編輯導(dǎo)讀：每一個(gè)商家都會(huì)不定期地進(jìn)行一些拉新活動(dòng)，用低價(jià)或者免費(fèi)的方式來吸引新用戶。但是這樣羊毛黨就不可避免，如果不加以控制，很有可能會(huì)成為活動(dòng)中的一大隱患。本文作者結(jié)合自身經(jīng)歷，在產(chǎn)品/運(yùn)營基礎(chǔ)層面對注冊， 活動(dòng)， 支付等方面提出一些安全建議，希望對你有幫助。

伴隨灰產(chǎn)行業(yè)的日益猖獗，幾乎所有有利可圖的平臺(tái)都會(huì)成為他們的“獵物”。結(jié)合自身經(jīng)歷，本文將在產(chǎn)品/運(yùn)營基礎(chǔ)層面對注冊， 活動(dòng)， 支付等方面做一些安全建議。

一、注冊

注冊/登錄是最基礎(chǔ)也是最重要的安全防護(hù)第一道閘門，這一層做好了， 日后能免去諸多煩惱。

介紹一下目前市面上針對注冊/登錄這一塊的安全風(fēng)險(xiǎn)點(diǎn)和防范措施。

1. 虛擬號段注冊

所謂虛擬號段，是虛擬運(yùn)營商的專屬號段，獲牌企業(yè)可以租用基礎(chǔ)電信運(yùn)營商的移動(dòng)通信網(wǎng)絡(luò)為用戶提供基于自身品牌的通信服務(wù)。簡單理解為是運(yùn)營商的“特殊代理”，但是實(shí)際的管理運(yùn)營是脫離運(yùn)營商的，所以個(gè)人去營業(yè)廳開卡，一般是不會(huì)給你虛擬號段的號碼。（一些鄉(xiāng)鎮(zhèn)和偏遠(yuǎn)地區(qū)存在主動(dòng)兜售虛擬號的情況）。

那么利用這些虛擬號能做什么 ？批量在平臺(tái)注冊小號，養(yǎng)號，賣號。

這是一個(gè)定時(shí)炸彈， 一旦平臺(tái)上新活動(dòng)， 數(shù)十萬的小號一起上分分鐘讓我們知道什么是“社會(huì)”。影響活動(dòng)效果不說，嚴(yán)重的會(huì)導(dǎo)致很大的經(jīng)濟(jì)損失，這是目前注冊環(huán)節(jié)最大的安全風(fēng)險(xiǎn)和挑戰(zhàn)。?金融類的產(chǎn)品在敏感操作的時(shí)候都會(huì)讓用戶實(shí)名認(rèn)證，人臉識別，在一定程度上可以規(guī)避這種情況的發(fā)生，但是沒有辦法完全規(guī)避，后面會(huì)提到。

防范措施：

在注冊的時(shí)候，不允許虛擬號段注冊，并且在“修改手機(jī)號”，第三方登錄后綁定手機(jī)號等環(huán)節(jié)均需要做統(tǒng)一處理。這是目前最簡單直接且消耗成本最低的防范方法。但是并非所有的平臺(tái)都要這么做， 如果本身平臺(tái)有諸多不涉及經(jīng)濟(jì)的業(yè)務(wù)功能，比如資訊，工具類，開放服務(wù)的平臺(tái)根據(jù)自身業(yè)務(wù)環(huán)境可以酌情放開。如果害怕因此導(dǎo)致了此類用戶流失，可以在用戶注冊的時(shí)候提示“用戶當(dāng)前正在用虛擬號碼注冊， 為確保賬戶安全， 請撥打***** 獲取驗(yàn)證信息”，這一步的操作是為了確保當(dāng)前操作的不是程序，是擁有通訊工具的真實(shí)個(gè)人。但是隨著灰產(chǎn)整體技術(shù)水平的提升，以及語音識別的技術(shù)升級，這個(gè)方法所起到的作用正在被減弱。

上文提到的是平臺(tái)自身創(chuàng)建安全規(guī)則，比較被動(dòng)且手段單一，一旦有新的號段出來，我們就要去維護(hù)，消耗一定的管理和更新成本。目前市面上主流的云平臺(tái)， 阿里，騰訊，網(wǎng)易等云服務(wù)平臺(tái)均提供了針對注冊安全方面的服務(wù)，基于平臺(tái)掌握的大數(shù)據(jù)，配合相應(yīng)的安全措施，實(shí)際體驗(yàn)下來效果比自己搭建安全規(guī)則要好。有實(shí)力且用戶體量大的可以考慮。

目前已知開放的虛擬號段：

• 移動(dòng) 1703 1705 1705 165
• 聯(lián)通 1704 1707 1708 1709 171 167
• 電信 1700 1701 1702 162

以及14開頭的上網(wǎng)卡專屬號段。

2. 換量/買量

通過流量呼喚或購買流量的方式來獲取新用戶。這里有很多見不得光的操作：

• 純假量，進(jìn)來的量來到平臺(tái)后動(dòng)都不動(dòng)， 好點(diǎn)的還注冊一下，從此就不活躍了
• 分時(shí)段分比例摻量：比1稍微智慧一點(diǎn)，多少還有點(diǎn)有價(jià)值的新用戶進(jìn)來
• “二道販子”：這里的二道不是說轉(zhuǎn)手賺差價(jià)，是指用劣質(zhì)或不想干的流量來糊弄買方，如開發(fā)商在一個(gè)房產(chǎn)平臺(tái)買量，房產(chǎn)平臺(tái)用從同人平臺(tái)弄過來的流量把一群初中生的號扔過去了，你可知道開發(fā)商那邊的畫面是有多精彩 ~

防范措施：

• 依托自身能力搭建渠道監(jiān)管平臺(tái)，或使用第三方渠道數(shù)據(jù)管理平臺(tái)對所有的渠道進(jìn)行監(jiān)控。在此之前公司需要根據(jù)自身曾經(jīng)的經(jīng)驗(yàn)和友商的相關(guān)渠道轉(zhuǎn)化數(shù)據(jù)作為一個(gè)對比，用以衡量渠道質(zhì)量的優(yōu)劣
• 優(yōu)先找認(rèn)識的人，或知名平臺(tái)合作
• 盡量采用cps ,cpa 的計(jì)費(fèi)方式，CPC和cpm是有錢人玩的
• 合作的條款明確列出流量的有效比例，從法律層面約束對方的行為

3. 驗(yàn)證碼

驗(yàn)證碼作為目前最基礎(chǔ)適用范圍最廣的登錄手段， 是最容易被攻擊的薄弱點(diǎn)。

1）刷碼

暴力刷碼發(fā)生的情況不多， 但是一旦發(fā)生，就是直接的經(jīng)濟(jì)損失。? 如果你的驗(yàn)證碼獲取次數(shù)是3次，刷子用100萬的訪問來刷你， 按照目前短信群發(fā)的價(jià)格在0.3 – 1毛之間計(jì)算， 直接的經(jīng)濟(jì)損失是9千-3萬，這個(gè)月績效沒了。此類事情多發(fā)生在有正面沖突導(dǎo)致的蓄意行為， 或者被第三方當(dāng)做肉雞，成為“短信轟炸機(jī)”的短信源。

有些平臺(tái)看似每天的驗(yàn)證碼的服務(wù)訪問量沒有異常， 其實(shí)早已經(jīng)是別人的‘肉雞’了?！径绦呸Z炸機(jī)】沒用過也至少聽過，在‘黑帽’領(lǐng)域早已是一個(gè)成熟的基礎(chǔ)技能，在刷碼的時(shí)候可以虛擬出比真機(jī)還真的環(huán)境， 任你有千萬張良計(jì)， 我只靠“構(gòu)建虛擬機(jī)環(huán)境‘一招過墻梯打敗你。近幾年隨著各種與計(jì)算和大數(shù)據(jù)的投入，對于此類的安全時(shí)間的防御有所提升， 但是基本是防御手段剛出來，轉(zhuǎn)身就被攻破了，防守總是在供給之后，被動(dòng)至極。

防范手段：

1、平日低調(diào)，多積德，不要逞強(qiáng)裝橫 。暴力刷碼是違F行為， 如若沒有特殊的情況一般不會(huì)引起這種事情發(fā)生。

2、搭建健全的驗(yàn)證碼安全機(jī)制

• APP獲取用戶手機(jī)的，設(shè)備型號，IMEI號碼，篩出模擬器，必要時(shí)可以抓陀旋儀數(shù)據(jù)
• 驗(yàn)證碼獲取時(shí)間間隔60s
• 設(shè)置每自然日【連續(xù)】獲取次數(shù)上限（單次機(jī)制， 不可重復(fù)使用）
• 當(dāng)用戶連續(xù)獲取？次驗(yàn)證碼，且沒有登錄平臺(tái)， 開啟圖形/滑塊驗(yàn)證。（此處不推薦鵝廠某些業(yè)務(wù)讓用戶發(fā)送短信到固定號碼用以驗(yàn)證當(dāng)前是自然人在操作真實(shí)通訊設(shè)備的措施。）
• 超過每日連續(xù)獲取上限，啟動(dòng)號碼/IP鎖定機(jī)制?？煞侄捂i定，2小時(shí)，半天，一天；也可以直接鎖一天。分段鎖定需要根據(jù)情況設(shè)置解鎖后的獲取次數(shù)，一般這個(gè)次數(shù)都小于每日連續(xù)獲取閾值，這里建議只給一次
• 設(shè)置每自然日【最多】獲取次數(shù)上限，超過將不能再觸發(fā)獲取驗(yàn)證碼
• 連續(xù)？次觸發(fā)下發(fā)驗(yàn)證碼，但是用戶未收到，提示用戶啟用語音驗(yàn)證。這里擴(kuò)展一下語音驗(yàn)證，作為短信驗(yàn)證的輔助，一方面一定程度上防止被刷碼，一方面解決用戶獲取不到的情況。（不用擔(dān)心弱網(wǎng)環(huán)境下，用戶收不到驗(yàn)證碼是否能撥打/接聽電話的問題。我們語音通訊所使用的底層技術(shù)還是2,3G的技術(shù)，對網(wǎng)絡(luò)的要求比數(shù)據(jù)通訊的低，感興趣的自己去查資料）
• 驗(yàn)證碼連續(xù)輸入錯(cuò)誤？次， 即開啟圖形/滑塊驗(yàn)證機(jī)制， 或開啟號碼/IP鎖定機(jī)制
• 避免將短信驗(yàn)證碼暴露在返回中，驗(yàn)證碼只存在服務(wù)端中并不能通過任何api直接獲?。y試環(huán)境隨意）

說一段扎心的真實(shí)情況，對于真·灰產(chǎn)大佬來說， 如果真的想在注冊，驗(yàn)證碼上做手腳，以上的多種方法都是直接無效的。 云控 + 云手機(jī)（下圖）目前的技術(shù)已經(jīng)非常成熟，且呈現(xiàn)規(guī)?；?，團(tuán)體化的趨勢。做金融和游戲的對于這種應(yīng)該都不陌生，可以說深惡痛疾，APP拉新， 拼團(tuán)， 有羊毛可褥的地方他們就會(huì)出現(xiàn)，而且往往損失慘重。 可見我們所面臨的安全風(fēng)險(xiǎn)形勢依舊極其嚴(yán)峻 ，Pony哥一直在說的’科技向善‘是多么的重要。

另外著重說一下對‘圖像識別’安全機(jī)制自信的大佬們， 市面上已經(jīng)有成熟的平臺(tái)來攻克該機(jī)制，而且支持的場景幾乎可以囊括市面上所有的圖形驗(yàn)證方法?？聪履称脚_(tái)的打碼功能介紹，感受一波技術(shù)的力量：

二、活動(dòng)

幾乎每個(gè)平臺(tái)都會(huì)做活動(dòng)， 商品促銷， 拉新促活，品牌營銷 。在設(shè)計(jì)玩活動(dòng)主體功能和流程以后， 請務(wù)必把活動(dòng)的安全性列入必填項(xiàng)。

1. 以【簽到抽獎(jiǎng)】為例介紹其中被忽略的安全漏洞

• 單設(shè)備多次切換賬戶操作，這個(gè)也可以歸類到注冊的安全
• 未設(shè)置每日獎(jiǎng)池價(jià)值上限。運(yùn)營方案考慮的很完善的前提下可以忽略，但是如果獎(jiǎng)品都是實(shí)打?qū)嵉?，請?wù)必考慮這個(gè)問題。
• 未設(shè)置每日高價(jià)值獎(jiǎng)品的數(shù)量上限，若單一獎(jiǎng)品的價(jià)值非常高， 考慮其被抽中概率的同時(shí)，也要考慮被抽中的次數(shù)
• 大量小號簽到積累簽到積分，養(yǎng)號，積分兌換獎(jiǎng)勵(lì) 。多見于金融平臺(tái)

2. 拉新

作為褥羊毛重災(zāi)區(qū)的拉新活動(dòng)， 幾乎所有有價(jià)值的拉新活動(dòng)都沒能幸免。大多數(shù)情況， 我們對此束手無策，羅列一下拉新活動(dòng)被褥時(shí)的慘狀：

• 巨量小號，抽底式襲擊活動(dòng)， 短時(shí)間大量新人權(quán)益\獎(jiǎng)品被褥走
• 一旦第一個(gè)“點(diǎn)火人”發(fā)現(xiàn)有漏洞可鉆， 《***攻略》一天內(nèi)全網(wǎng)傳播，雖然也會(huì)帶來一定的傳播和新人注冊， 但是來的多是白嫖黨，對平臺(tái)意義不大，徒增很多“僵尸”用戶，且一定會(huì)伴隨公司的經(jīng)濟(jì)損失或公司的公關(guān)/法務(wù)資源介入
• 對于滿足一定要求才能獲得獎(jiǎng)勵(lì)的拉新活動(dòng)，用戶可以完成要求條件獲得并使用獎(jiǎng)勵(lì)后，發(fā)起售后\退款。這時(shí)候如果你和訂單狀態(tài)綁定即收貨以后獎(jiǎng)勵(lì)才生效，會(huì)影響活動(dòng)效果，如何取舍看公司對本次活動(dòng)拉新轉(zhuǎn)化的重視程度和成本投入
• 用戶多個(gè)手機(jī)號， 自己拉自己，注冊量上去了，但是對于后續(xù)的業(yè)務(wù)轉(zhuǎn)化起不到很大作用

其他還有很多類似打榜/投票的活動(dòng)，只要花點(diǎn)錢，大量的第三方投票平臺(tái)可以滿足你的各式各樣的花式需求，包括且不限于 ：投票人的性別， 年紀(jì)， IP地址，設(shè)備型號，投票頻次等等要求。價(jià)格可以低到幾分錢一個(gè)，花幾百塊弄個(gè)高價(jià)值的獎(jiǎng)品，太值了。

再說個(gè)極端的銀行消費(fèi)打榜的活動(dòng)：在單位時(shí)間內(nèi)消費(fèi)金額達(dá)到多少即可參與活動(dòng)， 金額前十名有額外的高價(jià)值獎(jiǎng)品。只要獎(jiǎng)勵(lì)價(jià)值足夠高，你設(shè)置多高的消費(fèi)額度門檻都沒用，為什么 ？因?yàn)橥腊竦拇罄腥耸质畮着_(tái)pos機(jī)，可設(shè)置消費(fèi)的所在城市，商鋪類型甚至指定商鋪，刷到銀行懷疑本行持卡人消費(fèi)竟然能如此兇猛！到最后才發(fā)現(xiàn)， 這不過是別人的常規(guī)操作， 損失就是套X 的手續(xù)費(fèi)， 但是相比獎(jiǎng)品完全可以忽略。后面把套出來的米還進(jìn)去， 一出一進(jìn)獎(jiǎng)品到手還能累計(jì)大量的積分， 積分又能在平臺(tái)兌換一波獎(jiǎng)品， 騷操作能把策劃整的哭暈在大堂的柜臺(tái) ，拉都拉不起來 ~

那~ 有沒有切實(shí)可行的方案解決褥羊毛的行為，讓平臺(tái)免受損失。

答案 ：沒有。

為什么這么肯定，我們來看看強(qiáng)大如開水團(tuán)的種果樹的活動(dòng)被擼成啥樣了？！獲取獎(jiǎng)勵(lì)的核心操作是拿到大量的化肥和水滴去澆灌果樹，促進(jìn)果實(shí)成熟獲得獎(jiǎng)品。提煉一下我們要的資源：化肥，水滴。化肥可以通過抽獎(jiǎng)和購物獲得，水滴送的就用不完。平臺(tái)大量的1分錢的商品/服務(wù)，購買即可獲得大額水滴和話費(fèi)，2、3天一箱水果真的不要太香啊。

活動(dòng)開始還發(fā)生了我上面提到的用戶購買后拿到獎(jiǎng)勵(lì)發(fā)起退款的現(xiàn)象，后面更新了活動(dòng)規(guī)則：退款過多會(huì)永久刪掉獎(jiǎng)勵(lì)對應(yīng)的任務(wù)。但是還是架不住’智慧‘的人民，有的是購買超低價(jià)商品，有的則是買了券以后不消費(fèi)等過期平臺(tái)自動(dòng)退款， 但是化肥&水滴獎(jiǎng)勵(lì)我已經(jīng)拿到。這個(gè)是用戶在平臺(tái)規(guī)則下正大光明的鉆你的規(guī)則漏洞，無可奈何。

最近果樹成熟的進(jìn)度已經(jīng)擴(kuò)展到小數(shù)點(diǎn)后三位了，而且每次澆水的進(jìn)度提升比例也降了不少。一方面可以看出’智慧‘的用戶占比不少，另一方面也看出這個(gè)活動(dòng)在一定程度上對促活和訂單轉(zhuǎn)化確實(shí)起了很大作用。

大廠尚且如此，初創(chuàng)和中小規(guī)模的企業(yè)的狀況就不用多言了。但是我們在做活動(dòng)的時(shí)候，是不是要嚴(yán)格控制活動(dòng)規(guī)則？恰恰相反，不能。用戶已經(jīng)被十分甜的蜂蜜甜過了，如果給他們七分甜、半糖，那活動(dòng)效果勢必要打折扣的。建議還是設(shè)定常態(tài)化的規(guī)則，且在成本允許的范圍內(nèi)盡量基于新用戶更多的獎(jiǎng)勵(lì)，而產(chǎn)品和運(yùn)營要費(fèi)心思在獎(jiǎng)勵(lì)的規(guī)則的制定上。目前常見的操作是：時(shí)效性（如當(dāng)日有效），范圍設(shè)定（不一定是用戶需要的商品，但是一定是高利潤 或 壓倉庫存），連續(xù)性（一環(huán)獎(jiǎng)勵(lì)被用掉后面還有新獎(jiǎng)勵(lì)，程度逐步遞減）。

無論如何設(shè)置無外乎從2個(gè)方面做文章 ：時(shí)間成本，訂單總額/量。短時(shí)間內(nèi)促進(jìn)用戶使用獎(jiǎng)勵(lì)下單，或持續(xù)的訂單才能獲取持續(xù)的獎(jiǎng)勵(lì),不斷的用獎(jiǎng)勵(lì)提升用戶的復(fù)購頻率，以此獲取的營收來抵消部分平臺(tái)損失。但是現(xiàn)實(shí)中活動(dòng)通盤算下來計(jì)入采購，運(yùn)輸，倉儲(chǔ)，人力成本過半的活動(dòng)都是虧錢的，而通過活動(dòng)引入的流量如果運(yùn)營得當(dāng)能夠在平臺(tái)持續(xù)活躍&留存，時(shí)間疊加最終會(huì)轉(zhuǎn)虧為盈，前提是公司能撐得住。

關(guān)于活動(dòng)說的有點(diǎn)啰嗦，這塊遇到的騷操作實(shí)在太多，還有些騷斷腿的案例就不拿出來了，以免有心人有樣學(xué)樣。

三、支付

移動(dòng)支付的興起，在方便大家生活的同時(shí)在一定程度上讓大家的財(cái)產(chǎn)不那么安全了，目前對于人民群眾的支付安全多有以下幾種 ：

用戶端：

• 木馬和病毒：司空常見的事情，縱然國家、單位都非常重視宣傳了， 但是奈何每年都有這樣的事情發(fā)生
• 釣魚短信，郵件：打開不明鏈接輸入手機(jī)號， 獲取驗(yàn)證碼。銀行轉(zhuǎn)賬短信就過來了
• 二維碼：替換收款二維碼，識別二維碼后是個(gè)病毒鏈接
• 小渠道下載的APP：這條針對男士，不細(xì)說，懂得都懂。

平臺(tái)端：

• 惡意下訂不支付：字面意思很明白就是到了支付頁面不支付，鎖定商家?guī)齑?，干擾正常銷售。近期鬧得非常厲害的“顯卡爭奪戰(zhàn)”，再一次上演了這種操作。主要影響的是平臺(tái)端的個(gè)別商家/黃牛的利益，于平臺(tái)和品牌形象來說，這樣的操作打出來的傷害還不如拔罐，很快就過去了
• 惡意退款：用戶頻繁的購買大額商品，后發(fā)起退款。這種操作對平臺(tái)影響不大，但是像吃了蒼蠅一樣難受，早期曾用于信用卡提額，目前主流的支付平臺(tái)都和政府監(jiān)管平臺(tái)打通 ，這個(gè)現(xiàn)象少了很多
• 洗Q : 主要是針對金融， 游戲，以及某些大宗交易平臺(tái)來說，目前仍然是灰蒙蒙的一片，雖然國內(nèi)已經(jīng)出現(xiàn)了可以處理相關(guān)業(yè)務(wù)的公司，但是還沒有切實(shí)有效的全面防御手段，只能寄希望政府能出面牽頭聯(lián)合各大金融機(jī)構(gòu)一起提升該方面的數(shù)字化建設(shè)
• 網(wǎng)絡(luò)攻擊：主要有協(xié)議漏洞（靜默短信，偽基站，IMSI捕獲，GSM中間人），代碼實(shí)現(xiàn)漏洞（TMSI溢出，intel/Comneon，AUTU溢出，Qualcomm，SMS PDU溢出）等手段替換或篡改支付數(shù)據(jù)，用戶的touchID、faceID一旦被攔截并復(fù)制，后果 …

無論我們只是一個(gè)有支付收銀臺(tái)頁面的小可愛，還是具有支付中心平臺(tái)支撐能力的大中型企業(yè)，都應(yīng)該足夠重視支付環(huán)境的安全，保護(hù)用戶的財(cái)產(chǎn)安全。

最后：真誠希望以上所述大家永遠(yuǎn)遇不到， 真誠希望人心向善，每個(gè)個(gè)體都用善意的心態(tài)去推動(dòng)這個(gè)國家的經(jīng)濟(jì)建設(shè)和商業(yè)發(fā)展不斷先前。

本文由 @漢武帝 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)作者許可，禁止轉(zhuǎn)載。

題圖來自Unsplash，基于CC0協(xié)議。