阿里安全与黄牛近两年持续交锋不断。

2016年9月,阿里安全部展开一场严厉而全面的“联席会议”,持续半年的“会议”实际为一场改革,梳理交易线路安全、排查被突破风险。阿里安全部的员工常常半夜12点左右才能走出公司,附近大学生看到了会上前问“你们阿里人都要加班到这么晚吗?”

其实并不是,这场持续时间如此久、彻查面大而广的自检,源于年初阿里安全被黄牛党攻击,导致部分用户无法正常下单,而黄牛党源自背后供需硬需求、以及诱人的盈利前景,半年流水一千万,你干不干?

于是,阿里安全部各条线抽取数位精英,组建成一支突击作战队,自查、重建、反攻、剿灭。

交锋

双方首次大规模冲突爆发在2016年3、4月份,当时阿里电商启动大规模优惠活动,每天上午十点、晚上零点都有优惠商品推出,被吸引出洞的黄牛软件集中爆发,直接造成较高级别的交易系统故障。

阿里安全部立即成立反机器刷单项目组,止血、保住交易系统;重塑,将整个淘宝天猫交易系统重新梳理,查看残留风险;改进安全产品,构建完整纵深防御线。

2016年6月,黄牛软件又一次大规模爆发,原因一方面在于当时电商玩法更加多元化,从价格直降变为可跨品类用券、满减等,商家与平台补贴力度加大;更重要的一点在于,商家将很多稀缺品、爆款品,从线下搬到线上。

当年,热门的苹果手机、采用“饥饿营销”的小米手机、稀缺茅台生肖酒等,都被悉数搬到线上,低价进、高价出的利益吸引之下,黄牛党从隐秘的幕后、走向高调的前台。所幸,因为反黄牛软件的兜底防护,风险并未进一步延伸。

阿里巴巴安全部高级专家梁樟将黄牛党细分为三种:一是批量注册账号,大量拍下限购商品;二是用机器软件抢拍限购商品;三是众包抢购,即在微信群或QQ群发布任务,抢购首发上市商品,之后再邮寄到统一地址,收货后给一定报酬。

不同来源与分类的黄牛党,又在以阿里天猫淘宝为代表的电商平台聚集,最坏的情况是,一旦黄牛党完全破解阿里后台交易路径,对方可以完全绕过防御墙,直攻核心交易系统,比普通用户更快更精准地下单购买,“这是非常恐怖的,没有普通消费者能够抢到单,直接损害老百姓的利益。”

反攻

“联席会议”是整个阿里安全团队由被动转向主动、并逐渐把控战役节奏的转折点。

整个阿里安全部各条线抽调精英,组成20人左右的作战队,号称“联席会议”,整个改革持续长达半年时间,首要目标就是确保整体下单成功率不低于96%,最后结果也逐渐向好——2016年双11防护效果不错,2017年双11黄牛整体流量微乎其微。

联席会议作战队主要被划分为三部分——一是修复产品,二是重新部署双11策略,三是查清黑客威胁来源。

初期,团队做了很多类“考古”工作——深度挖掘阿里交易系统到底是如何运作、共有哪些下单交易渠道。

“考古”是很复杂的工程,例如2010年的手淘、与2016年的手淘,后台交易路径是完全不同的,所实施的系统保护架构也不同。时间越往前、防护安全系数越弱、协议被破解的可能性就越大。

此外,阿里系交易框架非常复杂,包括电商、健康、物流、大文娱等,其中电商系又分为数条垂直业务线。

随着交易链路逐渐被理顺,黄牛软件也逐渐被清缴,但黄牛黑产党也“魔高一尺”,比如在软件中加入分析代码,一旦软件被分析,便会自动截图上传。甚至一款黄牛软件一旦自查到身处阿里IP环境时,就会启动自我删除。

出于稳妥考虑,2017年双11,阿里安全部早于上半年618与99大促时,进行提前测试,发布相关安全产品,提前打掉交易日志中占比最高的黄牛软件。

整个2017年,阿里集团在交易安全端实现较为平稳的过渡。“一方面由于提前打击黄牛群体,被攻击风险水位明显降低了;其次,安全产品经过不断完善升级,集团整体危险系数明显下降。”阿里安全部人员对第一财经记者表示。

由于技术端被严密防守,很多黄牛党被迫由技术流回归手动党——招募一批“志愿者”,手动抢优惠,也包括利用多人身份证进行注册抢购等。而针对人肉黄牛,阿里安全内部有一整套完整的防控业务逻辑,包括突然冒入大批量人流、对人流交易习惯进行分析等,进行了有序防控。

备战

经过系统梳理、防御重塑,阿里巴巴安全部高级专家梁樟表示,阿里已形成一套由技术拦截、业务防控、线下配合公安机关的全链路打击黄牛体系,维护平台营商环境。

首先,去年5月在网络层部署的“霸下”产品,精准识别异常流量,进行毫秒级响应拦截。霸下是阿里安全作用在全集团网络流量层的清洗产品,负责对流量中夹杂的黑灰产异常请求、黑客攻击,进行精准识别与清洗,只将正常用户的请求放给后端。

其后,通过MTEE3智能风控引擎作用于交易内部,针对用户行为进行深度风险判断。MTEE3系基于大数据实时分析建模技术,通过毫秒级每个用户行为背后近千个数据指标的实时计算,为阿里经济体的各类核心业务提供账号安全、防黄牛刷单、活动反作弊、内容安全、人机识别等几十种风险的防护与保障。

最后,由阿里安全归零实验室通过技术分析异常流量,确定是黄牛软件后,推送公安机关。

例如2017年被山西太原迎泽区人民法院下达刑事判决书的黑米软件,即是一款可自动登录、下单的抢购软件,通过多种恶意方式,绕过淘宝防机器下单策略。主要用来抢购小米官网手机、进而推广牟利。后续又接连开发出黑米华为、黑米魅族抢购软件,以及专门转对天猫网站的黑米天猫(淘宝)抢购软件。如今,黑米软件涉案人员均得到制裁。

阿里员工对第一财经记者表示,今年双十一,数据可量化规模扩大,包括用户规模与平台GMV;其次,双11覆盖范围上,商品端与交易端均涉及海内外;第三,优惠力度明显更大,包括商家与阿里平台。

换句话说,阿里安全部所面临的安全风险也随之倍增,但基于阿里全链路安全防御系统,团队明显自信得多。另外,针对账户盗用、垃圾注册等其他业务风险,阿里安全还推出设备指纹等产品,通过规则引擎、机器视觉等技术护航“双11”。

又是一年双十一,阿里安全战队要彻夜不休地整装备战光明顶。(吕倩)

声明:本文来自第一财经,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。