营销策划中的“正反互换,反手为攻“——反作弊实践经验分享

jennie2018-05-28 16:27

互联网营销策划中经常提到“以正合,以奇胜”,正乃战略,奇乃策略。营销策略中经常会举行一些以奇致胜的活动,数量繁多,形式各异。比如朋友圈集赞送礼,转发微博抽奖,拉新用户送福利,参加活动领取优惠券等等。这些活动,举办方大都有一些明确的目标,比如宣传,拉新,促销等。  


然而在活动具体实施过程中,有一些恶意用户使用各种手段来“作弊”,企图在不遵守活动规则的前提下也实现获利。他们的这种作弊行为,对活动举办方会造成很大损害,不但造成经济损失,也损害了其他正常参加活动用户的利益,可能导致举办方信誉受损,最终导致活动效果大打折扣,活动目标无法实现。其中有一些人还自称为“羊毛客”,目的就是来薅(hāo)羊毛。  


网易产品提供反作弊服务的过程中,也积累了一些经验。本文就尝试罗列一些常见的作弊方法和作弊资源,给出一些防御工具和注意事项,为广大产品及运营者在产品营销策划中如何通过反作弊策略“反手为攻”。

具体一个活动中的作弊用户可能有好几拨,不同团队的作弊水平有高有低,差距还可能很大。基本可以按作弊手段里结合黑产资源的多少,也就是作弊成本高低来区分。对于低水平的作弊用户,用简单的规则和手段封堵某些点就可以了。但是对于作弊手段高明的人,就很难用片面的策略来发现了。那么我们在做防御方案的时候,也需要全面的应对,用系统化的方案来应对。


 1. 常见作弊需要的资源 俗话说“知己知彼,百战百胜”,下面我们就先从作弊者的角度来看看有哪些东西可以利用来作弊。

 

1.1. 帐号 

去某宝上搜一下,各个产品的帐号都有,大量批发还更加便宜。(微博,微信,网易通行证,各种邮箱帐号等等)。直接购买就可以使用(提供帐号密码),省去了注册的流程。 

 

1.2. IP  

某宝上也有大量代理IP出售,价格实惠,甚至还提供包月的服务。当然自己写一些爬虫去收集代理IP也行,更牛的自己掌握一些肉鸡就更方便了。用不同的IP登录不同的帐号是一种比较好的隐藏自己行踪的方法,通常很多产品都会对IP做高频限制(同IP下参与用户数过多)。 

 

1.3. 手机短信验证码 

类似51验证码等手机短信验证码平台现在也是难以杜绝。这种平台都有一定的卡商资源,并且平台对使用方式上有一定的包装,一般都有相应的api或者工具包。方便程序自动实现获取手机号以及该手机号收到的验证码。绝对的真实有效,保质保量。价格也是根据量不同有不同优惠。一般情况下收一个验证码6分钱。 在这些平台上游的卡商,一般是掌握大量手机卡的人,他们可以利用卡猫等设备将手机卡和电脑相连,再用平台给的工具实现平台接入。各种未经实名认证(可能还未出售)的手机号码就能实现接收验证码短信了。 


 1.4. 打码平台 

这个是指人工输入图形验证码。对于简单的验证码,用机器识别即可(成功率相当高),对于复杂度较高的验证码,平台也支持人工打码支持。7*24小时服务,每日结算费用。


 1.5. 模拟器 

模拟器通常是指安卓的模拟器,安卓模拟器非常强大,种类也很多,基本可以模拟一个真实的手机全部功能。比如BlueStacks等。连GPS信息都可以模拟。 


 1.6. 专门工具 

专门的黑客技术人员会编写有针对性的工具和程序,结合模拟器以及上面提到的各种黑产资源,可以做出一整套自动化的工具。比如现在很多帐号注册机,就支持更换IP,更换手机号码,对接打码平台等功能。据说有这样技术的高端黑客上游,一个可以支撑数十个下游的黑产团队。


 2. 一些防御措施和准备工作 前面了解了一些常见作弊可能使用的东西之后,我们再来分析自己能做的事情有哪些。

 

2.1. 基本原则 

既然很多作弊都是程序自动化的行为,那么我们就应该尝试做人机识别。其实人机识别做好了所有问题就解决了,不过人机识别这个概念范围太广了,我们还是从一些具体的目前现成的技术手段来说明。由于作弊手段是多样的,所以防御措施也没有一劳永逸的好事,但是我们可以遵循的一个基本防御原则就是:提升作弊成本。

 

2.2. 验证码 

人机识别里面性价比较高的方案就是验证码,并且最常见的就是数字字母验证码。可以在信息安全的公共技术库中找到验证码工具。普通的数字字母验证码还是有一定的破解率的,需要定期更换样式保证较低的破解率。汉字验证码防机器人效果是不错,不过用户体验不好。一旦有了验证码,他们需要破解就需要额外增加代码服务,提升了作弊成本。同时我们也在研发各种新形势的验证码,比如拖条,拼图,文字点选等等,后续也会补充到公共技术库中供有需要的部门选用。


2.3. 手机短信验证

是手机验证码,虽然有打码平台存在,但是接入也是需要成本,并且是按手机号码个数计费,成本也不低。提升了作弊的成本,羊毛党自然的会去找成本更低,更容易的地方薅羊毛了。


 2.4. 设备ID

浏览器指纹 记录移动设备ID,浏览器指纹,做高频限制,统计分析。常见的手机MAC地址,IMEI号等有专门的黑客工具做了破解,所以对于设备ID的生成,传输,存储也需要有更加安全的方案。这里有一个对抗的过程,我们推出一些新的设备ID算法(包括指纹算法),经过一段时间后黑客也可能破解其中一二,然后我们就需要准备升级。目前信息安全部的公共技术库中也已经有成熟的设备ID(支持IOS和安卓)和浏览器指纹的SDK。 实践证明设备ID和指纹还是非常有效的手段,那种利用手机验证码平台的用户很多都是被设备ID规则拦截下来的。 

 

2.5. IP规则 

IP也是有限的资源,虽然有很多代理售卖,但也是需要成本的。并且IP的概念比较深入人心,用IP做规则,普通用户也容易接受。IP高频限制,作为最最基本的防御措施,还是需要保留的。


 2.6. 数据分析 

再复杂一点的方案就是数据分析。这个分析分成两个方面,一个方面是分析机器人:收集用户的行为轨迹后分析判断是否真实用户。比如用户的鼠标轨迹,用户各个页面的停留时间等。初期可以直接用简单规则配合判断,比如是否有经过活动设定的页面路径等。另一个方面是分析正常用户:根据用户的历史行为数据分析是否为正常人,从而保护用户免受各种反作弊规则的误判。

 

2.7. 游戏规则

 很多作弊的人被拦截后会投诉并且质问拦截原因,他们希望了解更多的防御措施再做有针对性的破解。那么一个活动在开始之前,先说明游戏规则就很有必要了。良好的措辞可以避免很多不必要的纠纷。参考支付宝的一个通用活动总则:每次活动中,每个用户只限参加一次活动,每个用户只能中奖一次。同一手机、同一联系方式、同一IP地址、同一支付宝账户、同一身份证件、同一银行卡号、同一收货地址、同一终端设备号或其他可以合理显示为同一用户的情形,均视为同一用户。


 我们先把丑话说在前头,当有用户投诉的时候,告诉他们违反了活动规则即可。至于具体的判断依据,可以说是有合理情形判断为同一用户。记住:活动规则很重要。但这里并不是说把这些活动细则一下子全展现给用户。而是加一些链接到更加详细的规则说明页面去。支付宝,京东都是这么做的。


 2.8. 延时发奖

 建议各种奖励都不要立刻结算,一方面对反作弊的工作压力很大,另外一方面对于作弊的人也容易试探规则,只要看是否领奖成功即可。因为上述各种反作弊的措施,都需要一定的时间来完成,时间上给予一些宽裕,方便反作弊工作的实施,也可以实现更加精确的打击。比如有一些作弊者在一台新机器上第一次使用,设备ID也还是全新的,如果是实时判断的话可能就无法识别,但如果累计了一天后再看,就可以发现这个设备ID下聚集了大量帐号。敌明我暗,成功率就高了很多。

 

2.9. 抽奖 

抽奖是一个减少投诉的好方法,但可能对用户吸引力稍弱一些。但是对于被反作弊拦截的用户,全部都可以用抽奖没抽到为理由回复用户,客服压力会小很多。 

 

2.10. 客服准备 

这里指的是客服和活动策划,反作弊人员之间的前期沟通交流和规范制定。比如规则的保密性,应对投诉的说法等。并且反作弊也不能做到100%精确,有可能存在误伤了真实用户,对于投诉过来的,可以及时反查用户情况,误伤的尽量给予补偿。并且根据误伤情况反馈,更新防御规则。

 

3. 总结 

反作弊是一个对抗的过程,本质就是作弊和防御成本的较量。我们想完全抓出每一个作弊的用户是非常困难的,我们能做的只有不断抬高作弊成本,至少比其他产品活动成本要高,作弊用户自然就不会骚扰你的产品了。