回归最本质的信息安全

手快有,手慢无:电商平台下虚拟供应链风控技术探讨

2017年1月3日发布

5,564
1
0

导语:相对于实体商品,虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。今天我们谈谈虚拟供应链产品的风控。

相对于实体商品,虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。本公众号在过去很长一段时间都在讨论实物产品的风控技术,今天我们谈谈虚拟供应链产品的风控。

实物商品风控有时间优势

电商平台上的实物商品交易,永远绕不开空间转换。无论你购买什么商品,下单付款后一定还要经过仓库、物流和配送等环节,才能完整地走完购物流程。这为平台风控系统预留了足够的风险计算时间,在此期间风控系统可以随时发出指令终止流程,遏制损失。

1483422602655398.png

以上红色区域内任何时间点,电商平台都有机会对异常订单发起拦截操作。但虚拟供应链体系下的订单并没有类似的时间空档,这对风控系统提出了巨大的挑战。

虚拟供应链跨时空无物流环节

虚拟产品以在线交易和即时交付为基础,因此一旦完成付款,虚拟产品就应该立即交付给消费者,这中间几乎没有等待的时间。试想你在餐馆吃饭,结算时正要购买一张团购券。当你完成付款后,系统告诉你优惠码需要1小时候才能发送到你的手机,你是否能接受?虚拟供应链产品交付过程中的任何时间上的等待,都会导致用户体验的下降,更不要提2~3天的物流派送时间。

1483422669972495.png

虚拟商品可复制,一经发货覆水难收

类似于团购激活码、会员充值码、门票兑换码这类虚拟商品,一旦商城发货,消费者就可以立即明文获取,并且能够快速复制和传播。电商平台通常都不可能直接获取已发货电子商品的使用状态,因此也无法在发现交易风险后快速撤销订单,取消“发货”。

举个例子,如果某电商平台X和迪士尼合作在线售卖迪士尼门票。如果下单人员就站在电子出票机前,前手下单后手就从自助机上取出门票。就在订单发生5分钟之后,电商平台X通过数据分析发现这笔订单存在欺诈交易风险,试图拦截交易。但因为此时电子码已经被兑换,取消订单已无意义……

000.png

当然在某些场景下,电商平台可以和线下供应商进行沟通和协调,取消或冻结某些电子券,但总体来看成本(时间、技术和商务)非常高,成功率难以保证,风险不可忽视。上述业务特性就决定了虚拟供应链安全不容忽视,那么典型的虚拟供应链风控场景包括那些呢?

虚拟供应链安全典型风控场景

团队在过去一年里与黑灰产在虚拟供应链交易环节做过无数PK,以下是我们总结的典型风控场景,希望对您有帮助:

盗卡交易

通过诈骗、木马等手段,盗用他人银行卡在平台购买虚拟产品。因为省去了仓库调拨、物流配送等环节,黑产可以快速购买商品并转手销赃。这类交易后期的损失和赔付往往由电商平台承担,因此风控系统必须能够遏制绝大多数的盗卡欺诈交易。

盗号获利

通过盗号攻击(例如以密码重用攻击为基础的身份盗用,也称为“撞库攻击”)获取大量用户身份,消费这类用户账户内的虚拟资产,购买虚拟产品等。例如,某电商平台支持以X豆兑换Y游戏的点卡。

批量养号

批量注册账户,并长期循环登录保持活跃,“积极”参与电商平台的各类领币、领券、赠积分等活动。等到账户内的积分、虚拟币等攒到一定级别,就可以转手倒卖或用于购买低价商品。

并发获利

工具党在利用积分、币、豆等兑换其它虚拟产品时,利用竞态条件采用并发操作的方式,产生多笔交易。例如,电商平台X网站开展活动以20积分兑换1个某视频网站黄金会员激活码。某用户账户只有20积分,但同时开了10个浏览器打开相同的兑换页面,以最快的速度同时向网站发起兑换操作。如果后台系统没有对账户积分做资源锁定,则很有可能该用户能够一次性兑换多个激活码。

套现获利

利用网站业务逻辑漏洞获取虚拟资产,再通过其它手段将虚拟财产转换为人民币资产从而实现非法套现。别问我怎么做到的……

破解算法

互联网上典型的虚拟产品是类似于优惠券、激活码、充值码等字符串形式的数字信息;最常见的形式,莫过于一串数字字母组合。以充值卡为例,好的充值密码在设计上做过充分的安全设计,特别是长度,字符类型等。但也有些厂商的充值密码存在重大设计缺陷,导致可被批量枚举,例如:某充值卡激活码样式类似SH81982。该验证码长度有限,且前两位是分销商区域标识(SH,上海)。攻击者在网站激活完全可以遍历最后5位数字。以现在的互联网速度和计算能力,用不了多久即可获取大量充值卡密码。

虚拟供应链风控建设

由于众所周知的原因,我们不在这里就技术实现的细节做展开讨论,但虚拟供应链风控的基本思想和策略还是可以和大家分享的。我们已经知道虚拟供应链与实体商品的售卖有重大的区别,因此对虚拟供应链风控系统、策略也提出了大量的挑战。风控系统必须能够做到精准识别风险交易,快速给出判定结果,有效地控制误报率和漏报率。推荐的一些思路如下:

使用同步和异步两种风控策略

为了提高虚拟产品购买体验,加速购买流程,风控系统必须提供强大的同步服务调用能力。业务系统在调用风控后,必须在数十毫秒内得到明确的结果,如:是否允许下单,是否允许付款等。针对单个交易,同步风控调用固然有效;但有些情况下异步风控仍然不可或缺。产品、业务方应该在尽其可能的情况下,提供风控系统异步决策的业务拦截机制,以应对那些通过跨时间段统计分析才能识别风险的欺诈交易场景。

建立特定标识的黑白名单

历史积累数据对风控决策有重要帮助作用。风控系统必须能够进行近实时、离线等数据计算,将计算结果写入某些中间集合。黑白名单是一个非常典型的技术手段。如果某些用户ID、IP、设备号等已经被列入黑名单,则风控调用过程中完全不需要再走风险计算逻辑,直接根据黑白名单即可输出结果。该方式将大大缩短风控响应时间,在保障安全性的同时提升了用户的购物体验。

做好项目安全评审

项目安全评审不仅仅包括代码安全评审,还包活从项目发起时的需求评审。例如公司要在线上做一期免费领券看电影的活动,那么风控团队就要评估:这个项目的在线活动是怎么个玩法(活动规则),主要风险点在哪,攻击者会使用何种方式来获利,现有的风控系统能否支撑该场景下的风险控制,是否需要调整部分规则规则以规避潜在的风险等。

限于时间和篇幅还有很多问题我们没有充分展开讨论,下一篇继续!在虚拟供应链安全这场对抗中,无论是黑灰产还是电商平台的风控团队,要想获胜就必须能做到以最快速度达到自身目的。一句话:手快有,手慢无。

本文为 唯品会安全应急响应中心 授权嘶吼发布,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/industry/2770.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

唯品会安全

唯品会安全

唯品会安全应急响应中心官方账号

发私信

发表评论

    高坂穗乃果
    高坂穗乃果 2017-01-03 14:13

    其实感觉上来说,这东西还有个拦截位置就是最后的确认消费处(门票检查),不过按照大部分的情况来说也是徒劳。以电影票为例,即使你把二维码印到了票面又没人真拿个扫枪去扫,正常来说不是二维码就是用来确认票面真假的吗?