周六,唯品会举办了第三届互联网电商安全峰会,老朋友邀请,很开心地去学习。除了听会上的分享,还和朋友们私下聊了不少信息,可以记一记。
- 黑产、羊毛党很猖獗而且分工精细。有个朋友处理的案例中,黑产可以做到手机卡的废卡再利用——也就是一张已经停机的废卡,甚至是一张在正常使用中的 sim 卡,只要此前没有注册过某些业务,都可以被用来接收到注册短信,用于薅企业推广费用的羊毛;
- 某人找到了一个数字货币的算力分配漏洞,用单机挖矿,月入百万——以这个速度薅币圈的羊毛,算是细水长流;
- 数据是石油,有很大的价值。但是石油需要流动,需要防止在流动中失火,就需要安全防范。DT 时代,数据无法被固定在某个地方,而是需要在业务中流转,以带来更大价值。要做数据保护,首先得先知道数据在哪里,谁用了,怎么用的;
- 如果发生数据泄漏——比如客服盗卖数据,用户就会接到诈骗电话等,之后就会产生投诉。这种投诉,孤例没有意义,但是只要有十个八个案例叠加,某电商企业等风控系统中录入相关信息,有 60-70% 的可能性能直接挖出这些数据可能被哪个业务系统的哪个人传出去的;
- 某公司号称被拖库也不太担心,因为数据库表名甚至部分关键信息都做了随机化处理,还隔一段时间变化;
- 某公司对用户做了识别和分级,对某些确定有问题的用户(比如羊毛党),给的验证码可能是一题微积分——就是不让你用;
- 电商平台上产品的销售数量、库存数量,被各种爬虫爬走做数据分析,有些平台不厌其烦,索性这个数据通过一定的算法处理,数据绝对不准,但尽量对用户还有一定的指导意义(其实……我觉得这种方法不一定好);
- 腾讯的安全情报自动化采集,大概 200 个软件源、100 个资讯源、400 个 twitter 源,每 15 分钟采集一轮,日均采集 1000 条,过滤后大约 80 条;
- 唯品会的维品花业务,做反欺诈模型训练后,模型总体效果是:唯品花申请通过率降低 1%,坏账降低 20%;
- 千寻位置在阿里云大概有 1300 台虚机,他们有不少对云的使用经验。比如先用好安全组、安骑士这些免费组件。比如从外部对开放端口做检测。比如对 github、gitlab 数据监控。比如有钉钉插件通知各种安全事件。比如真正了解自己在自己的业务体系中出现什么是危险的,然后通过日志找问题(比如通过 dns 发现挖矿、通过登录 IP 发现绕过堡垒机的行为);
- 一句大实话:死都死在密码上!回去后看来得做个内部的安全培训和安全检查;
- 听了个产品风控的词,想想颇有道理,应该捋一捋产品里可能存在的风控点,通过产品上的微调,减少后续的麻烦。举个例子:唯品会 app 中,商品加入购物车后,会有 20 分钟的锁定商品时间(避免无货),购物车变动后,会重刷新修改锁定时间为 20 分钟,但这个功能就能被黑产利用,当有紧俏商品销售时,黄牛不付出成本就锁定商品,直到找到下家后下单——价差轻松到手。如果是你,怎么做这个风控?
- 京东的反刷单系统,在长时间跨度下,从海量持续变动的数据里挖掘刷单行为;
- 羊毛党很恐怖。聊天过程中说起,某公司损失最大的一笔是七千万——老板拍板按单发货。某公司四月份一个产品被标错价格,很快被撸了价值 20 亿的商品——每发货,每用户发了 20 元优惠券。某公司网上卖飞机,价格错标为 18 万,很多人真付款了——这显然不能发货,于是每用户给了 1 万元优惠券(注:只能用于买飞机)。