编辑导读:每一个商家都会不定期地进行一些拉新活动,用低价或者免费的方式来吸引新用户。但是这样羊毛党就不可避免,如果不加以控制,很有可能会成为活动中的一大隐患。本文作者结合自身经历,在产品/运营基础层面对注册, 活动, 支付等方面提出一些安全建议,希望对你有帮助。
伴随灰产行业的日益猖獗,几乎所有有利可图的平台都会成为他们的“猎物”。结合自身经历,本文将在产品/运营基础层面对注册, 活动, 支付等方面做一些安全建议。
一、注册
注册/登录是最基础也是最重要的安全防护第一道闸门,这一层做好了, 日后能免去诸多烦恼。
介绍一下目前市面上针对注册/登录这一块的安全风险点和防范措施。
1. 虚拟号段注册
所谓虚拟号段,是虚拟运营商的专属号段,获牌企业可以租用基础电信运营商的移动通信网络为用户提供基于自身品牌的通信服务。简单理解为是运营商的“特殊代理”,但是实际的管理运营是脱离运营商的,所以个人去营业厅开卡,一般是不会给你虚拟号段的号码。(一些乡镇和偏远地区存在主动兜售虚拟号的情况)。
那么利用这些虚拟号能做什么 ?批量在平台注册小号,养号,卖号。
这是一个定时炸弹, 一旦平台上新活动, 数十万的小号一起上分分钟让我们知道什么是“社会”。影响活动效果不说,严重的会导致很大的经济损失,这是目前注册环节最大的安全风险和挑战。 金融类的产品在敏感操作的时候都会让用户实名认证,人脸识别,在一定程度上可以规避这种情况的发生,但是没有办法完全规避,后面会提到。
防范措施:
在注册的时候,不允许虚拟号段注册,并且在“修改手机号”,第三方登录后绑定手机号等环节均需要做统一处理。这是目前最简单直接且消耗成本最低的防范方法。但是并非所有的平台都要这么做, 如果本身平台有诸多不涉及经济的业务功能,比如资讯,工具类,开放服务的平台根据自身业务环境可以酌情放开。如果害怕因此导致了此类用户流失,可以在用户注册的时候提示“用户当前正在用虚拟号码注册, 为确保账户安全, 请拨打***** 获取验证信息”,这一步的操作是为了确保当前操作的不是程序,是拥有通讯工具的真实个人。但是随着灰产整体技术水平的提升,以及语音识别的技术升级,这个方法所起到的作用正在被减弱。
上文提到的是平台自身创建安全规则,比较被动且手段单一,一旦有新的号段出来,我们就要去维护,消耗一定的管理和更新成本。目前市面上主流的云平台, 阿里,腾讯,网易等云服务平台均提供了针对注册安全方面的服务,基于平台掌握的大数据,配合相应的安全措施,实际体验下来效果比自己搭建安全规则要好。有实力且用户体量大的可以考虑。
目前已知开放的虚拟号段:
以及14开头的上网卡专属号段。
2. 换量/买量
通过流量呼唤或购买流量的方式来获取新用户。这里有很多见不得光的操作:
防范措施:
3. 验证码
验证码作为目前最基础适用范围最广的登录手段, 是最容易被攻击的薄弱点。
1)刷码
暴力刷码发生的情况不多, 但是一旦发生,就是直接的经济损失。 如果你的验证码获取次数是3次,刷子用100万的访问来刷你, 按照目前短信群发的价格在0.3 – 1毛之间计算, 直接的经济损失是9千-3万,这个月绩效没了。此类事情多发生在有正面冲突导致的蓄意行为, 或者被第三方当做肉鸡,成为“短信轰炸机”的短信源。
有些平台看似每天的验证码的服务访问量没有异常, 其实早已经是别人的‘肉鸡’了。【短信轰炸机】没用过也至少听过,在‘黑帽’领域早已是一个成熟的基础技能,在刷码的时候可以虚拟出比真机还真的环境, 任你有千万张良计, 我只靠“构建虚拟机环境‘一招过墙梯打败你。近几年随着各种与计算和大数据的投入,对于此类的安全时间的防御有所提升, 但是基本是防御手段刚出来,转身就被攻破了,防守总是在供给之后,被动至极。
防范手段:
1、平日低调,多积德,不要逞强装横 。暴力刷码是违F行为, 如若没有特殊的情况一般不会引起这种事情发生。
2、搭建健全的验证码安全机制
说一段扎心的真实情况,对于真·灰产大佬来说, 如果真的想在注册,验证码上做手脚,以上的多种方法都是直接无效的。 云控 + 云手机(下图)目前的技术已经非常成熟,且呈现规模化,团体化的趋势。做金融和游戏的对于这种应该都不陌生,可以说深恶痛疾,APP拉新, 拼团, 有羊毛可褥的地方他们就会出现,而且往往损失惨重。 可见我们所面临的安全风险形势依旧极其严峻 ,Pony哥一直在说的’科技向善‘是多么的重要。
另外着重说一下对‘图像识别’安全机制自信的大佬们, 市面上已经有成熟的平台来攻克该机制,而且支持的场景几乎可以囊括市面上所有的图形验证方法。看下某平台的打码功能介绍,感受一波技术的力量:
二、活动
几乎每个平台都会做活动,商品促销如何更改ip投票, 拉新促活,品牌营销 。在设计玩活动主体功能和流程以后, 请务必把活动的安全性列入必填项。
1. 以【签到抽奖】为例介绍其中被忽略的安全漏洞2. 拉新
作为褥羊毛重灾区的拉新活动, 几乎所有有价值的拉新活动都没能幸免。大多数情况, 我们对此束手无策,罗列一下拉新活动被褥时的惨状:
其他还有很多类似打榜/投票的活动,只要花点钱,大量的第三方投票平台可以满足你的各式各样的花式需求,包括且不限于 :投票人的性别, 年纪, IP地址,设备型号,投票频次等等要求。价格可以低到几分钱一个,花几百块弄个高价值的奖品,太值了。
再说个极端的银行消费打榜的活动:在单位时间内消费金额达到多少即可参与活动, 金额前十名有额外的高价值奖品。只要奖励价值足够高,你设置多高的消费额度门槛都没用,为什么 ?因为屠榜的大佬人手十几台pos机,可设置消费的所在城市,商铺类型甚至指定商铺,刷到银行怀疑本行持卡人消费竟然能如此凶猛!到最后才发现, 这不过是别人的常规操作, 损失就是套X 的手续费, 但是相比奖品完全可以忽略。后面把套出来的米还进去, 一出一进奖品到手还能累计大量的积分, 积分又能在平台兑换一波奖品, 骚操作能把策划整的哭晕在大堂的柜台 ,拉都拉不起来 ~
那~ 有没有切实可行的方案解决褥羊毛的行为,让平台免受损失。
答案 :没有。
为什么这么肯定,我们来看看强大如开水团的种果树的活动被撸成啥样了?!获取奖励的核心操作是拿到大量的化肥和水滴去浇灌果树,促进果实成熟获得奖品。提炼一下我们要的资源:化肥,水滴。化肥可以通过抽奖和购物获得,水滴送的就用不完。平台大量的1分钱的商品/服务,购买即可获得大额水滴和话费,2、3天一箱水果真的不要太香啊。
活动开始还发生了我上面提到的用户购买后拿到奖励发起退款的现象,后面更新了活动规则:退款过多会永久删掉奖励对应的任务。但是还是架不住’智慧‘的人民,有的是购买超低价商品,有的则是买了券以后不消费等过期平台自动退款, 但是化肥&水滴奖励我已经拿到。这个是用户在平台规则下正大光明的钻你的规则漏洞,无可奈何。
最近果树成熟的进度已经扩展到小数点后三位了,而且每次浇水的进度提升比例也降了不少。一方面可以看出’智慧‘的用户占比不少,另一方面也看出这个活动在一定程度上对促活和订单转化确实起了很大作用。
大厂尚且如此,初创和中小规模的企业的状况就不用多言了。但是我们在做活动的时候,是不是要严格控制活动规则?恰恰相反,不能。用户已经被十分甜的蜂蜜甜过了,如果给他们七分甜、半糖,那活动效果势必要打折扣的。建议还是设定常态化的规则,且在成本允许的范围内尽量基于新用户更多的奖励,而产品和运营要费心思在奖励的规则的制定上。目前常见的操作是:时效性(如当日有效),范围设定(不一定是用户需要的商品,但是一定是高利润 或 压仓库存),连续性(一环奖励被用掉后面还有新奖励如何更改ip投票,程度逐步递减)。
无论如何设置无外乎从2个方面做文章 :时间成本,订单总额/量。短时间内促进用户使用奖励下单,或持续的订单才能获取持续的奖励,不断的用奖励提升用户的复购频率,以此获取的营收来抵消部分平台损失。但是现实中活动通盘算下来计入采购,运输,仓储,人力成本过半的活动都是亏钱的,而通过活动引入的流量如果运营得当能够在平台持续活跃&留存,时间叠加最终会转亏为盈,前提是公司能撑得住。
关于活动说的有点啰嗦,这块遇到的骚操作实在太多,还有些骚断腿的案例就不拿出来了,以免有心人有样学样。
三、支付
移动支付的兴起,在方便大家生活的同时在一定程度上让大家的财产不那么安全了,目前对于人民群众的支付安全多有以下几种 :
用户端:
平台端:
无论我们只是一个有支付收银台页面的小可爱,还是具有支付中心平台支撑能力的大中型企业,都应该足够重视支付环境的安全,保护用户的财产安全。
最后:真诚希望以上所述大家永远遇不到, 真诚希望人心向善,每个个体都用善意的心态去推动这个国家的经济建设和商业发展不断先前。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,整站资源免费下载 点击查看详情
站 长 微 信: aj1658985874