生鲜电商拉新场景业务安全测评报告

版权所有：深圳永安在线科技有限公司1数据来自永安在线生鲜电商拉新场景业务安全测评报告YONGANONLINE 版权所有：深圳永安在线科技有限公司2数据来自永安在线前言.......................................................................................................................................................................3一、概述.............................................................................................................................................................6二、多维横评.....................................................................................................................................................72.1、攻击消损比ACL...................................................................................................................................72.2、攻击效率AE.......................................................................................................................................102.3、团伙规模&攻击流量占比ATR..........................................................................................................112.4、攻击项产生的额外价值EV...............................................................................................................122.5、上游供给链成熟度和稳定度SCS.....................................................................................................13三、综合评价及建议.......................................................................................................................................14 版权所有：深圳永安在线科技有限公司3数据来自永安在线前言新人福利几乎是互联网营销活动的标配，主要用来获取新客，并期望他们当中有一定的比例转换为长期用户，为平台带来持续的流量和收益。熟悉行业的业务团队都会对转化率有所预估，通常这个数值会在一定的范围内小幅度波动。实际环境中却有可能出现这样的局面，加大活动投入后，注册量陡然增高，转换率却出现降低。这是由于活动力度的增加大幅提高了羊毛党的关注度，导致其注册增长速度高于正常用户，而羊毛党的转化率为0，最终拉低转化率，增加营销损耗。羊毛党作为电商行业或者说所有线上营销活动最熟悉的“客人”之一，在平台发展的不同时期，不同的活动类别下，制造着不同种类的风险：1、大力拉新阶段可能带来无端的机会成本损失和经费损失电商营销活动分很多种情况，有时活动的目的是赚取曝光或是清理库存等等，这些活动对羊毛党的容忍度其实相对较高，前者是因为经费固定不变，目标主要是高曝光度，有无羊毛党都可达成目的，后者由于羊毛党也产生实际消费，加快了库存清空的速度，可以容忍他们存在。但大力拉新期间的新人福利不太一样，目标是增加客户，或者说增加长期客户的数量、抢占市场份额等，若羊毛党占比过高，会实实在在地损失经费和机会成本。尤其同期有其他平台竞争，损耗将直线上升，迅速淘汰掉耗不起的公司。这其中“给用户的福利额度”将和“获取正常客户需要浪费给羊毛党的比例”共同决定损耗的具体速度。2、平稳运营阶段，“代下”模式可能成为新人福利转化长期福利的作弊入口代下模式常见于无法使用虚拟商品变现的长期线上活动中，比如生鲜、外卖等不利于直接变现的实体商品。代下群主会组织多个有大量正常用户的群，按照一定的折扣通过伪造新人账号为“老客户”代下订单，赚取与新人减免福利的差价。与羊毛相同，这部分也是只消耗不转化的恶意流量。“代下”通常是“平台察觉作弊手法平台修补恶意代下群体找到新作弊手法平台察觉作弊手法......”周期往复的长期战争。 版权所有：深圳永安在线科技有限公司4数据来自永安在线3、对于竞争对手，羊毛党是提高竞争力的一股反向力量诸如羊毛、代下等类型的攻击作弊团伙通常具有非常高的流动性，会受到不同平台活动力度、攻击难度因素的影响，在各个平台间流动作恶，当我们试图通过营销活动抢占市场时，羊毛党是一股反向力量，在我们防护策略造成攻击难度增高时，将会攻击我们的竞争对手，同理，我们较弱相对更容易时，也同样会从竞争对手那里流回。根据不同时期的整体目标，我们通常会建议客户从以下三个角度思考调整防护处置：资源成本：网络黑产发展至今，已经形成了上下游分级协作的资源服务供应生态，诸如羊毛党这样的攻击并非是一个人或一个团伙一条龙完成，而是向上下游购买IP、设备信息、手机号码、实名信息、支付账号等等资源后实施攻击。和其他行业的供应链一样，不同质量层次的资源价格高低有别，甚至一些特定资源只有某些大型团伙才有能力获取。合理的规则设置，可以立竿见影的从资源角度提高攻击成本或限制攻击，进而降低攻击流量的占比。时间成本：时间成本从攻击团伙角度通常体现在制作账号、试验风控规则需要花费的时间上，在攻击流程合适的点上做出限制，能够增加时间成本或攻击复杂度，降低攻击效率，从而控制攻击流量。变现渠道特征：电商通常分为虚拟商品和实体商品变现两大类，实体商品变现又分为“硬通货”变现与代下单模式。不同的变现渠道，渠道的大小、分成、变现能力与限制均不同，这些都是决定攻击团伙盈利规模的关键因素，反过来可以帮助我们推算黑产从平台薅走多少，才能支撑盈利，从而确定合理的处置方案降低黑产盈利、提高黑产成本的同时避免过度作为、浪费资源。测试场景及标准说明疫情期间，国家与人民共同付出了巨大的代价，众志成城、坚守抗击。尽量居家的建议，让生鲜电商成为了人们生活中重要的伙伴，用户人数和使用频率都极速增加。本次业务安全横 版权所有：深圳永安在线科技有限公司5数据来自永安在线评选取了四家排名靠前最为主流的生鲜电商平台：叮咚买菜、盒马鲜生、每日优鲜、美团买菜（按照首字母顺序排序），从网络黑产关注度、攻击投入产出比、攻击效率、团伙规模、黑产资源供给链成熟度等多方面综合分析。意在为大家提供不同的视角，评估拉新营销场景下业务安全遭受的风险与挑战。各维度评分在可成功薅羊毛的基础上进行计算，某活动可成功薅羊毛的判定标准是攻击可做到批量自动化。横评的测试过程只验证批量自动化，不做过度测试。测评中涉及的各平台可联系我们免费获取相关黑产情报及测试细节。声明本次横向评价是基于2020年03月20日~2020年04月10日期间以上各生鲜电商平台拉新类活动进行的，也仅限定在这个时间场景，请勿做上升解读。请勿以任何方式复制或抄袭本文的部分或全部内容，未经同意请勿转载，侵权必究。 版权所有：深圳永安在线科技有限公司6数据来自永安在线一、概述上文提到过营销活动中黑产常见的三种模式变现——虚拟商品、粮油纸巾手机等“硬通货”实体商品以及代下单模式。由于生鲜电商实体商品通常分区备货，数量有限，很难实现利用实体商品变现渠道规模化的薅羊毛变现，长期来看，主要风险为网络黑产伪造新人账户，将新人福利变为长期福利，代下模式盈利。以下各维度涉及盈利值的情况均按照代下单场景计算。本篇测评选择了新人满减券作为测试场景，若某平台新人满减券的攻击产出为负，则选择同平台拉新场景下的助力薅现金等活动。业务安全健壮性评分（InteractionSecurityRobustnessScore）是一套通过综合计算攻击成本、效率、收益以及攻击流量在业务流量中的占比等指标得出的评分，用以体现一项业务活动（或功能）面对互联网黑产抵御攻击的能力，分值越高，健壮性越高。ISRS计算公式：ISRS=ACL∗AE∗ATR+EV+SCS子指标评分细节请参看第二章，根据计算公式得出各平台ISRS值如下：叮咚买菜ISRS=11.58，盒马鲜生ISRS=32.60，每日优鲜ISRS=26.36，美团买菜ISRS=20.59。如图为2020年第一季度各平台在黑产舆情中代下话题的热力统计，能够一定程度体现黑 版权所有：深圳永安在线科技有限公司7数据来自永安在线产的关注度，通常黑产的关注度与ISRS的数值呈反比。以下为针对生鲜电商的网络黑产关注度、攻击投入产出比、攻击效率、团伙规模、黑产资源供给链成熟度等维度的详细情况。二、多维横评2.1、攻击消损比ACL攻击消损比（AttackCostonLoss）描述平台迫使攻击黑产付出的消耗占比平台带给黑产盈利（平台损失）的情况。它决定了测试项对黑产从业群体的吸引程度，用以描述黑产攻击门槛的高低。值越高，黑产关注度越低，攻击带来的盈利越低，活动越安全。如图为各平台代下单场景下ACL的对比图，其中横坐标为券额比，体现活动优惠力度，纵坐标为平台遭受攻击的消损比，评分越低，羊毛党的关注度越高。平行于横坐标的红色标记线为ACL=0.45，是代下单场景的损害临界值，我们认为消损比低于此数值时，羊毛党将开始迅速增长。 版权所有：深圳永安在线科技有限公司8数据来自永安在线电商（利用虚拟/实体商品变现）行业的羊毛党从业人数大约在82w~96w（2020年03月估算），其中叮咚买菜消损比小于临界点0.45，且券额比较高，其新人券活动将在羊毛党群体中保持一定热度；每日优鲜ACL略高于0.45，但由于券额比控制的很小，对羊毛党的吸引程度较低；美团买菜券额比适中，ACL最高，对羊毛党吸引度很小；盒马鲜生券额比最高，但由于攻击成本很高，最终的ACL很高，原本攻击阿里系的相关团伙，可能会对其“顺带”发起攻击，在当前活动下，几乎不会有团伙选择单独攻击盒马鲜生。ACL计算详情：约定迫使黑产产生的总损失为AC、平台损失（带给黑产的盈利）为L。并根据实际情况作出以下假设：（1）团伙规模：成本与盈利均按照团伙为单位进行计算。代下单团伙多数为中小团伙，成本技术门槛较低。采用分层抽样统计后得出每个团伙每天平均进行81次攻击。已去除极小团伙和个人单次攻击的数据，消除数据误差等的影响。实际环境中，攻击团伙攻击时间是跟随活动力度、攻击难度和变现渠道大小变化的，而非每天进行攻击，即攻击时间内，每日攻击次数可能远高于81次，但其余时间非常低。由于此处主要目标是计算投入产出比，直接选择平均值进行计算（数据取样自2020-01-01~2020-03-31生鲜电商行业的恶意注册流量等数据）。（2）攻击成本：攻击成本包含直接资源成本、时间运营成本、法律成本、渠道成本等多 版权所有：深圳永安在线科技有限公司9数据来自永安在线方面。其中时间运营和渠道等是造成团伙规模差异的原因，放置到后文的团伙规模模块予以体现。ACL模块中仅计算带给黑产的直接成本，即黑产攻击购买资源的成本。攻击中的资源成本按照