1000毫秒，即1秒鐘，是一位消費(fèi)者網(wǎng)購下單時(shí)能忍受的等待時(shí)間。在你的耐心范圍內(nèi)，是一場(chǎng)網(wǎng)絡(luò)安全工程師和黑客之間的對(duì)決，前者必須在幾百毫秒內(nèi)揪出并攔截來自后者的大流量攻擊，避免他們搶走平臺(tái)給消費(fèi)者的優(yōu)惠券。

換個(gè)角度看，這1秒鐘也是你跟黑客間的戰(zhàn)爭(zhēng)，只不過一旦安全人員失手，你往往也一敗涂地。當(dāng)你在想搶下一款電商平臺(tái)的大促產(chǎn)品時(shí)，你大概不知道，很多時(shí)候和你拼手速的并不是人類，而是黑客撒出去的機(jī)器賬號(hào)軍團(tuán)。

我們所說的黑產(chǎn)羊毛黨，不是日常搶個(gè)幾塊到幾十塊不等的紅包以自娛的普通人，而是大規(guī)?？考夹g(shù)或人工手段，鉆漏洞以薅羊毛獲取利潤的群體。僅在中國，專門以薅羊毛為生的就有幾百萬人，或“全職”或“兼職”。從搜集優(yōu)惠信息、購買賬號(hào)、銷售工具、實(shí)施攻擊到倒賣、分贓，薅羊毛已經(jīng)形成了一條分工細(xì)致的成熟產(chǎn)業(yè)鏈。

紅包、優(yōu)惠券、抽獎(jiǎng)、打折、秒殺……都是他們緊盯的“機(jī)會(huì)”。堆積起來的“羊毛”利潤可觀，團(tuán)伙作案的黑客羊毛黨，月收入上百萬者大有人在?！拔覀冏粉櫤诳蜁r(shí)，就見過支付寶賬戶里常年躺著幾百萬零花錢的人?！币晃话⒗飪?nèi)部人士告訴36氪。

在中國電商行業(yè)迅速崛起的10年里，薅羊毛黑產(chǎn)群體也逐漸龐大。美團(tuán)安全部門接受36氪采訪時(shí)表示，因?yàn)殡娚绦袠I(yè)規(guī)模的加大和移動(dòng)端技術(shù)研發(fā)更新迭代的迅速，今年黑產(chǎn)的技術(shù)手段和攻擊變化頻次有很大提升，防控的技術(shù)壁壘要求越來越高。

正如互聯(lián)網(wǎng)的繁榮不止，安全工程師和黑產(chǎn)羊毛黨之間的攻防戰(zhàn)也永不停息。

 交易狂歡背后的風(fēng)控戰(zhàn)

2017年11月11日，這一天結(jié)束時(shí)阿里的電商成交額是1682億元。消費(fèi)者和商家看到的是一座金礦，但對(duì)于阿里，特別是安全部門和云計(jì)算這類技術(shù)支撐部門，雙十一恰恰是一年中壓力最大的時(shí)候。

電商造節(jié)，巨大的流量集中在一天釋放出來，在這24小時(shí)內(nèi)，電商平臺(tái)的技術(shù)和安全防空要承受住龐大流量的沖擊，其中不少流量就來自于黑產(chǎn)羊毛黨的“貢獻(xiàn)”。

所以阿里安全部安全工程師魏峰把雙十一看作緊張的大考。為了這幾百毫秒刀光劍影的“守門”，阿里安全和天貓等其他業(yè)務(wù)團(tuán)隊(duì)會(huì)提前半年開始準(zhǔn)備。

年中拿到天貓促銷商戶的策劃方案后，風(fēng)控部門會(huì)先弄清楚每個(gè)活動(dòng)的玩法，挖掘游戲和流程中可能出現(xiàn)哪些讓黑產(chǎn)有機(jī)可乘的漏洞，根據(jù)情況或改變游戲、或想辦法降低風(fēng)險(xiǎn)。在此之后，要設(shè)置常規(guī)的防黑產(chǎn)羊毛黨風(fēng)控流程。

魏峰們甄別黑客的過程，是以微妙的方式體現(xiàn)在消費(fèi)者的購物流程中的：

對(duì)于普通人，我們購物時(shí)屏幕上顯示的是登陸、操作、下單、支付……不過這些環(huán)節(jié)在魏峰眼里，就是一道一道的門，用戶每走過一個(gè)流程，就是過一道安檢，每個(gè)安檢口都埋藏著不同的甄別黑客的方法。

“比如你經(jīng)常買買買，住址穩(wěn)定，手機(jī)和電腦IP固定，我們就會(huì)把它加密存儲(chǔ)，做成一個(gè)可信任的安全環(huán)境，當(dāng)你在這個(gè)環(huán)境下操作，就被認(rèn)為是安全的。但比方說當(dāng)你用別人的手機(jī)登陸自己賬號(hào)購物，或者連接公共場(chǎng)所的wifi，系統(tǒng)就會(huì)有所警覺，多設(shè)置些審查門檻，比如此時(shí)支付會(huì)讓你輸入短信驗(yàn)證碼，甚至要求刷臉，彈出窗口警示風(fēng)險(xiǎn)?！蔽悍褰忉尫Q。

安全防控的最高境界是讓用戶無感知，盡可能的減少對(duì)用戶的干擾，避免流程體驗(yàn)過于冗長，但同時(shí)也要保證風(fēng)控的嚴(yán)密和甄別的精準(zhǔn)性，如何取個(gè)平衡是最有技術(shù)含量的部分。

在阿里安全部門的設(shè)計(jì)中，被系統(tǒng)認(rèn)定為優(yōu)質(zhì)或安全環(huán)境中的用戶，一般只用過四五道工序，以保證下單順暢，但如果被認(rèn)為有欺詐風(fēng)險(xiǎn)的賬戶、商家刷量或者疑似黑產(chǎn)羊毛黨，檢驗(yàn)工序就會(huì)上升為十幾道甚至二十道，進(jìn)入更復(fù)雜的風(fēng)控流程。

“黑灰產(chǎn)的人或許能把某一方面?zhèn)卧旌?，但是不可能把所有環(huán)節(jié)都偽造。其實(shí)風(fēng)控策略的本質(zhì)就是人與人之間的博弈?！蔽悍迮e例稱，用同一臺(tái)設(shè)備注冊(cè)三個(gè)賬號(hào)會(huì)引起安全工程師的警惕，但為了避免誤傷，安全工程師會(huì)同時(shí)考量其他維度，而黑客意識(shí)到這種風(fēng)險(xiǎn)，也會(huì)避免用同一臺(tái)注冊(cè)太多賬號(hào)，防止被發(fā)現(xiàn)后一串賬號(hào)全部被廢。雙方的每次較量，就存在于對(duì)其中微小變量的把控中。

羊毛大軍的黑色運(yùn)作鏈    

黑產(chǎn)羊毛黨賺的是商家和平臺(tái)的補(bǔ)貼差價(jià)。傳統(tǒng)的黑產(chǎn)羊毛黨會(huì)以促銷價(jià)大批量搶購促銷品，再另找渠道賣出去，賺取價(jià)格差。而另一類黑產(chǎn)羊毛黨，則跟商戶串通好，賺取電商平臺(tái)的補(bǔ)貼。假意下單，商戶在后臺(tái)收到訂單后不發(fā)貨，而后兩者再瓜分平臺(tái)給的補(bǔ)貼金額，既刷了商戶的量，也省去了黑產(chǎn)羊毛黨賣不出去把貨砸在手里的風(fēng)險(xiǎn)。

不過運(yùn)作這樣一場(chǎng)薅羊毛，流程復(fù)雜, 薅一次羊毛需要跑通5個(gè)環(huán)節(jié)：評(píng)估風(fēng)險(xiǎn)并找到適合下手的活動(dòng)－獲取手機(jī)號(hào)－用手機(jī)號(hào)注冊(cè)賬號(hào)并通過平臺(tái)的認(rèn)證－獲取設(shè)備（手機(jī)）－購買秒殺工具－操作薅羊毛－分贓。

在高段位的薅羊毛里，上述鏈路中的每一個(gè)環(huán)節(jié)都有成規(guī)模的公司在運(yùn)作。

由于每個(gè)環(huán)節(jié)都需要付出成本，黑產(chǎn)羊毛黨會(huì)謹(jǐn)慎選擇攻擊對(duì)象，衡量不同對(duì)象的攻擊難度和需要付出的代價(jià)。根據(jù)京東安全部門的觀察，黑產(chǎn)羊毛黨在發(fā)動(dòng)攻擊前會(huì)在各種信息共享群里互通消息，呈現(xiàn)出從點(diǎn)到面的傳播，選擇優(yōu)惠補(bǔ)貼力度大的線上項(xiàng)目大量集中購買。

開始薅羊毛的前提是批量掌握大量賬號(hào)，有經(jīng)驗(yàn)的黑客能同時(shí)控制上萬甚至幾十萬個(gè)賬號(hào)。獲取賬號(hào)的第一步是拿到手機(jī)號(hào)，而黑產(chǎn)的手機(jī)號(hào)提供者，多為卡商。

卡商是運(yùn)營商的合作者，主業(yè)是幫運(yùn)營商分銷手機(jī)卡，不過很多卡商利用手頭的卡號(hào)資源做起了to B的手機(jī)卡運(yùn)營。簡(jiǎn)單說，就是黑產(chǎn)羊毛黨可以向卡商購買手機(jī)號(hào)或者收到的短信驗(yàn)證消息。這個(gè)環(huán)節(jié)的平均成本是1毛錢一個(gè)號(hào)。

有了手機(jī)號(hào)，黑產(chǎn)羊毛黨還要解決平臺(tái)賬號(hào)的注冊(cè)，需要身份證、手機(jī)號(hào)、甚至照片這類實(shí)名認(rèn)證信息。大量包含這類信息的數(shù)據(jù)包，在黑市中非法交易，這成了黑產(chǎn)羊毛黨的購買渠道，一個(gè)賬號(hào)的成本在幾毛錢左右。

每逢重要的電商大促前夕，秒殺工具這類作弊軟件的銷量都會(huì)攀升。

秒殺工具的作用是讓黑產(chǎn)羊毛黨可以批量下訂單，慣常的賣法是幾百元包月，通過大量黑產(chǎn)羊毛黨混跡的QQ群中銷售，極“好用”的工具可以賣到3000塊。

在黑產(chǎn)攻防戰(zhàn)里，情報(bào)對(duì)于交戰(zhàn)雙方非常重要。黑產(chǎn)會(huì)想方設(shè)法在互聯(lián)網(wǎng)公司安插內(nèi)鬼，里應(yīng)外合的監(jiān)守自盜，同樣互聯(lián)網(wǎng)公司也會(huì)在黑產(chǎn)團(tuán)體放入間諜，時(shí)刻上演著無間道。

魏峰曾由此接觸過一款軟件，利用安全漏洞，可以一次性下幾十萬筆訂單，“如果當(dāng)時(shí)沒發(fā)現(xiàn)，雙十一當(dāng)天有很多黑產(chǎn)羊毛黨用，訂單量可能會(huì)損失幾十億甚至上百億。”

如果黑產(chǎn)羊毛黨成功控制大量賬號(hào)，下一步就是弄到設(shè)備，開始薅羊毛。最傳統(tǒng)的做法是人工薅羊毛：一個(gè)幾平米的小房間，靠著四面墻壁放著四個(gè)五六層的貨架，每排貨架上從左到右挨著擺滿了一排排手機(jī)，每臺(tái)手機(jī)綁定著一個(gè)賬號(hào)。當(dāng)促銷活動(dòng)的時(shí)間到了，一個(gè)黑產(chǎn)羊毛黨的任務(wù)就是站在房子中間，一臺(tái)臺(tái)手機(jī)的點(diǎn)過去。

不過對(duì)于掌握著上萬個(gè)賬號(hào)的人而言，這樣的效率只能覆蓋幾千個(gè)賬號(hào)，黑產(chǎn)開始?jí)蛸I安卓模擬器，用機(jī)器集中操作。

一場(chǎng)大促背后，安全工程師需要準(zhǔn)備半年，而黑產(chǎn)也做盡各種準(zhǔn)備以求豪賭一把，交鋒無形卻往往異常激烈。京東安全工程師告訴36氪，幾年華為榮耀一款新品手機(jī)在京東上線，黃牛黨的搶購遭遇了京東的攔截，隨即就雇傭大量水軍對(duì)京東在線客服進(jìn)行惡意報(bào)復(fù)，導(dǎo)致正常咨詢堵塞?！澳Ц咭怀撸栏咭徽?。黑客的攻擊手段在不斷演進(jìn)，安全工程師的防范手段得以更快的速度進(jìn)行迭代，才能有效防止黑客的攻擊?！?/span>

術(shù)的較量

魏峰說，網(wǎng)絡(luò)安全工程師的圈子里流傳著一句話——你在凝視深淵，深淵也在凝視你。

這個(gè)圈子里不乏技術(shù)高超的聰明人，從事黑產(chǎn)的利益誘惑巨大，有時(shí)候安全工程師、白帽子和黑客只是一念之差。他們之間的無形戰(zhàn)爭(zhēng)，是術(shù)與術(shù)的較量。

魏峰對(duì)一起黑產(chǎn)案件中，一位被捕的黑客印象深刻。三四十歲的中年男子，其貌不揚(yáng)穿著一件夾克，孩子剛上小學(xué)，一家三口住在一間80平的房子里。他花了三個(gè)月的時(shí)間破譯漏洞，半年內(nèi)賺了幾十萬。

“他當(dāng)時(shí)很驕傲，覺得自己花了三個(gè)月什么都不干，像數(shù)學(xué)家把一道題目解出來了一樣很厲害。后面我們的安全能力也在不斷更新，但他第二天就能跟上我們的更新節(jié)奏。其實(shí)我們之間的較量不像是過招，三個(gè)月的解題就像是苦行僧一樣，我們也不清楚他為什么有這么大的毅力。”

魏峰形容，安全工程師和黑客，其實(shí)是一種類似于互相解題的交往。安全工程師的日常工作，是不斷反向研究黑客的手法，也會(huì)突然驚奇對(duì)方是怎么想到這一點(diǎn)的。被發(fā)現(xiàn)漏洞感覺，類似于有人花了幾周不同摸索你的心思，找到漏洞后突然被別人拿過來一樣。

他從警方了解到，那個(gè)黑客被捕的時(shí)候很平靜，“估計(jì)他覺得這是早晚的事。畢竟黑客一旦要開始賺錢，就不可避免要把自己暴露出來，你要推廣自己出來賣產(chǎn)品，這時(shí)候在網(wǎng)上留下的痕跡就越來越多。這跟傳統(tǒng)意義上不為名不為利的黑客是不一樣的，那種人不會(huì)留下太多東西，可能很難找到?！?/span>

或?yàn)殄X，或?yàn)榧夹g(shù)的偏執(zhí)，黑產(chǎn)羊毛黨和安全工程師的較量還會(huì)繼續(xù)，就掩藏在我們的每一次點(diǎn)擊背后。