編輯導讀：每一個商家都會不定期地進行一些拉新活動，用低價或者免費的方式來吸引新用戶。但是這樣羊毛黨就不可避免，如果不加以控制，很有可能會成為活動中的一大隱患。本文作者結合自身經歷，在產品/運營基礎層面對注冊， 活動， 支付等方面提出一些安全建議，希望對你有幫助。

伴隨灰產行業的日益猖獗，幾乎所有有利可圖的平臺都會成為他們的“獵物”。結合自身經歷，本文將在產品/運營基礎層面對注冊， 活動， 支付等方面做一些安全建議。

一、注冊

注冊/登錄是最基礎也是最重要的安全防護第一道閘門，這一層做好了， 日后能免去諸多煩惱。

介紹一下目前市面上針對注冊/登錄這一塊的安全風險點和防范措施。

1. 虛擬號段注冊

所謂虛擬號段，是虛擬運營商的專屬號段，獲牌企業可以租用基礎電信運營商的移動通信網絡為用戶提供基于自身品牌的通信服務。簡單理解為是運營商的“特殊代理”，但是實際的管理運營是脫離運營商的，所以個人去營業廳開卡，一般是不會給你虛擬號段的號碼。（一些鄉鎮和偏遠地區存在主動兜售虛擬號的情況）。

那么利用這些虛擬號能做什么 ？批量在平臺注冊小號，養號，賣號。

這是一個定時炸彈， 一旦平臺上新活動， 數十萬的小號一起上分分鐘讓我們知道什么是“社會”。影響活動效果不說，嚴重的會導致很大的經濟損失，這是目前注冊環節最大的安全風險和挑戰。 金融類的產品在敏感操作的時候都會讓用戶實名認證，人臉識別，在一定程度上可以規避這種情況的發生，但是沒有辦法完全規避，后面會提到。

防范措施：

在注冊的時候，不允許虛擬號段注冊，并且在“修改手機號”，第三方登錄后綁定手機號等環節均需要做統一處理。這是目前最簡單直接且消耗成本最低的防范方法。但是并非所有的平臺都要這么做， 如果本身平臺有諸多不涉及經濟的業務功能，比如資訊，工具類，開放服務的平臺根據自身業務環境可以酌情放開。如果害怕因此導致了此類用戶流失，可以在用戶注冊的時候提示“用戶當前正在用虛擬號碼注冊， 為確保賬戶安全， 請撥打***** 獲取驗證信息”，這一步的操作是為了確保當前操作的不是程序，是擁有通訊工具的真實個人。但是隨著灰產整體技術水平的提升，以及語音識別的技術升級，這個方法所起到的作用正在被減弱。

上文提到的是平臺自身創建安全規則，比較被動且手段單一，一旦有新的號段出來，我們就要去維護，消耗一定的管理和更新成本。目前市面上主流的云平臺， 阿里，騰訊，網易等云服務平臺均提供了針對注冊安全方面的服務，基于平臺掌握的大數據，配合相應的安全措施，實際體驗下來效果比自己搭建安全規則要好。有實力且用戶體量大的可以考慮。

目前已知開放的虛擬號段：

• 移動 1703 1705 1705 165
• 聯通 1704 1707 1708 1709 171 167
• 電信 1700 1701 1702 162

以及14開頭的上網卡專屬號段。

2. 換量/買量

通過流量呼喚或購買流量的方式來獲取新用戶。這里有很多見不得光的操作：

• 純假量，進來的量來到平臺后動都不動， 好點的還注冊一下，從此就不活躍了
• 分時段分比例摻量：比1稍微智慧一點，多少還有點有價值的新用戶進來
• “二道販子”：這里的二道不是說轉手賺差價，是指用劣質或不想干的流量來糊弄買方，如開發商在一個房產平臺買量，房產平臺用從同人平臺弄過來的流量把一群初中生的號扔過去了，你可知道開發商那邊的畫面是有多精彩 ~

防范措施：

• 依托自身能力搭建渠道監管平臺，或使用第三方渠道數據管理平臺對所有的渠道進行監控。在此之前公司需要根據自身曾經的經驗和友商的相關渠道轉化數據作為一個對比，用以衡量渠道質量的優劣
• 優先找認識的人，或知名平臺合作
• 盡量采用cps ,cpa 的計費方式，CPC和cpm是有錢人玩的
• 合作的條款明確列出流量的有效比例，從法律層面約束對方的行為

3. 驗證碼

驗證碼作為目前最基礎適用范圍最廣的登錄手段， 是最容易被攻擊的薄弱點。

1）刷碼

暴力刷碼發生的情況不多， 但是一旦發生，就是直接的經濟損失。  如果你的驗證碼獲取次數是3次，刷子用100萬的訪問來刷你， 按照目前短信群發的價格在0.3 – 1毛之間計算， 直接的經濟損失是9千-3萬，這個月績效沒了。此類事情多發生在有正面沖突導致的蓄意行為， 或者被第三方當做肉雞，成為“短信轟炸機”的短信源。

有些平臺看似每天的驗證碼的服務訪問量沒有異常， 其實早已經是別人的‘肉雞’了。【短信轟炸機】沒用過也至少聽過，在‘黑帽’領域早已是一個成熟的基礎技能，在刷碼的時候可以虛擬出比真機還真的環境， 任你有千萬張良計， 我只靠“構建虛擬機環境‘一招過墻梯打敗你。近幾年隨著各種與計算和大數據的投入，對于此類的安全時間的防御有所提升， 但是基本是防御手段剛出來，轉身就被攻破了，防守總是在供給之后，被動至極。

防范手段：

1、平日低調，多積德，不要逞強裝橫 。暴力刷碼是違F行為， 如若沒有特殊的情況一般不會引起這種事情發生。

2、搭建健全的驗證碼安全機制

• APP獲取用戶手機的，設備型號，IMEI號碼，篩出模擬器，必要時可以抓陀旋儀數據
• 驗證碼獲取時間間隔60s
• 設置每自然日【連續】獲取次數上限（單次機制， 不可重復使用）
• 當用戶連續獲取？次驗證碼，且沒有登錄平臺， 開啟圖形/滑塊驗證。（此處不推薦鵝廠某些業務讓用戶發送短信到固定號碼用以驗證當前是自然人在操作真實通訊設備的措施。）
• 超過每日連續獲取上限，啟動號碼/IP鎖定機制。可分段鎖定，2小時，半天，一天；也可以直接鎖一天。分段鎖定需要根據情況設置解鎖后的獲取次數，一般這個次數都小于每日連續獲取閾值，這里建議只給一次
• 設置每自然日【最多】獲取次數上限，超過將不能再觸發獲取驗證碼
• 連續？次觸發下發驗證碼，但是用戶未收到，提示用戶啟用語音驗證。這里擴展一下語音驗證，作為短信驗證的輔助，一方面一定程度上防止被刷碼，一方面解決用戶獲取不到的情況。（不用擔心弱網環境下，用戶收不到驗證碼是否能撥打/接聽電話的問題。我們語音通訊所使用的底層技術還是2,3G的技術，對網絡的要求比數據通訊的低，感興趣的自己去查資料）
• 驗證碼連續輸入錯誤？次， 即開啟圖形/滑塊驗證機制， 或開啟號碼/IP鎖定機制
• 避免將短信驗證碼暴露在返回中，驗證碼只存在服務端中并不能通過任何api直接獲取（測試環境隨意）

說一段扎心的真實情況，對于真·灰產大佬來說， 如果真的想在注冊，驗證碼上做手腳，以上的多種方法都是直接無效的。 云控 + 云手機（下圖）目前的技術已經非常成熟，且呈現規模化，團體化的趨勢。做金融和游戲的對于這種應該都不陌生，可以說深惡痛疾，APP拉新， 拼團， 有羊毛可褥的地方他們就會出現，而且往往損失慘重。 可見我們所面臨的安全風險形勢依舊極其嚴峻 ，Pony哥一直在說的’科技向善‘是多么的重要。

另外著重說一下對‘圖像識別’安全機制自信的大佬們， 市面上已經有成熟的平臺來攻克該機制，而且支持的場景幾乎可以囊括市面上所有的圖形驗證方法。看下某平臺的打碼功能介紹，感受一波技術的力量：

二、活動

幾乎每個平臺都會做活動， 商品促銷， 拉新促活，品牌營銷 。在設計玩活動主體功能和流程以后， 請務必把活動的安全性列入必填項。

1. 以【簽到抽獎】為例介紹其中被忽略的安全漏洞

• 單設備多次切換賬戶操作，這個也可以歸類到注冊的安全
• 未設置每日獎池價值上限。運營方案考慮的很完善的前提下可以忽略，但是如果獎品都是實打實的，請務必考慮這個問題。
• 未設置每日高價值獎品的數量上限，若單一獎品的價值非常高， 考慮其被抽中概率的同時，也要考慮被抽中的次數
• 大量小號簽到積累簽到積分，養號，積分兌換獎勵 。多見于金融平臺

2. 拉新

作為褥羊毛重災區的拉新活動， 幾乎所有有價值的拉新活動都沒能幸免。大多數情況， 我們對此束手無策，羅列一下拉新活動被褥時的慘狀：

• 巨量小號，抽底式襲擊活動， 短時間大量新人權益獎品被褥走
• 一旦第一個“點火人”發現有漏洞可鉆， 《***攻略》一天內全網傳播，雖然也會帶來一定的傳播和新人注冊， 但是來的多是白嫖黨，對平臺意義不大，徒增很多“僵尸”用戶，且一定會伴隨公司的經濟損失或公司的公關/法務資源介入
• 對于滿足一定要求才能獲得獎勵的拉新活動，用戶可以完成要求條件獲得并使用獎勵后，發起售后退款。這時候如果你和訂單狀態綁定即收貨以后獎勵才生效，會影響活動效果，如何取舍看公司對本次活動拉新轉化的重視程度和成本投入
• 用戶多個手機號， 自己拉自己，注冊量上去了，但是對于后續的業務轉化起不到很大作用

其他還有很多類似打榜/投票的活動，只要花點錢，大量的第三方投票平臺可以滿足你的各式各樣的花式需求，包括且不限于 ：投票人的性別， 年紀， IP地址，設備型號，投票頻次等等要求。價格可以低到幾分錢一個，花幾百塊弄個高價值的獎品，太值了。

再說個極端的銀行消費打榜的活動：在單位時間內消費金額達到多少即可參與活動， 金額前十名有額外的高價值獎品。只要獎勵價值足夠高，你設置多高的消費額度門檻都沒用，為什么 ？因為屠榜的大佬人手十幾臺pos機，可設置消費的所在城市，商鋪類型甚至指定商鋪，刷到銀行懷疑本行持卡人消費竟然能如此兇猛！到最后才發現， 這不過是別人的常規操作， 損失就是套X 的手續費， 但是相比獎品完全可以忽略。后面把套出來的米還進去， 一出一進獎品到手還能累計大量的積分， 積分又能在平臺兌換一波獎品， 騷操作能把策劃整的哭暈在大堂的柜臺 ，拉都拉不起來 ~

那~ 有沒有切實可行的方案解決褥羊毛的行為，讓平臺免受損失。

答案 ：沒有。

為什么這么肯定，我們來看看強大如開水團的種果樹的活動被擼成啥樣了？！獲取獎勵的核心操作是拿到大量的化肥和水滴去澆灌果樹，促進果實成熟獲得獎品。提煉一下我們要的資源：化肥，水滴。化肥可以通過抽獎和購物獲得，水滴送的就用不完。平臺大量的1分錢的商品/服務，購買即可獲得大額水滴和話費，2、3天一箱水果真的不要太香啊。

活動開始還發生了我上面提到的用戶購買后拿到獎勵發起退款的現象，后面更新了活動規則：退款過多會永久刪掉獎勵對應的任務。但是還是架不住’智慧‘的人民，有的是購買超低價商品，有的則是買了券以后不消費等過期平臺自動退款， 但是化肥&水滴獎勵我已經拿到。這個是用戶在平臺規則下正大光明的鉆你的規則漏洞，無可奈何。

最近果樹成熟的進度已經擴展到小數點后三位了，而且每次澆水的進度提升比例也降了不少。一方面可以看出’智慧‘的用戶占比不少，另一方面也看出這個活動在一定程度上對促活和訂單轉化確實起了很大作用。

大廠尚且如此，初創和中小規模的企業的狀況就不用多言了。但是我們在做活動的時候，是不是要嚴格控制活動規則？恰恰相反，不能。用戶已經被十分甜的蜂蜜甜過了，如果給他們七分甜、半糖，那活動效果勢必要打折扣的。建議還是設定常態化的規則，且在成本允許的范圍內盡量基于新用戶更多的獎勵，而產品和運營要費心思在獎勵的規則的制定上。目前常見的操作是：時效性（如當日有效），范圍設定（不一定是用戶需要的商品，但是一定是高利潤 或 壓倉庫存），連續性（一環獎勵被用掉后面還有新獎勵，程度逐步遞減）。

無論如何設置無外乎從2個方面做文章 ：時間成本，訂單總額/量。短時間內促進用戶使用獎勵下單，或持續的訂單才能獲取持續的獎勵,不斷的用獎勵提升用戶的復購頻率，以此獲取的營收來抵消部分平臺損失。但是現實中活動通盤算下來計入采購，運輸，倉儲，人力成本過半的活動都是虧錢的，而通過活動引入的流量如果運營得當能夠在平臺持續活躍&留存，時間疊加最終會轉虧為盈，前提是公司能撐得住。

關于活動說的有點啰嗦，這塊遇到的騷操作實在太多，還有些騷斷腿的案例就不拿出來了，以免有心人有樣學樣。

三、支付

移動支付的興起，在方便大家生活的同時在一定程度上讓大家的財產不那么安全了，目前對于人民群眾的支付安全多有以下幾種 ：

用戶端：

• 木馬和病毒：司空常見的事情，縱然國家、單位都非常重視宣傳了， 但是奈何每年都有這樣的事情發生
• 釣魚短信，郵件：打開不明鏈接輸入手機號， 獲取驗證碼。銀行轉賬短信就過來了
• 二維碼：替換收款二維碼，識別二維碼后是個病毒鏈接
• 小渠道下載的APP：這條針對男士，不細說，懂得都懂。

平臺端：

• 惡意下訂不支付：字面意思很明白就是到了支付頁面不支付，鎖定商家庫存，干擾正常銷售。近期鬧得非常厲害的“顯卡爭奪戰”，再一次上演了這種操作。主要影響的是平臺端的個別商家/黃牛的利益，于平臺和品牌形象來說，這樣的操作打出來的傷害還不如拔罐，很快就過去了
• 惡意退款：用戶頻繁的購買大額商品，后發起退款。這種操作對平臺影響不大，但是像吃了蒼蠅一樣難受，早期曾用于信用卡提額，目前主流的支付平臺都和政府監管平臺打通 ，這個現象少了很多
• 洗Q : 主要是針對金融， 游戲，以及某些大宗交易平臺來說，目前仍然是灰蒙蒙的一片，雖然國內已經出現了可以處理相關業務的公司，但是還沒有切實有效的全面防御手段，只能寄希望政府能出面牽頭聯合各大金融機構一起提升該方面的數字化建設
• 網絡攻擊：主要有協議漏洞（靜默短信，偽基站，IMSI捕獲，GSM中間人），代碼實現漏洞（TMSI溢出，intel/Comneon，AUTU溢出，Qualcomm，SMS PDU溢出）等手段替換或篡改支付數據，用戶的touchID、faceID一旦被攔截并復制，后果 …

無論我們只是一個有支付收銀臺頁面的小可愛，還是具有支付中心平臺支撐能力的大中型企業，都應該足夠重視支付環境的安全，保護用戶的財產安全。

最后：真誠希望以上所述大家永遠遇不到， 真誠希望人心向善，每個個體都用善意的心態去推動這個國家的經濟建設和商業發展不斷先前。

本文由 @漢武帝 原創發布于人人都是產品經理，未經作者許可，禁止轉載。

題圖來自Unsplash，基于CC0協議。