变革的技能，不乱的人性。

作圈外人 | 洋火Q

编纂 | 甲小姐

分析师 | 丁兆增

塑造圈外人No.50

“很久没有遇到这么大的缝隙了，你们担任，我睡了。”

2019年1月20日凌晨1点半，在某“羊毛党”堆积的电报（Telegram，一款社交APP）群里，一位圈内“大佬”发话道。

此日夜里，就在大佬睡前半小时，某电商平台上线了一张面额100元的全场通用优惠券，有效期1年。

对职业羊毛党来说，这的确在送钱。

他们顿时启动多个虚假账号领券，再在平台内采办Q币或给手机充值，券直接酿成钱。

很快，这一缝隙便从半小时内就薅得盆满钵满的职业羊毛党，扩散到了公共群体。“整个羊毛党世界沸腾了”，一夜无眠。

第二天，该平台发表声明，数千万元优惠券被盗。

作为数美科技黑产研究院院长，暗藏在羊毛党电报群里的Sw0rdH01der（假名）又一次序顺序序近距离目睹了一场黑产狂欢。

有好处的处所就有黑产。

据统计，海内黑产从业圈外人范围赶过百万；2018年，黑产造成的损掉已高达千亿级——这些数字还在迅速增长。

而今，黑产江湖已渗透进我们糊口的角角落落，重大的黑产攻防战正在一波三折地展开。偷袭圈外人魔高一尺，狙击圈外人道高一丈，先进的科技刀兵被逐一纳入应用，超卓水平不贰贰亚于一部斗智斗勇的猛烈谍战片。

而Sw0rdH01der地址的数美科技，正是揭开这一幕的一个绝佳视角：

自2015年6月创立以来，数美一直战斗在反抗黑产的最火线。

从流量盈余到流量仓促，数美创立时恰逢移动互联网开启“下半场”，黑产反抗需求剧增。

规范欺诈危害包孕付出盗刷、恶意退款、渠道流量作弊、虚假用户拉新、呆板抢券、违法违规内容、欺诈广告导流、内容盗爬等级；跟着越来越多传统行业走向“互联网+”，数美与黑产的较量又进一步从社交、电商、游戏、视频、在线旅游、在线教育等级延伸到了银行、保险、证券、地产、航旅、新零售等级规模。

不贰贰到4年间，数美已处事了银联、中信银行、万达、华润、苏宁、OPPO、小米、爱奇艺、瑞幸咖啡、B站、小红书等级千余家企业，每日否决赶过3000万次序顺序序危害行为，累计掩护了全球20亿以上的用户。

在这场关于贪念的恒久战中，正反双方都依照着同一个法例：

以连续变革的技能手段，应对不乱的人性。

1. “最赚钱的要领，都写在了刑法里”

几年前，Sw0rdH01der曾协助警方破获了一个华东地区黑产团伙。

团伙一共三人：一位19岁少年卖力技能，另两人卖力商务。他们的生意是“打码平台”——给黑产执行方供给一套SaaS，让他们能快速破解各平台和APP验证码。

仅仅1年间，这个平均春秋不贰贰到25岁的三人团伙赢利数千万元，而全部本钱只有他们在居民楼里攒出来的十余台处事器和一年的电费——总投入仅几十万元。这惊人的利润率，真是应了阿谁段子：所有最赚钱的要领，都写在了刑法里。

黑产的暴利，源于中国互联网经济的超梗概量。黑产圈的行话：水大，速来。

水最大鱼最爽时，是2012年到2016年的移动互联网狂飙期，也是平台和黑产“彼此操作”、相安无事的“暧昧期”。

那几年，李彦宏要“200亿砸出个O2O”；滴滴快滴，饿了么美团，摩拜ofo相继开战，狂撒补助。

有人预计，这些补助中，可能有一半都被“羊毛党”薅走了。但其时各平台大多睁一只眼闭一只眼，因为只要DAU（日活）、MAU（月活）、GMV（总交易额）增速都雅，成本就能连续到位。

但从2017年最先，形势逆转了。

越来越贵的流量成为中国互联网“新常态”，各公司图腾也从DAU酿成了ROI（投资回报率）：勾当营销不贰贰能停，却也一分钱不贰贰能费。黑产便从昔日的“带量小甜甜”酿成了今日的“拜金牛夫人”——不贰贰会再有公司对他们放任不贰贰管了。

数美的反欺诈业务，平山新闻网，正是在2017年最先了发生发火式增长。

2017年初至今，数美客户数从几十家扩展到千余家，旗下反欺诈产品的日访谒量增长到30余亿次序顺序序。

而战场另一侧，在数美这类专业黑产冲击圈外人的狙击下，原来躺着挣钱的黑产也翻身跃起，飞速进化，已由散兵游勇成长为“团体式作战”。

去年，数美曾碰到过一次序顺序序效率惊人的黑产大协作——在针对一家互联网公司的薅羊毛中，短短几小时内，黑产从多个VPN代办代理商处更调了十几万个代办代理IP，从数十个接码平台挪用了几十万手机号，注册的虚假账号遍布全国114个都市。

2018年，按照某头部接码平台（代接网站、APP验证码的平台）数据统计，游戏、社交和电商已成为黑产重灾区。

更熟练、更产业化的黑产操纵正席卷中国互联网，在数美这样的专业反抗圈外人面前，一幅黑产众生相垂垂展开。

2. 黑产江湖

目前，从上游到下游，黑产已形成了谍报收集、资源工具、黑产执行、变现套利四大焦点关键，诞生了线报小子、卡商、猫池、代办代理IP商、打码平台、设备农场、黑产实施圈外人、变现师傅、羊头（众包黑产任务的发放人）等级多种角色。

关键1-谍报收集

挖掘线报是赢利的第一步。

黑产团伙中会有专门角色卖力线报收集，把哪家要做勾当、时间范畴、收益变现形式、反欺诈轨则等级信息准确登科时转达清晰。

线报人员获取谍报的来源凡是是电报群（Telegram作为一个加密聊天软件，隐私掩护做的十分极致，不贰贰受任何信息监管，同时群组最多可添加10万人，深受羊毛党从业人士喜爱）、黑灰产论坛、QQ群、微信群等级。

信息获取后，会有专门的业务渗透人员和脚本小子分析清晰产品逻辑和必须资源——什么真个勾当、新帐号首单照旧老帐号拉活、是否有地域性、是否需绑卡，然后该充钱的充钱，该屯号的屯号，确保万事俱备。

黑产互换最新“行业信息”

这的确是最有“钱景”的“常识付费”。常见形态是谍报头子会建一个微信/QQ/电报群，有需求圈外人交钱入群。

据Sw0rdH01der介绍，一个谍报群会费可达上千元——一个500人的群，就能为谍报头子带来50万的收入，十个500人的群就是500万收入。

关键2-焦点资源与工具预备

巧妇难为无米之炊，单个帐号能薅的羊毛凡是有产品限制。为了批量赢利，提前备好“资源”是黑产团伙的重中之重。

“资源”包孕：设备、账号、手机号、IP等级。

以设备为例，从虚拟机、改机设备、多开设备（在同一系统上，同时启动运行多个同一应用），再到大范围设备农场，黑产手段在光速升级。

设备农场的规范场景是，房间里竖着数排能挂数百台手机的机架，宛如一个高科技的“蔬菜大棚”。黑产从业圈外人通过群控软件、改机工具进行主动化大范围的设备篡改——数百物理呆板，在短短24小时内就可以篡改出数十万个虚假设备。

挂满手机的设备农场

设备农场的运营圈外人可以本身牟利，也可以将设备农场租赁给下游黑产实施方，以收取房钱。

再如打码平台。目前，猛烈的竞争欺压他们不贰贰停给“客户”带来更好的体验，有竞争力的打码平台早已用上了AI。90%摆布的哀求由AI完成，对付AI没有判定准确的部分，系统会主动分发给人工打码平台，由码工完成，同时，码工的事情成就又会反馈给AI，不贰贰停迭代出更强盛的模型，快速破解各类新型验证码。

快速切换多个打码平台的黑产交互界面

以Sw0rdH01der协助破获的那家打码平台来说，两年前，他们就用上了TensorFlow、Caffe等级深度学习平台，与科研院所和科技巨头一同走在技能前沿。

正因如此，对专业黑产来说，现今的主流验证手段都没什么感化。

“秒破”，Sw0rdH01der多次序顺序序提到了这个词。

在互联网规模之外，比如金融行业信用卡的申请欺诈上，另有成结构地贩卖国民四件套信息（身份证、手机号、银行卡、手持身份证照片）的商家。目前，单组四件套市价已达近千元。

关键3-黑产实施

黑产实施，即操作上游线报、资源、工具，对平台实施薅羊毛等级欺诈行为。

这个关键没太多技能含量，只能赚到财富链上1/3的“辛劳钱”，充满着技能配景一般的“脚本小子”。

他们大多使用“易语言”，这是一种不贰贰需要任何英文基本，完全以汉字编码的语言，深受黑灰产从业圈外人的青睐。

黑产行业内另有完善的“培训体系”，推出了一相近速成、一月包会的处事，编出了“接码平台加IG（一种改机工具），飞翔模式切IP（打开再封锁飞翔模式，可以快速变换移动设备的IP地点）”等级朗朗上口的黑产教学顺口溜。

关键4-变现套利

黑产作恶的终纵目的是变现套利，即通过提现和各类价值套利方法进行变现。由于许多羊毛党薅到的不贰贰是直接的现金，黑产中便演化出了一个不贰贰成或缺的角色——点物成金的“变现师傅”。

变现师傅的人脉、渠道资源订定条约价能力（能以多大的折扣“销赃”），直接决定了他们获取不贰贰法利润的丰盛水平。

试想一下，当你操作某银行和某线下便当店相助推出的信用卡付出促销缝隙，薅来一房子便利面时，你如何变现？一般人能做到吗？变现师傅就能做到。

所以在黑产中，变现师傅是个很有门槛的角色。

“你要熟悉充沛多的人，人家愿意给充沛高的价买你的对象，能谈到七折照旧八折，看你的本事。”Sw0rdH01der报告「甲子光年」。

另有一种“卖苦力”的变现圈外人——骡子。

这是金融欺诈中的常见角色。盗刷银行卡后，黑产需要一套严密的流程来制止资金被追踪。这些资金会被打到数十张乃至数百张银行卡上，骡子的职责就是骑着摩的到分手各地的ATM机中取呈现金。

在上述四大关键、浩瀚角色的参预中，整个黑产江湖已泛起出强烈的上下游活络响应能力和“合作精神”：

一旦某缝隙呈现，重大的黑产实施方会在第一时间测验考试打击；一旦手段不贰贰灵，“羊毛薅不贰贰到了”的狼烟就会迅速燃遍各大QQ/电报群，打码平台等级技能供应圈外人随即快速跟进；一旦哪个打码平台率先打破，它就能在这次序顺序序战争中大赚一笔；而经此一役，这种“先进”解决方案又会被争相复制，快速普登科。

到2018年，跟着数美处事的很多客户进入外洋扩张阶段，数美又有了一个新发明：海内黑产出海了！

数美攻防团队在“搭讪”黑产时，已最先碰到同时发送中英文产品简介的客服。

没有比拟就没有伤害，一个有些嘲讽的现实是，海内黑产已领先全球。

3.魔高一尺道高一丈

海内黑产的快速升级，除了“有钱能使鬼推磨”的好处驱动外，更直接的刺激因素正是黑产反抗圈外人的存在。

在自然界，类似的“竞争协同进化”已上演千百年：

虫豸进化出了啃食植物的口器，植物就会相应地进化出利刺或毒素——魔高一尺，道高一丈，螺旋上升，协同向前。

让我们快速回首转头回想转头一下数美在已往几年经历的几轮攻防战：

黑产常见手法：从打接口、虚拟机到设备农场

数美先后与打接口、虚拟机和设备农场三种常见的黑产操纵对阵，难度从低到高依次序顺序序升级。

2015年公司刚创立时，数美面临的最广泛的黑产是打接口和虚拟机。

这两种手法对照相似，都是用电脑仿照手机等级移动设备，以虚假设备信息和网站、APP的处事器端通信。

这种低本钱手段是移动互联网水大鱼大时期的遗留物，铭刻着各平台未对黑产痛下杀手时的“美好影象”，由于操纵简便，不贰贰需特别资源，仍是目前主流的黑产手段之一。

识别打接口的紧张方法是：引入设备标识判定逻辑，没有任何设备标识信息或信息不贰贰正确，就会被判定为打接口“假客户端”。

识别虚拟机的要领也不贰贰算困难——此中一种要领是看CPU、PC上虚拟机使用的CPU指令集架会谈移动设备会有明显分歧，假如发明指令集属于PC而非移动设备，则识别告成。

打接口、虚拟机，攻破。

从此，黑产不贰贰得不贰贰启用更高本钱的新手段——用真实手机作恶，设备农场形态应运而生。

这里是数美与黑产对决的一个长期营垒，攻防双方的手段瓜代进化，数美先后并吞了简朴刷机（通过改削单个设备信息，如IMEI号，用一台手机仿照出多个移动设备）、庞大刷机（通过改削多维度设备信息仿照移动设备）、Hook改机（通过劫持系统函数、返还虚假信息仿照移动设备）和多开（通过劫持系统函数，同时在单台手机上打开几十个不异应用，如几十个微信，提高作恶效率），把黑产逼到了不贰贰得不贰贰启用“真机农场”的境地。

而真机农场，就是“老诚实实”地把一台手机当做一个设备来用，对比用一台真实设计仿照数个虚假设备，其本钱已十分昂扬。

可很快，反欺诈工程师们也找到了应对真机农场的关头：即便不贰贰刷机、不贰贰Hook，群控却依然是黑产无法绕过的焦点，所以在对群控多维痕迹进行专门检测后，真机农场也无所遁形。

设备农场，攻破。

2018年的黑产新动向：云手机、硬件插件和积分墙

从2018年起，数美又最先碰到齐头并进的3种黑产新趋势：云手机、硬件插件和积分墙。

2018年9月下旬，云手机横空出生避世。就像其名称所展示的，这是云计较在黑产界的最新应用。

和“云手机”的对决，让Sw0rdH01der影象深刻。

其时，数美正在处事某直播平台，该平台推出了看内容返平台币和签到返人民币的推广优惠。

诱人的好处引得各路黑产纷纷来战，数美很快在此中发明了一种与虚拟机相似，但设备特征略有差异的新型黑产，且在快速起量，结合谍报猜测，这很有可能是其时刚鼓起的云手机。

云手机和传统设备农场的最大区别是：它背后并不贰贰是一个真正的手机，而是一套搭载在云处事器上的虚拟手机。

在云手机加持的新型农场里，场景越发“科幻”——挂在墙上的不贰贰再是成百上千的手机，而是一片片装载了安卓的板卡，这些板卡可被电脑群控，仿照正常智能手机的注册、点击、分享等级一系列用户行为。

数美团队随即加班加点，在发明异常的一天内收集了市面上全部11款云手机方案，在两天内实现了复现（即仿照黑产进行告成打击）和情况检测，并具备了识别能力。

计策团队随后跟进，上线封堵方案——方兴日盛的云手机，被绞杀在了芳华期。某视频平台因而制止了数千万元的潜在损掉。

云手机，攻破。

在云计较之外，黑产也最先用起了硬件插件。

去年底，就在云手机的高潮刚刚平息时，一个新“网红”又在黑产圈传布，谍报群里最火热的信息都关于它：买大牛了吗？用大牛了吗？

不贰贰过就像数美反欺诈产品“天网”的寓意：天网恢恢，疏而不贰贰漏。一相近之内，大牛也被干失了——本来大牛是一款可插装在苹果手机上的硬件，它最牛的成果是，是插上之后，能让苹果手机在不贰贰“越狱”（开放用户操纵权限）的情形下实现改机和篡改GPS的目的。

搞清了这个道理后，只要识别出相关特征，大牛也就不贰贰牛了。

大牛，攻破。

近来半年，数美又碰到了目前这波黑产中最难搞定的Boss级手段——积分墙。

积分墙其实就是“人刷”，由羊头和羊群协作完成。

厉害的羊头能触登科多达万级乃至十万级的职业、半职业羊毛党。一旦有大缝隙呈现，羊头就会将动静层层放出，结构大家一起薅——在由各类信号、传输和谈连接的“安静互联网”中，羊头引领这支雄师，进行着“夺金不贰贰用刀”的无声“抢劫”。开篇电商平台本年初的优惠券缝隙，就可以理解成一次序顺序序轰动全网的“积分墙”。

积分墙的攻防难点在于，背后是真人、真设备。

“很难识别，这也是我们近期反抗的重点，不贰贰过此刻也快识别得差不久不多了。”Sw0rdH01der报告「甲子光年」。

识另外要领也自成体系，紧张通过团伙特征和行为时序异常等级维度来综合判定，再结合通过大数据例行运营挖掘出的积分墙应用，一起做到危害可控。

在以上的详细攻防之外，Sw0rdH01der对黑产反抗有一个精到的熟悉：反抗黑产，其实是在与人斗，反抗的是人性，操作的也是人性。

在人性层面，一是要给对手缔造“绝望感”。

“必然要做纵深预防，你的识别模型，要一上来就是一堵高不贰贰成攀的墙，不贰贰搞则已，一搞搞死，这种防才有意义，让黑产完全断了再试一试的念想。”

而更根柢的，是要直击黑产的焦点好处和软肋。

值得强调的是，黑产最在意、最痛的是“没得赚”。

因此，与黑产的反抗，素质是一场本钱的对决。

轮番上演的“黑产战事”看似西西弗斯推石头，徒劳往复，但它却能连续提高黑产的本钱，让他们真正肉痛。

比如，积分墙这种手段由来已久，但在已往不贰贰是主流，因为要结构真人，就要群分好处，对职业黑产来说本钱太高。而跟着数美这样的黑产反抗圈外人通过轮轮攻防对黑产步步紧逼，越来越多的黑产不贰贰得不贰贰重启本钱昂扬的积分墙。

末了，“人性不贰贰仅在对手面”，最难的一场仗是本身。

当你注视深渊时，深渊也在注视你。

在与黑产的战事中，比业务和技能能力更主要的是这条“价值不雅观底线”。

4.以一当百的秘诀

黑产数量如此重大，而数美公司只有几百人。

如何以一当百？

这得益于数美形成的反欺诈整体逻辑——一个通用焦点原则：打组合拳。

在经历了“简朴轨则”、“专家系统”、“呆板学习引擎”等级阶段后，数美将不贰贰同出击手法拧成一个拳头，提炼成了一个整体系统——“全栈式智能预防体系”。

数美还从近4年的实践中总结出了“反欺诈三定律”：

反欺诈定律一：“好人”是多种多样的“好”，“暴徒”是类似的“坏”。

反欺诈定律二：“好人”行为表示出高度信息一致性，“暴徒”存在潜在的信息矛盾。

反欺诈定律三：“好人”的伴侣凡是也是“好人”，“暴徒”的伴侣凡是也是“暴徒”。

从三定律出发，数美用数万基本特征、数千高级特征、数百组危害模型和专家系统构成了一套“智能模型计策体系”，其流程如下图所示：

“智能模型计策体系”之外，反黑产的另一要点是构建“纵深预防体系”，周围全考虑了黑产全流程，在APP启动、账号注册、登录、关头业务行为（如付出、邀请、领券、下单、提现）等级多个关键设基层层关卡，“一山放过一山拦”，终极实现“全局欺诈危害可控”。

庞大的全栈式智能预防，需要高效的协作，支撑数美做到这点的，是他们成立的一套反欺诈的全流程运营闭环：通过攻防、模型、数据挖掘等级团队共同努力撑持多个产品线和客户——攻防团队卖力打前站，研究每个场景的对应危害；计策团队卖力设计计策和查漏机制；模型团队卖力调解或设计新模型；数据挖掘团队从海量数据里抽取建模特征；架构团队则卖力维护整个系统的基本设施。

Sw0rdH01der把这套流程形容为“不贰贰断旋转的环”：

“反欺诈处事和一般SaaS不贰贰一样，我们供给应客户的风控解决方案同时包罗全流程运营体系，从攻防到计策设计、计策验证、上线，再到效果监控，案例分析，终极又会回到攻防，这个环会不贰贰断地旋转，不贰贰断地旋转。”

以上各关键，数美深入使用了大数据、AI技能，以主动化的高效手段让团队得以精兵上阵。

5.进击的数美

在内部精兵的支撑下，创立近四年的数美每年贯串连接着3倍以上的营收增速，已成为海内反欺诈规模头部公司。

目前，数美正着手推进行业、产品线和处事线的拓展。

数美首创人登科CEO唐会军报告「甲子光年」，从2018年最先，他明显感想直接面向C真个种种传统行业有了越来越强的反欺诈需求。

跟着“互联网+”渗透进更多行业，传统龙头都在试图与消费圈外人成立直接线上联系，而有线上运营的处所，就有黑产的可乘之机和数美的用武之地。

在行业上，数美的客户已从互联网公司扩展到银行、保险、证券、地产、航旅、新零售等级行业。

在产品上，数美则最先环绕用户运营供给全生命相近期处事。

数美打造了以欺诈账号识别为焦点的天网产品系列，和以智能内容过滤为焦点的天净产品系列，两大产品系列形成了完整的反欺诈产品矩阵，涵盖金融、直播、社交、电商、游戏等级行业的解决方案。

在处事上，数美已从拉新关键的反欺诈，扩展到了留存运营和数据掩护。

一般而言，一个互联网产品会经历三个生命相近期：草创期关注流量；成长期关注留存；成熟期还关注数据掩护。对此数美依次序顺序序拆招：草创期防拉新勾当的羊毛党；成长期防榜单生态和内容生态的恶意刷榜、养号和广告导流；成熟期防数据盗爬，为客户完整生命相近期“保驾护航”。

可预见的是，凡有利可图、有洞可钻之处，黑产就不贰贰会绝迹。而且跟着社会经济、糊口进一步“互联网化”，黑产范围注定会连续扩大。

对数美来说，这意味着他们另有许多仗要打。

而在黑产反抗圈外人最美好的奢望里，他们也许甘愿本身无事可做。就像Sw0rdH01der在某论坛一篇讲黑产的帖子里写的那样：

“Every cloud has a silver lining，幸亏，这个世界仍有数不贰贰清的你我他，致力于辅佐这个世界重返光亮。

愿天下无贼。”