网易云社区高手问答第一期：315之业务反作弊反欺诈

网易云更新于 2018-03-16 11:07

• 网易云2018-03-20 11:52

  代刘庆老师集中回答几位网友的问题，答案如下：
  

  
  

  @新人报道 网友的提问：请问两位老师，如何防止线上推广活动中的作弊行为？为了让参与的用户宣传活动设计了拉票环节。可是在大奖的吸引下，注册机注册投票，手动断线换ip投票，各种手段扰乱了正常的持续。如果提高活动门框，比如投票手机验证等，活动气氛很难活跃，活动效果又难保证。
  

  ————————————————————————————————————————
  

  这个问题回答如下：        

  一般的防作弊的手段是验证码，或者IP高频限制，但是，这两个的弊端也非常明显，一个是用户体验不佳，另一个是可能误杀真实用户。一个比较好的防作弊解决方案，不仅要考虑用户体验，同时又要兼顾效果，所以，前前后后需要考虑很多方面，比如：

  
  

  1）最好对用户是无感知的；

  2）最好能识别作弊的设备，毕竟羊毛党的设备也是有限的，当然，也要能识别经过改机软件篡改过的设备

  3）最好能识别机器作弊的一些行为，从行为轨迹上进行识别和拦截

  4）最好能识别作弊的ip

  5）最好能识别作弊的手机号、账号

  6）…………

  
  

  实际，要做到上述这些，最终拼的是技术实力和安全运营经验，比如：如何识别被篡改过的设备、如何准确识别作弊ip又不误伤真实用户、如何识别作弊手机号等等。所以，对于一般专注做业务的公司而言，直接采购安全厂商的反作弊产品会更划算，当然，也可以试试网易云易盾的反作弊产品：https://dun.163.com/product/anticheat

  
  

  @用户8939349 的提问：老师您好，我们现在有一个课题研究是网络安全，想做这方面的内容。在做市场调研的时候，发现用模拟器+网络接码平台可以针对大部分推广活动，而针对这些技术开发商们也是想尽办法。ip限制注册量，模拟器检测……我想问问老师，单从识别模拟器登陆，我们可以从哪些方面来进行检测？目前了解到有通过架构识别，手机串号识别，老师可以提供其他检测的方向吗？

  
  

  ——————————————————————————————

  这个问题回答如下：     

  主要有这几个方向：

  1）模拟器基于的平台检测，比如，现在大部分的非原生模拟器都是基于VirtualBox的

  2）模拟器相对于手机而言少的一些特征检测，比如：蓝牙、温度传感器等；

  3）模拟器特有的可执行文件检测 

  等等

  
  

  @未来已来 的提问：请问手机游戏如何加固加密，防止作弊？有没有比较好用的第三方加密加壳工具，能保护so库不被反编译，能最大可能的阻止内存修改器，加速器等作弊器，网上找了个第三方加壳工具，普通版貌似so库没有保护(md5校验没有变化)，收费版几万到几十万，所以想问下有没有什么工具或方法可以尽可能的避免玩家作弊。另外说明下，游戏是2dx项目，然后数据即时战斗格斗类游戏，客户端计算比较多。谢谢了

  ————————————————————————————

  回答：免费的加固工具一般都是阉割版，或者，不会及时更新升级的版本。所以，对于一线的破解团伙或工具，免费的加固工具可能起不到太多的作用。所以，建议采购专业的手游加固产品，比如网易云易盾的app加固服务：https://dun.163.com/product/android-reinforce
  

  
  

  ————————————————————————————————————————
  

  代张强老师集中回答几位网友的问题，答案如下：

  @忘忧草 网友的提问：验证码真的能防止盗号吗？觉得验证码是一个很没用的东西。最近打错了几次密码，再次登陆除了账号密码就要填写验证码了。但是这种验证码有用吗？

  打错密码无非就两种情况：1.单纯的打错，使用者就会认为，唉，不就打错个密码吗，还要输验证码，验证码又不容易看，真麻烦；2.是盗号分子输入账号，那盗号的只需要打验证码就行了啊，破解了用户的密码还是能盗啊。

  
  

  ————————————————————————————————————————————————
  

  感谢提问，首先，你要明白设置验证码的含义和作用是什么，借用百度百科对验证码的定义：验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机和人的公共全自动程序。可以防止：恶意破解密码、刷票、论坛灌水，有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。所以，验证码绝对不是没有用的。

  
  

  对于你后面提到的情况，补充以下几点：
  

  
  

  ①增加成本。黑产拿到了你的账户密码就会进行撞库操作，撞库是批量行为，一旦成功就能进入你的账户，所以多次输入密码错误出现验证码会增加黑产人员技术和时间成本，验证码就这样在一定程度上保护了你的账户安全。

  
  

  ②没有绝对的安全。验证码是可以通过机器学习进行破解的，网上还有很多打码和听码人员，即使你不用机器学习破解，也可以花钱来人肉识别，所以想靠验证码防住一切风险是不现实的。

  
  

  ③其他防御机制。验证码可以被破解，但是信息安全的防御从来都不只有一道关，易盾拥有多种风险识别防御机制，能够及时对风险进行拦截。

  
  

  所以，我们反而应该感谢验证码的出现，是它，为我们的账户安全建立了第一道防线。

  
  

  @用户7040682 的提问：羊毛党的最新薅羊毛手法有哪些，应该如何去鉴别呢？另外，羊毛党的存在只会对平台有害吗，商品降价时薅羊毛的也是平台的用户，被薅难道不是正常的吗，求解释。。
  

  ——————————————————————————————————————————————

  感谢提问，其实，在日常生活中，我们或多或少都薅过羊毛，但是，平台是欢迎我们的，因为我们是平台的真实用户，对平台造成损害的是那些非真实用户，那么羊毛党是如何创造这些非真实用户的呢？

  
  

  第一步：利用收码平台进行虚假注册

  网站注册一定要有手机号，收码平台上拥有十几万甚至上百万个可以接收验证码的手机号，这些手机号被称之为黑卡，羊毛党先登录收码平台后进行充值后只需要使用1毛或几毛钱的低成本就可以拿到一个手机号和手机验证码在平台上进行注册。

  
  

  第二步：使用群控软件薅羊毛

  群控软件可以实现一台电脑控制N台手机，加之高速的网络，羊毛党可以使用群控软件控制N台手机同时登录活动页面薅羊毛，同时拥有技术和数量优势，红包或者优惠券秒光的原因也就不难解释，所以我们普通用户很难跟羊毛党竞争。

  
  

  第三部：转手

  关于羊毛党薅到的战利品有很多销赃渠道，最常见的就是QQ群，QQ群里有普通捡便宜的用户和一些专门回购商品的商家，所以薅到羊毛后羊毛党能够将战利品很快脱手获益。

  
  

  关于羊毛党的鉴别需要通过专业的技术手段，比如用户人机识别，设备指纹，行为模型，规则引擎等等，普通用户是无法鉴别的；因为现在各大电商网站对羊毛党的防范也非常重视，所以也会通过IP或设备信息对羊毛党进行识别和拦截，但是羊毛党通过代理IP和改机工具还是能够绕过网站的安全防线，所以防御羊毛党需要一套系统通过多维度进行识别和防御。

  
  

  @用户9752236 的提问，不好意思，我关注的重点是张强老师很帅。

  我只想问，我总是抢不到红包怎么办？作为一个总是抢不到红包和优惠券的人，常常坐在马桶上思考我存在的意义到底是啥。

  ——————————————————————————————————————————

  感谢提问，这个问题夸我和刘庆也解决不了问题，必须要发红包和优惠券的公司提高网络业务安全意识及时使用了我们易盾的业务安全服务才行，所以我们也在加强互联网安全知识的普及，问题正在解决中；

  
  

  PS:

  牛顿坐在树下发现了“万有引力定律”

  乔布斯在车库里开发了第一台苹果电脑

  厕所也是个好地方，能够让人放松静下心来思考你人生的无限可能^_^

  
  

• 用户89393492018-03-19 23:51

  老师您好，我们现在有一个课题研究是网络安全，想做这方面的内容。在做市场调研的时候，发现用模拟器+网络接码平台可以针对大部分推广活动，而针对这些技术开发商们也是想尽办法。ip限制注册量，模拟器检测……我想问问老师，单从识别模拟器登陆，我们可以从哪些方面来进行检测？目前了解到有通过架构识别，手机串号识别，老师可以提供其他检测的方向吗？

• 勤奋的喵2018-03-16 10:28

  请问两位老师，如何防止线上推广活动中的作弊行为？为了让参与的用户宣传活动设计了拉票环节。可是在大奖的吸引下，注册机注册投票，手动断线换ip投票，各种手段扰乱了正常的持续。如果提高活动门框，比如投票手机验证等，活动气氛很难活跃，活动效果又难保证。

• 未来已来2018-03-16 10:24

  请问手机游戏如何加固加密，防止作弊？有没有比较好用的第三方加密加壳工具，能保护so库不被反编译，能最大可能的阻止内存修改器，加速器等作弊器，网上找了个第三方加壳工具，普通版貌似so库没有保护(md5校验没有变化)，收费版几万到几十万，所以想问下有没有什么工具或方法可以尽可能的避免玩家作弊。另外说明下，游戏是2dx项目，然后数据即时战斗格斗类游戏，客户端计算比较多。谢谢了

• 用户80830522018-03-16 10:05

  @xianjianmi
  

  电商公司的风险控制与反作弊是做什么的？想应聘需要哪些技能与知识？感谢两位老师！ 

  
  

  ​​​​​ ————————————————————————————————————————————————————

  
  

  感谢提问，第一个问题，反作弊是电商风险控制的一个部分，电商公司的防控的业务风险及其危害主要为以下几点：

  
  

  ①恶意注册：使用机器进行批量注册，导致网站产生大量的垃圾账号，注册后可用于发贴，直接导致网站产生大量的垃圾内容。

  
  

  ②账户盗用：不法分子通过技术手段盗取（拖库、撞库、木马）或在黑产市场购买用户的账户密码，对用户账户内的积分或者虚拟货币进行兑换或消费。

  https://tv.sohu.com/20171114/n600252837.shtml（了解相关）

  
  

  ③盗卡支付：通过技术手段盗取用户银行卡信息，绑定电商线上工具后使用快捷支付对卡内金额进行消费。

  http://news.163.com/16/1019/07/C3NNHM2A00014Q4P.html（了解相关）

  
  

  ④刷单：电商平台商户通过雇佣刷单人员对平台商品进行虚假交易。虚假交易会产生商品销量与虚假好评，误导消费者的同时，平台会产生客诉，对平台声誉不利。

  
  

  ⑤营销作弊：指在电商运营活动中（秒杀、领券、红包、积分兑换等），以低成本或零成本获得高额奖励的行为，也就是我们俗称的“薅羊毛”。薅羊毛的群体我们称之为“羊毛党”，运营活动的目的在于增加电商平台的用户粘性，激活老用户同时进行拉新，让真实用户获得实惠，而羊毛党的参与会直接导致营销活动“失利”。

  
  

  第二个问题，这个问题非常大，其实风险不仅仅存在于电商行业，互联网的各行各业都涉及业务安全风险，一个安全部门需要产品，技术，运营，测试，算法等多个岗位，所以作为产品经理我介绍一下产品经理的岗位职能：

  ①业务安全系统设计（产品经理基本技能）

  ②深入黑产链条了解黑产作案手段和工具，及时向组织内部反馈（信息搜集）

  ③对系统数据进行监控，及时发现数据异常，快速反应更新系统规则或确定防御手段（数据分析）

  
  

  综上，从事业务安全对抗黑产，要始终保持敬畏，因为任何黑产的技术实力也非常强大，所谓道高一尺魔高一丈，唯有不断学习，知己知彼才能百战不殆
• 活动主持人2018-03-15 14:29

  电商公司的风险控制与反作弊是做什么的？想应聘需要哪些技能与知识？感谢两位老师！

• 网易云有料2018-03-15 14:24

  验证码真的能防止盗号吗？觉得验证码是一个很没用的东西。最近打错了几次密码，再次登陆除了账号密码就要填写验证码了。但是这种验证码有用吗？
  打错密码无非就两种情况：1.单纯的打错，使用者就会认为，唉，不就打错个密码吗，还要输验证码，验证码又不容易看，真麻烦；2.是盗号分子输入账号，那盗号的只需要打验证码就行了啊，破解了用户的密码还是能盗啊。
  
  

• 用户70406822018-03-15 13:57

  羊毛党的最新薅羊毛手法有哪些，应该如何去鉴别呢？另外，羊毛党的存在只会对平台有害吗，商品降价时薅羊毛的也是平台的用户，被薅难道不是正常的吗，求解释。。
  

• 用户97522362018-03-15 10:49

  不好意思，我关注的重点是张强老师很帅。

  我只想问，我总是抢不到红包怎么办？作为一个总是抢不到红包和优惠券的人，常常坐在马桶上思考我存在的意义到底是啥。
  

• 猪小花1号2018-03-15 10:30

  感谢两位老师，请问对于移动端 App，虚拟机注册或类似作弊行为有何应对好办法？我公司搞活动经常被人刷注册