一：针对简单脚本攻击和高级Bots工具

瑞数信息的“动态令牌”“动态验证”技术，能够确保运行环境，进行人机识别，对抗浏览器模拟化以及自动化攻击；同时，防止重放攻击和越权，确保业务逻辑正常进行。

招数二：针对黑产团伙

瑞数信息能够通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为等技术，实时识别模拟合法操作的异常行为，并梳理出黑产名单，并定制可编程对抗策略，在不影响业务的情况下实施拦截。 不仅如此，考虑到黑产一般在活动发起前就开始进行诸多准备，如扫描系统漏洞、爬取用户信息、分析活动页面信息等，瑞数信息在活动发起前就对业务做好防护，让业务“风险前置”。

招数三：漏洞防扫描

通过瑞数信息“动态安全”技术，使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测，无法发现可利用的漏洞及网页目录结构。同时，在网站/APP等应用未打补丁或补丁空窗期，提供有效安全防护。

招数四：用户信息防泄露

针对用户信息恶意爬取，瑞数信息利用“动态混淆”技术，将黑产每一次获取的信息都动态加密，让黑产无法获取真实信息；利用“动态封装”技术，将业务关键逻辑动态变化，防止攻击者分析网站代码。

随着抢红包活动结束，一场争分夺秒的黑产对抗战落下了帷幕，保险风控部门负责人露出了满意的笑容。

经过内部复盘发现，此次瑞数信息对于自动化工具领红包行为的拦截比例为50%。如果以平均一次领红包活动投入市场费用超过200万来计算，每年不定期有4次活动，1年就能节约400万市场费用。 同时，瑞数信息助力该保险企业的营销资金精准投放至目标用户，让真实用户可以真正享受活动优惠，维持现有用户粘性的同时吸引大量新用户的加入，提升企业的整体市场满意度和行业竞争力。 但一场对抗的胜利，并不代表下一次不会受到黑产的攻击。随着线上营销重要性的逐步增加，对线上业务的持续安全防护显得更加重要。

瑞数信息 以动态安全为核心

无需修改应用代码，无需进行特征库及策略库的升级维护工作，不仅可以实现业务全天候运行，实时动态安全防御，没有防护空窗期，还可以将采集数据进行可视化处理，以及多维度数据统计分析，辅助管理者进行安全决策，节省安全评估、安全应急、安全运维等方面的投入。

如今国家对金融行业的安全监管愈加严格，瑞数信息的动态安全建设，能够让保险机构更好地将行业政策要求与业务需求结合落地，为保险线上营销业务构筑起全方位的安全防线，让黑产无处遁形！