白帽子揭秘:互联网千亿黑产吓退马斯克

49 0
2022-7-26 18:25:53
显示全部楼层
万万没想到,马斯克和推特会因为“垃圾账户”而“分手”。

北京时间7月19日,推特诉马斯克案举行首次听证会,美国特拉华州法官宣布将在10月对马斯克终止收购推特一案进行审判。

此前,马斯克坚决地开出条件,要以440亿美元的价格将推特私有化。但是在收购案如火如荼的进行过程中,马斯克却忽然宣布中止收购,理由是推特上面的“垃圾账户”太多。

早在5月,马斯克就曾表示,推特的“垃圾账号”占比超过19%,他或因为这个原因重新审视收购一事。

有部分分析师则认为所谓“垃圾账户”只是马斯克的借口。“个人认为马斯克就是开价之后又觉得太贵了,所以用‘垃圾账户’来做谈资,最后发现钱谈不拢索性‘摆烂’了。”长期关注事件的国内分析师小杨表示。

然而,也有相关人士认为马斯克确实对推特账户的真实性非常在意。

海外投资人科林就表示,“我不认为马斯克收购推特的全过程是在操控股价或者是在操控舆论,马斯克经常在推特发布关于特斯拉企业或者产品的消息,来看大家的反应。我更认为 马斯克本意是想把推特变成一个巨大的市场调研流量入口 ,因此账户真实性可以直接影响结果,也是马斯克真正在意的事情。”

推特被马斯克“中途下车”的原因,到底是不是“垃圾账号”也许存在争议。但毋庸置疑的是这些“垃圾账号”,又或是中文语境下的“水军”,对整个虚拟乃至现实世界的伤害。

从事互联网安全的“白帽客”燕子就表示,2014年移动智能设备和APP行业高速发展后,“水军”产业也开始盛行。到了今年,以虚假账号为基础发展出来的“刷屏”“刷单”“虚假账号”“虚假点击”等相关黑产,市场规模已经突破1000亿元人民币。

01 花样百出的“造假”大队
燕子所在的数据安全公司成立于2014年前后,也正是国内移动互联网发展迅速的时代。随着智能设备的普及,各个手机厂商开始陆续建立自己的软件商城,软件推广的方式开始变得种类繁多。

最为经典的就是手机软件商城内部的推荐、以及在各大APP内部的信息流广告。

“APP在推广的时候有几种普遍的结算方式,比如CPM(按展示次数结算)、CPA(按用户行动结算)或者CPC(按点击次数结算)。而APP主一般都会选择CPA。”燕子介绍道,“这里的用户行动是由广告主规定的,有些APP只需要用户下载并且点击打开,而有些则需要用户完成第一次注册。”

因此,应对推广需求的作弊手段也开始出现。

“ 所有虚假账号的作弊行为可以高度总结为两种类型——真实设备的重复使用还有虚假设备模拟用户行为。 ”燕子说。

真实设备的重复使用指的是将同一个设备通过重启、刷机等行为改变设备的认证标识,重复点击同一个广告下载渠道,伪造成不同设备点击下载的假象。

“这里的设备认证标识,可以理解成人类的身份证。”燕子说道,移动设备在互联网世界中被标记和认知是通过设备的标识来识别的,就像人类在真实世界中通过身份证认证一样。

一部分手机的标识通过简单地重启就能改变,因此这也给“刷单”的黑产有了可乘之机。

另一种则干脆是用虚拟机模拟、生成手机信息,模仿用户行为进行点击、下载甚至完成注册等行为。

“当然,也有专门用真人真设备做假的。我们行内叫做‘任务墙’。渠道会找一些兼职的大学生或者想赚外快的年纪大一些的老人,让他们点击下载某个软件并且完成注册,一个注册给几元到几十元不等。”燕子坦言。

不过,真人真设备的造假成本就比前面提到的刷机和虚拟机要高很多,因此也不是最普遍的作弊手段。

通常,这些虚假账号完成了注册的任务之后就“大功告成”。因此,在日后也压根不会有人操作账号活动,长时间的“躺”在APP内,也成了俗称的“僵尸号”或者“水军”。

随着APP种类更多、功能更复杂,互联网的“水军”们的用处也花样百出。

给直播APP上的主播刷礼物,给娱乐APP的博主控评,薅电商APP的羊毛,甚至伪造出行APP的订单...这些“水军”们简直“无所不能”。

“说个最近让我也大开眼界的操作。”燕子颇有兴致地分享了公司去年发现的关于出行APP虚拟订单的造假手段。

有些出行APP上的司机会接到一趟较远的订单,比如从北京朝阳到亦庄,跑过去可能有较高的客单价,但是跑回来要是没有订单就要跑空单,里外里算上油钱和堵车的时间反而赚不了多少了。

去年,燕子公司的客户给他们反映,发现一种黑产,专门模拟虚拟订单。由于一些较新的出行APP为鼓励司机注册会由平台先把订单费用结算给司机,用户结算给平台之后,平台再收取这笔费用,因此黑产抓住了这个漏洞。

黑产通过技术手段虚拟订单发送给司机,司机接单后,平台会先将费用补贴给司机,司机从较远的地方跑回市中心后结束虚拟订单。然而,订单是虚假的,压根不会有真实用户产生结算,平台最后就成了“冤大头”。

“包括现在一些二手平台上以非常低价卖的某某商品代金券。也有一部分来自于虚拟机模拟真实用户去批量领取代金券。”燕子补充道,“不过,只是一部分,不是全部。”

02 APP与“水军”的“虐恋”
“我还记得我谈的第一个大客户,测试之后他们APP有超过90%的虚假用户,他几乎立马拒绝了我们的产品。”从事移动设备反作弊的程序员小宇说。

APP与这些“水军”们的关系有时候就像一段“虐恋”,明知你对我百害无一益,却还是忍不住“需要”。

互联网创业早就过了用PPT和故事就能融资的资本热潮,甚至已经有“互联网不再需要新的APP”之类的声音出现。因此,近年来APP项目想要得到资本的青睐,就需要更夯实的用户数据和变现方式。

反作弊方案销售芳芳就表示,曾经自己在电话销售的时候,对方一个刚刚日活破万的初创APP负责人直接告诉她,用户的数据还没“刷”到位,谈论用户真实性有什么用,然后直接挂断电话。

这种对用户真实度模糊处理的项目或企业,不只是急需数据证明自己的初创型APP,还有一些成熟、有规模的大平台。

“我们一位老客户是一个娱乐社交APP, 他们只对我们开放海外业务的用户反作弊方案。国内的业务迟迟不开放。”燕子就表示。

造成这种局面的原因有二。其一,大型APP对自己的用户数据分享权限审核更加严格。其二,大型APP内部会有自己的安全部门,采购外部的安全方案会“得罪”自己人,加之大型互联网公司人际关系更复杂,链条更长,因此推动效果也更缓慢。

“就好比有一次客户闹了个‘乌龙事件’。”芳芳表示,“我们和一个社区APP数据安全部已经合作了超过一年了,结果他们公司商务部门需要方案的时候联系到我们,却完全不知道自己公司已经和我们合作的事情。”

而即使是对用户真实性有强烈刚需的APP,也会在反作弊的道路上走不少弯路。

“一些APP是有‘反作弊’意识的,所以他们会要求一些更深度的数据来增加虚假账号作弊的难度。比如,七日留存率、三日连续登陆等等。”燕子解释道,“必须在符合条件后才能结算。”

然而, 强制的深度数据需求虽然增加了作弊难度,却也影响了数据的真实性。

“我曾经碰见过一个案例,一个初创APP的操作交互因为设计得不够流畅,导致有很多沉淀用户或者用户快速卸载现象,但是为了完成APP主要求的连续登陆需求,推广渠道通过‘技术手段’强行实现了超过80%的三日连续登陆率,短暂地蒙蔽了开发者的眼睛,他们也没有从数据中看到问题。”燕子回忆称。

“真实性”是这些“水军”不具备的东西,但缺失“真实性”对一个APP的影响到底有多深,却是难以具体量化的问题,这也是多年来“水军”们常常被整治却仍然“春风吹又生”的原因。除非,碰到对真实性有执拗追求的硬茬,比如马斯克。

03 写在最后
互联网能告别“水军”吗?

事实上,早在去年9月,就有整治互联网“水军”的政策出台。

澎湃新闻2021年9月18日消息称,国家网信办近日发布《关于进一步压实网站平台信息内容管理主体责任的意见》。意见要求,加强账号注册管理,严格落实真实身份信息登记相关要求;加大违法违规账号处置力度,严防违法违规账号转世;全面清理“僵尸号”“空壳号”。

不过,互联网的全网“清朗”还需要“白帽客”与APP多方主体共同的努力。

数据安全三方平台用黑名单、敏感行为检测等技术加强对“水军”的识别、APP主提升对虚假账号的反作弊意识、逐渐趋严的注册机制以及实名认证机制,是全网告别“水军”缺一不可的“组合拳”。
726182357.png