营销策划中的“正反互换，反手为攻“——反作弊实践经验分享

互联网营销策划中经常提到“以正合，以奇胜”，正乃战略，奇乃策略。营销策略中经常会举行一些以奇致胜的活动，数量繁多，形式各异。比如朋友圈集赞送礼，转发微博抽奖，拉新用户送福利，参加活动领取优惠券等等。这些活动，举办方大都有一些明确的目标，比如宣传，拉新，促销等。  

然而在活动具体实施过程中，有一些恶意用户使用各种手段来“作弊”，企图在不遵守活动规则的前提下也实现获利。他们的这种作弊行为，对活动举办方会造成很大损害，不但造成经济损失，也损害了其他正常参加活动用户的利益，可能导致举办方信誉受损，最终导致活动效果大打折扣，活动目标无法实现。其中有一些人还自称为“羊毛客”，目的就是来薅（hāo）羊毛。  

网易产品提供反作弊服务的过程中，也积累了一些经验。本文就尝试罗列一些常见的作弊方法和作弊资源，给出一些防御工具和注意事项，为广大产品及运营者在产品营销策划中如何通过反作弊策略“反手为攻”。

具体一个活动中的作弊用户可能有好几拨，不同团队的作弊水平有高有低，差距还可能很大。基本可以按作弊手段里结合黑产资源的多少，也就是作弊成本高低来区分。对于低水平的作弊用户，用简单的规则和手段封堵某些点就可以了。但是对于作弊手段高明的人，就很难用片面的策略来发现了。那么我们在做防御方案的时候，也需要全面的应对，用系统化的方案来应对。

 1. 常见作弊需要的资源 俗话说“知己知彼，百战百胜”，下面我们就先从作弊者的角度来看看有哪些东西可以利用来作弊。

 

1.1. 帐号 

去某宝上搜一下，各个产品的帐号都有，大量批发还更加便宜。（微博，微信，网易通行证，各种邮箱帐号等等）。直接购买就可以使用（提供帐号密码），省去了注册的流程。 

 

1.2. IP  

某宝上也有大量代理IP出售，价格实惠，甚至还提供包月的服务。当然自己写一些爬虫去收集代理IP也行，更牛的自己掌握一些肉鸡就更方便了。用不同的IP登录不同的帐号是一种比较好的隐藏自己行踪的方法，通常很多产品都会对IP做高频限制（同IP下参与用户数过多）。 

 

1.3. 手机短信验证码 

类似51验证码等手机短信验证码平台现在也是难以杜绝。这种平台都有一定的卡商资源，并且平台对使用方式上有一定的包装，一般都有相应的api或者工具包。方便程序自动实现获取手机号以及该手机号收到的验证码。绝对的真实有效，保质保量。价格也是根据量不同有不同优惠。一般情况下收一个验证码6分钱。 在这些平台上游的卡商，一般是掌握大量手机卡的人，他们可以利用卡猫等设备将手机卡和电脑相连，再用平台给的工具实现平台接入。各种未经实名认证（可能还未出售）的手机号码就能实现接收验证码短信了。 

 1.4. 打码平台 

这个是指人工输入图形验证码。对于简单的验证码，用机器识别即可（成功率相当高），对于复杂度较高的验证码，平台也支持人工打码支持。7*24小时服务，每日结算费用。

 1.5. 模拟器 

模拟器通常是指安卓的模拟器，安卓模拟器非常强大，种类也很多，基本可以模拟一个真实的手机全部功能。比如BlueStacks等。连GPS信息都可以模拟。 

 1.6. 专门工具 

专门的黑客技术人员会编写有针对性的工具和程序，结合模拟器以及上面提到的各种黑产资源，可以做出一整套自动化的工具。比如现在很多帐号注册机，就支持更换IP，更换手机号码，对接打码平台等功能。据说有这样技术的高端黑客上游，一个可以支撑数十个下游的黑产团队。

 2. 一些防御措施和准备工作 前面了解了一些常见作弊可能使用的东西之后，我们再来分析自己能做的事情有哪些。

 

2.1. 基本原则 

既然很多作弊都是程序自动化的行为，那么我们就应该尝试做人机识别。其实人机识别做好了所有问题就解决了，不过人机识别这个概念范围太广了，我们还是从一些具体的目前现成的技术手段来说明。由于作弊手段是多样的，所以防御措施也没有一劳永逸的好事，但是我们可以遵循的一个基本防御原则就是：提升作弊成本。

 

2.2. 验证码 

人机识别里面性价比较高的方案就是验证码，并且最常见的就是数字字母验证码。可以在信息安全的公共技术库中找到验证码工具。普通的数字字母验证码还是有一定的破解率的，需要定期更换样式保证较低的破解率。汉字验证码防机器人效果是不错，不过用户体验不好。一旦有了验证码，他们需要破解就需要额外增加代码服务，提升了作弊成本。同时我们也在研发各种新形势的验证码，比如拖条，拼图，文字点选等等，后续也会补充到公共技术库中供有需要的部门选用。

2.3. 手机短信验证

是手机验证码，虽然有打码平台存在，但是接入也是需要成本，并且是按手机号码个数计费，成本也不低。提升了作弊的成本，羊毛党自然的会去找成本更低，更容易的地方薅羊毛了。

 2.4. 设备ID

浏览器指纹 记录移动设备ID，浏览器指纹，做高频限制，统计分析。常见的手机MAC地址，IMEI号等有专门的黑客工具做了破解，所以对于设备ID的生成，传输，存储也需要有更加安全的方案。这里有一个对抗的过程，我们推出一些新的设备ID算法（包括指纹算法），经过一段时间后黑客也可能破解其中一二，然后我们就需要准备升级。目前信息安全部的公共技术库中也已经有成熟的设备ID（支持IOS和安卓）和浏览器指纹的SDK。 实践证明设备ID和指纹还是非常有效的手段，那种利用手机验证码平台的用户很多都是被设备ID规则拦截下来的。 

 

2.5. IP规则 

IP也是有限的资源，虽然有很多代理售卖，但也是需要成本的。并且IP的概念比较深入人心，用IP做规则，普通用户也容易接受。IP高频限制，作为最最基本的防御措施，还是需要保留的。

 2.6. 数据分析 

再复杂一点的方案就是数据分析。这个分析分成两个方面，一个方面是分析机器人：收集用户的行为轨迹后分析判断是否真实用户。比如用户的鼠标轨迹，用户各个页面的停留时间等。初期可以直接用简单规则配合判断，比如是否有经过活动设定的页面路径等。另一个方面是分析正常用户：根据用户的历史行为数据分析是否为正常人，从而保护用户免受各种反作弊规则的误判。

 

2.7. 游戏规则

 很多作弊的人被拦截后会投诉并且质问拦截原因，他们希望了解更多的防御措施再做有针对性的破解。那么一个活动在开始之前，先说明游戏规则就很有必要了。良好的措辞可以避免很多不必要的纠纷。参考支付宝的一个通用活动总则：每次活动中，每个用户只限参加一次活动，每个用户只能中奖一次。同一手机、同一联系方式、同一IP地址、同一支付宝账户、同一身份证件、同一银行卡号、同一收货地址、同一终端设备号或其他可以合理显示为同一用户的情形，均视为同一用户。

 我们先把丑话说在前头，当有用户投诉的时候，告诉他们违反了活动规则即可。至于具体的判断依据，可以说是有合理情形判断为同一用户。记住：活动规则很重要。但这里并不是说把这些活动细则一下子全展现给用户。而是加一些链接到更加详细的规则说明页面去。支付宝，京东都是这么做的。

 2.8. 延时发奖

 建议各种奖励都不要立刻结算，一方面对反作弊的工作压力很大，另外一方面对于作弊的人也容易试探规则，只要看是否领奖成功即可。因为上述各种反作弊的措施，都需要一定的时间来完成，时间上给予一些宽裕，方便反作弊工作的实施，也可以实现更加精确的打击。比如有一些作弊者在一台新机器上第一次使用，设备ID也还是全新的，如果是实时判断的话可能就无法识别，但如果累计了一天后再看，就可以发现这个设备ID下聚集了大量帐号。敌明我暗，成功率就高了很多。

 

2.9. 抽奖 

抽奖是一个减少投诉的好方法，但可能对用户吸引力稍弱一些。但是对于被反作弊拦截的用户，全部都可以用抽奖没抽到为理由回复用户，客服压力会小很多。 

 

2.10. 客服准备 

这里指的是客服和活动策划，反作弊人员之间的前期沟通交流和规范制定。比如规则的保密性，应对投诉的说法等。并且反作弊也不能做到100%精确，有可能存在误伤了真实用户，对于投诉过来的，可以及时反查用户情况，误伤的尽量给予补偿。并且根据误伤情况反馈，更新防御规则。

 

3. 总结 

反作弊是一个对抗的过程，本质就是作弊和防御成本的较量。我们想完全抓出每一个作弊的用户是非常困难的，我们能做的只有不断抬高作弊成本，至少比其他产品活动成本要高，作弊用户自然就不会骚扰你的产品了。