遭遇刷单、恶意注册？我这里有一本《如来神掌》

雷锋网按：本文作者墨栗，唯品会安全应急响应中心。

相对于实体商品，虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。过去很长一段时间都在讨论实物产品的风控技术，今天我们谈谈虚拟供应链产品的风控。

| 实物商品风控有时间优势

电商平台上的实物商品交易，永远绕不开空间转换。无论你购买什么商品，下单付款后一定还要经过仓库、物流和配送等环节，才能完整地走完购物流程。这为平台风控系统预留了足够的风险计算时间，在此期间风控系统可以随时发出指令终止流程，遏制损失。

 

以上红色区域内任何时间点，电商平台都有机会对异常订单发起拦截操作。但虚拟供应链体系下的订单并没有类似的时间空档，这对风控系统提出了巨大的挑战。

| 虚拟供应链跨时空无物流环节

虚拟产品以在线交易和即时交付为基础，因此一旦完成付款，虚拟产品就应该立即交付给消费者，这中间几乎没有等待的时间。试想你在餐馆吃饭，结算时正要购买一张团购券。当你完成付款后，系统告诉你优惠码需要1小时候才能发送到你的手机，你是否能接受？虚拟供应链产品交付过程中的任何时间上的等待，都会导致用户体验的下降，更不要提2～3天的物流派送时间。

 

| 虚拟商品可复制，一经发货覆水难收

类似于团购激活码、会员充值码、门票兑换码这类虚拟商品，一旦商城发货，消费者就可以立即明文获取，并且能够快速复制和传播。电商平台通常都不可能直接获取已发货电子商品的使用状态，因此也无法在发现交易风险后快速撤销订单，取消“发货”。

举个例子，如果某电商平台X和迪士尼合作在线售卖迪士尼门票。如果下单人员就站在电子出票机前，前手下单后手就从自助机上取出门票。就在订单发生5分钟之后，电商平台X通过数据分析发现这笔订单存在欺诈交易风险，试图拦截交易。但因为此时电子码已经被兑换，取消订单已无意义……

 

当然在某些场景下，电商平台可以和线下供应商进行沟通和协调，取消或冻结某些电子券，但总体来看成本（时间、技术和商务）非常高，成功率难以保证，风险不可忽视。上述业务特性就决定了虚拟供应链安全不容忽视，那么典型的虚拟供应链风控场景包括那些呢？

| 虚拟供应链安全典型风控场景

团队在过去一年里与黑灰产在虚拟供应链交易环节做过无数PK，以下是我们总结的典型风控场景，希望对您有帮助：

●     盗卡交易

通过诈骗、木马等手段，盗用他人银行卡在平台购买虚拟产品。因为省去了仓库调拨、物流配送等环节，黑产可以快速购买商品并转手销赃。这类交易后期的损失和赔付往往由电商平台承担，因此风控系统必须能够遏制绝大多数的盗卡欺诈交易。

●     盗号获利

通过盗号攻击（例如以密码重用攻击为基础的身份盗用，也称为“撞库攻击”）获取大量用户身份，消费这类用户账户内的虚拟资产，购买虚拟产品等。例如，某电商平台支持以X豆兑换Y游戏的点卡。

●     批量养号

批量注册账户，并长期循环登录保持活跃，“积极”参与电商平台的各类领币、领券、赠积分等活动。等到账户内的积分、虚拟币等攒到一定级别，就可以转手倒卖或用于购买低价商品。

●     并发获利

工具党在利用积分、币、豆等兑换其它虚拟产品时，利用竞态条件采用并发操作的方式，产生多笔交易。例如，电商平台X网站开展活动以20积分兑换1个某视频网站黄金会员激活码。某用户账户只有20积分，但同时开了10个浏览器打开相同的兑换页面，以最快的速度同时向网站发起兑换操作。如果后台系统没有对账户积分做资源锁定，则很有可能该用户能够一次性兑换多个激活码。

●     套现获利

利用网站业务逻辑漏洞获取虚拟资产，再通过其它手段将虚拟财产转换为人民币资产从而实现非法套现。别问我怎么做到的……

●     破解算法

互联网上典型的虚拟产品是类似于优惠券、激活码、充值码等字符串形式的数字信息；最常见的形式，莫过于一串数字字母组合。以充值卡为例，好的充值密码在设计上做过充分的安全设计，特别是长度，字符类型等。但也有些厂商的充值密码存在重大设计缺陷，导致可被批量枚举，例如：某充值卡激活码样式类似SH81982。该验证码长度有限，且前两位是分销商区域标识（SH，上海）。攻击者在网站激活完全可以遍历最后5位数字。以现在的互联网速度和计算能力，用不了多久即可获取大量充值卡密码。

| 虚拟供应链风控建设

由于众所周知的原因，我们不在这里就技术实现的细节做展开讨论，但虚拟供应链风控的基本思想和策略还是可以和大家分享的。我们已经知道虚拟供应链与实体商品的售卖有重大的区别，因此对虚拟供应链风控系统、策略也提出了大量的挑战。风控系统必须能够做到精准识别风险交易，快速给出判定结果，有效地控制误报率和漏报率。推荐的一些思路如下：

●     使用同步和异步两种风控策略

为了提高虚拟产品购买体验，加速购买流程，风控系统必须提供强大的同步服务调用能力。业务系统在调用风控后，必须在数十毫秒内得到明确的结果，如：是否允许下单，是否允许付款等。针对单个交易，同步风控调用固然有效；但有些情况下异步风控仍然不可或缺。产品、业务方应该在尽其可能的情况下，提供风控系统异步决策的业务拦截机制，以应对那些通过跨时间段统计分析才能识别风险的欺诈交易场景。

●     建立特定标识的黑白名单

历史积累数据对风控决策有重要帮助作用。风控系统必须能够进行近实时、离线等数据计算，将计算结果写入某些中间集合。黑白名单是一个非常典型的技术手段。如果某些用户ID、IP、设备号等已经被列入黑名单，则风控调用过程中完全不需要再走风险计算逻辑，直接根据黑白名单即可输出结果。该方式将大大缩短风控响应时间，在保障安全性的同时提升了用户的购物体验。

●     做好项目安全评审

项目安全评审不仅仅包括代码安全评审，还包活从项目发起时的需求评审。例如公司要在线上做一期免费领券看电影的活动，那么风控团队就要评估：这个项目的在线活动是怎么个玩法（活动规则），主要风险点在哪，攻击者会使用何种方式来获利，现有的风控系统能否支撑该场景下的风险控制，是否需要调整部分规则规则以规避潜在的风险等。

限于时间和篇幅还有很多问题我们没有充分展开讨论，下一篇继续！在虚拟供应链安全这场对抗中，无论是黑灰产还是电商平台的风控团队，要想获胜就必须能做到以最快速度达到自身目的。一句话：手快有，手慢无！

雷峰网版权文章，未经授权禁止转载。详情见转载须知。