有的人從偏遠(yuǎn)的山村低價(jià)購買身份證，以每張幾百元的價(jià)格賣給鄰家；

黑客開發(fā)自動(dòng)化程序和腳本來尋找和開發(fā)最先進(jìn)的移動(dòng)模擬器；

在無數(shù)的編碼平臺(tái)上，想要賺取額外收入的人們正在手動(dòng)輸入他們看到的每一分錢的圖形驗(yàn)證碼；

所有的“分工”都指向一個(gè)明確的目的：即刻“凈化”O(jiān)2O或理財(cái)APP用來吸引新戶的高額補(bǔ)貼。

對于很多創(chuàng)業(yè)團(tuán)隊(duì)來說，新業(yè)務(wù)往往因?yàn)檠a(bǔ)貼支出過大，對“毛”團(tuán)伙的狂轟濫炸而被迫下線。然而，這遠(yuǎn)非故事的全部。在網(wǎng)絡(luò)世界中大數(shù)據(jù)培訓(xùn)是騙局，各行各業(yè)的“灰?guī)汀币呀?jīng)集結(jié)成一支軍隊(duì)。

【QQ群刷“毛線資訊”】

大數(shù)據(jù)會(huì)背叛騙子嗎？

對于O2O行業(yè)來說，淘毛、刷單、垃圾注冊，可能會(huì)讓一個(gè)平臺(tái)瞬間崩潰。對于互聯(lián)網(wǎng)金融而言，惡意借貸和信用欺詐也導(dǎo)致公司蒙受巨大損失。最可怕的問題是，這些吃虧的公司可能根本找不到對手。

哪里有壓迫，哪里就有反抗。在這個(gè)“土匪猖獗”的危險(xiǎn)環(huán)境中，出現(xiàn)了專門利用尖端技術(shù)進(jìn)行反欺詐的“民兵”。對于同盾科技反欺詐與基礎(chǔ)產(chǎn)品總監(jiān)朱偉來說，他認(rèn)為大數(shù)據(jù)及相關(guān)技術(shù)是一把火炬，可以驅(qū)散眼前的愚昧無知，看清敵人的一舉一動(dòng)。

通過對普通用戶的分析，可以得出行為模型。而一個(gè)潛在的威脅行為者，出于惡意目的，他的行為必須與普通用戶不同。

朱偉表示，從各個(gè)數(shù)據(jù)維度找出“騙子”的行為特征特征，判斷潛在風(fēng)險(xiǎn)，是同盾科技的核心技術(shù)。這樣，足夠多的數(shù)據(jù)就像一瓶開發(fā)者解決方案，讓騙子出現(xiàn)在茫茫人海中。但究竟什么會(huì)出賣騙子呢？

壞人的蹤跡

代理服務(wù)器的IP

壞人從不希望他們的受害者和警察一起上門。

所以，做壞事的時(shí)候，他需要一個(gè)代理IP。

任何互聯(lián)網(wǎng)用戶訪問一個(gè)網(wǎng)站時(shí)，都會(huì)被分配一個(gè)IP地址，與該網(wǎng)站通信的過程就相當(dāng)于郵寄一封信。因?yàn)樾枰貜?fù)，所以所有訪客都必須填寫自己的地址。而“他們”顯然不希望他們的真實(shí) IP 被人知道。所以他們會(huì)通過代理軟件，通過跳板訪問網(wǎng)站，從而隱藏真實(shí)IP地址。

我們需要做的是使用模擬IP代理協(xié)議來檢測一個(gè)IP是否對外界有代理功能。絕大多數(shù)代理IP都可以通過掃描識(shí)別。但是由于IP的時(shí)效性較差，有可能前一天這個(gè)IP是代理IP，第二天就變成了普通IP，所以我們的檢測基本是準(zhǔn)實(shí)時(shí)的。

但是，代理 IP 只是用于評估訪問者是否處于風(fēng)險(xiǎn)中的數(shù)千條規(guī)則之一。如果要定位特定的人，還需要其他判斷條件，例如：準(zhǔn)確定位該人使用的設(shè)備。

【某IP代理軟件】

設(shè)備指紋

如果面對面，我可以很容易地識(shí)別出你使用的是什么手機(jī)，什么電腦，你的設(shè)備會(huì)在我的腦海中留下相應(yīng)的圖像；但是下次見到你，我就很難判斷你拿著什么樣的手機(jī)了。和上次不一樣。而如何在千里之外只有數(shù)字和代碼的設(shè)備上打上獨(dú)一無二的“指紋”，更是難上加難。

“每次設(shè)備連接到網(wǎng)站時(shí)，系統(tǒng)都會(huì)在其權(quán)限范圍內(nèi)檢測到盡可能多的設(shè)備信息，例如終端的環(huán)境、MAC地址等硬件參數(shù)。通過大量數(shù)據(jù)為每個(gè)設(shè)備分配一個(gè)ID?！?/p>

朱偉表示，設(shè)備指紋可以應(yīng)用于很多場景：

許多帳戶可能從同一個(gè) IP 地址登錄網(wǎng)站。例如，一家公司的 Wi-Fi 可能連接到共享一個(gè) IP 的 100 位同事。但這100位同事中有10位登錄淘寶的概率很高，這并不稀奇。因此，在這種情況下，IP不能作為判斷條件，而應(yīng)該使用更精細(xì)的設(shè)備指紋。在特定設(shè)備上，如果有10個(gè)賬號登錄淘寶，這種行為本身就是異常，說明注冊刷單的可能性很大。

不僅如此，還可以通過設(shè)備指紋輕松定位詐騙團(tuán)伙。

在一臺(tái)設(shè)備上同時(shí)登錄多個(gè)帳戶，并且這些帳戶之前已在其他設(shè)備上登錄過。基于這樣的“交叉登錄”行為，一個(gè)幫派使用的所有設(shè)備都可以被描繪出來。當(dāng)然，設(shè)備指紋作為一個(gè)重要維度，也可以結(jié)合IP、用戶提交的ID信息、其他用戶行為等，準(zhǔn)確描述團(tuán)伙的行為和規(guī)模。

模擬器

灰色的產(chǎn)品已經(jīng)集結(jié)成一支軍隊(duì)。而且由于它是軍隊(duì)，它將使用大規(guī)模殺傷性武器-自動(dòng)化工具。

這些自動(dòng)化工具一般使用PC上的模擬器來模擬手機(jī)的運(yùn)行環(huán)境，然后根據(jù)腳本批量執(zhí)行具體操作。檢測到有用戶使用虛擬機(jī)登錄，那么這個(gè)用戶就很可疑了，因?yàn)槠胀ㄓ脩羰褂锰摂M機(jī)登錄這些服務(wù)幾乎是不可能的。

朱偉曾注意到，同盾科技的檢測系統(tǒng)報(bào)告了某平臺(tái)登錄異常。

一天早上，一名用戶嘗試登錄多個(gè)賬戶，但被平臺(tái)屏蔽；

接下來，他嘗試使用不同的IP地址登錄，但仍然被識(shí)別；

接下來他使用模擬器再次登錄，仍然被拒絕。

這是典型的異常行為。后來我們追蹤到這個(gè)用戶，發(fā)現(xiàn)Ta不久前在某著名的“羊毛論壇”的“放羊毛”平臺(tái)上發(fā)表了一篇技術(shù)帖?；谶@些數(shù)據(jù)進(jìn)行全局關(guān)聯(lián)，我們還原了Ta嘗試“砸羊毛”的路徑，認(rèn)為這是一場典型的羊毛派對。

【一款安卓手機(jī)模擬器】

穩(wěn)健的大數(shù)據(jù)

通過技術(shù)手段和用戶反饋的判斷，風(fēng)控云積累了大量的正常用戶和風(fēng)險(xiǎn)用戶數(shù)據(jù)。對于一些數(shù)據(jù)來說，沒有明顯的價(jià)值分散在各個(gè)行業(yè)的各個(gè)平臺(tái)之間，一旦聚合成一個(gè)統(tǒng)一的系統(tǒng)，價(jià)值就會(huì)成倍增長。

朱偉將這種扎實(shí)的數(shù)據(jù)應(yīng)用稱為“聯(lián)防聯(lián)控”。他舉了一個(gè)信貸行業(yè)的例子：

主要借貸平臺(tái)的借款人可能重疊。

如果一個(gè)人在A平臺(tái)申請貸款，大數(shù)據(jù)顯示他因拖欠貸款而在B平臺(tái)追債失敗。此時(shí)系統(tǒng)會(huì)提示A平臺(tái)用戶存在巨大風(fēng)險(xiǎn)。

如果一個(gè)人在A平臺(tái)申請貸款，大數(shù)據(jù)顯示他同時(shí)也在BCDEF平臺(tái)申請了貸款，說明這個(gè)人對錢的渴求度非常高，可能說明這個(gè)人的經(jīng)濟(jì)狀況不好。一定的風(fēng)險(xiǎn)。

如果一個(gè)人在A平臺(tái)申請貸款大數(shù)據(jù)培訓(xùn)是騙局，大數(shù)據(jù)顯示他在BCD平臺(tái)借款成功，說明他有大量的債務(wù)。

當(dāng)然，數(shù)據(jù)的維度不止于此。比如我們也可以通過高等法院的界面來調(diào)查這個(gè)人是否有過法庭糾紛。對于平臺(tái)A來說，這些數(shù)據(jù)讓這個(gè)人的背景不黑，可以根據(jù)自己的風(fēng)險(xiǎn)承受能力選擇是否批準(zhǔn)。

當(dāng)然，所有的技術(shù)手段，比如判斷賬號跨登錄、同一設(shè)備多賬號登錄、用戶用某類歸屬的手機(jī)號登錄等，實(shí)際上都是利用多組數(shù)據(jù)形成多條規(guī)則來評估潛在風(fēng)險(xiǎn)。篩選。為了準(zhǔn)確識(shí)別“壞人”，還需要高質(zhì)量的情報(bào)，因此各大毛黨論壇和QQ群成為了非常重要的情報(bào)來源。

朱偉表示，當(dāng)羊毛黨在論壇或群里發(fā)帖招攬“幫兇”時(shí)，系統(tǒng)會(huì)根據(jù)一定的關(guān)鍵詞自動(dòng)抓取此類“羊毛信息”，然后將信息通知相應(yīng)平臺(tái)。當(dāng)然，最重要的一步是測試您是否受到保護(hù)，免受可能到來的下一波攻擊。

曾經(jīng)有一個(gè)客戶平臺(tái)，它的新產(chǎn)品剛剛推出。我們的系統(tǒng)監(jiān)控到一個(gè)羊毛派對在一個(gè)特殊的論壇上關(guān)注這個(gè)產(chǎn)品。出人意料的是，在很短的時(shí)間內(nèi)，他們就準(zhǔn)備好了所有刷產(chǎn)品的方法、教程、軟件工具，放到網(wǎng)上。毛黨的攻擊雖然千奇百怪，但基本原理都差不多，比如用不同的方法實(shí)現(xiàn)代理IP，或者用最新的模擬器逃過模擬器的檢測。在這種攻防不斷的對抗中，我們要做的就是不斷升級自己的規(guī)則，保證識(shí)別效果。

當(dāng)然，為了保證風(fēng)控的效果，很多更復(fù)雜的識(shí)別規(guī)則是不能公開的。但總而言之，為了抓到騙子，無數(shù)頂尖高手用了很多最先進(jìn)的技術(shù)。同盾科技CEO蔣濤此前表示：“攻守是一個(gè)對抗的過程。在中國的實(shí)際情況下，黑產(chǎn)的力量非常強(qiáng)大，所以客觀上，風(fēng)控技術(shù)已經(jīng)成為國際領(lǐng)先?！?/p>

面對大數(shù)據(jù)組成的“鏡子”，絕望的騙子可以嘗試最后一招——用金盆洗手。

第34期CIO班招生

國際CIO認(rèn)證培訓(xùn)

首席數(shù)據(jù)官 (CDO) 認(rèn)證培訓(xùn)