为推动网络安全治理工作,目前各大互联网公司均加大对网络黑灰产的打击力度。近期,腾讯、抖音、小红书等先后公布2019年网络黑灰产打击成绩。在这些互联网企业的“打黑”工作中,刷量黑灰产是重要打击目标。如:小红书2019年共处理作弊笔记443.57万篇,封禁作弊账号2128万个,拦截刷量行为14.23亿次。短时间内刷出虚高的数据离不开上、中、下游整个刷量产业链从业人员的通力合作。在本期报告中,我们将主要分析刷量产业链、刷量群体、刷量的判断方法及应对措施等内容。
一、刷量黑色产业链
刷量产业链主要分为上游、中游和下游三个环节。
(一)上游。
刷量产业链的上游包括卡商、接码平台、代理IP平台、打码平台、秒拨机等。这一环节能够保障刷量从业者注册大量用于刷量的账号。
1、卡商。卡商是指通过各种渠道从运营商或代理商处获取手机卡资源,之后转手赚差价的商人。
2、接码平台。接码平台是指利用虚拟手机号接受验证码的平台。
3、打码平台。打码平台是指用来识别验证码的平台。有的打码平台靠人工打码,有的打码平台靠人工打码。
4、代理IP平台。代理IP平台是指通过提供大量代理IP资源,帮助用户隐藏真实IP的平台。它可以帮助用户躲避相关平台的风控策略。
5、秒拨机。秒拨机是一种动态的拨号虚拟机,可以通过宽带拨号的方式切换IP。秒拨机和代理IP平台的功能类似。
(二)中游。
中游一般包括注册机开发商、群控工具开发商、改机工具开发商、刷量软件开发商等。这一环节能够保障刷量从业者使用得力的工具批量注册账号、更改设备信息、快速完成刷量任务。因在上期报告中对部分刷量工具有所介绍,在此就不再赘述。
(三)下游。
下游一般包括大量的刷量工作室和刷量从业人员。这一环节的任务是在上游、中游工作的基础上执行并完成刷量任务。值得一提的是,部分处于下游的刷量工作室兼有中游的功能。它们结构完整、分工明确,具有专门的技术人员,平时所使用的刷量工具由技术部门开发。
纵观整个刷量黑灰产链条可知,上、中游业务与刷量业务间接相关,所以往往较为隐蔽,不易发现;下游业务与刷量业务直接相关,所以往往较为明显,更易察觉。所以,在下文中,我们将着重探讨刷量黑产链条中的下游业务。
二、刷量群体
(一)刷量从业者。
整体而言,刷量行为一般存在于接触互联网较早、对互联网技术较为熟悉的人群中,一般发生在经济发展水平较高、人口较为密集的地区。腾讯安全部门人员透露,目前从事刷量业务的人员已达900多万。
1、从年龄分布上来看:刷量从业人员主要为年轻人。以视频刷量从业者为例,90后占总体从业人员的60%以上,80后占近20%。
2、从学历方面来看:刷量从业人员的学历参差不齐,但整体来看,本科以上学历人员较多,约占60%。
3、从地区分布上来看:刷量从业者主要集中在经济相对发达的地区,而在其他经济欠发达地区,此类犯罪行为尚未形成规模。以视频刷量为例,从业人员归属地前十如下:为推动网络安全治理工作,目前各大互联网公司均加大对网络黑灰产的打击力度。近期,腾讯、抖音、小红书等先后公布2019年网络黑灰产打击成绩。在这些互联网企业的“打黑”工作中,刷量黑灰产是重要打击目标。如:小红书2019年共处理作弊笔记443.57万篇,封禁作弊账号2128万个,拦截刷量行为14.23亿次。短时间内刷出虚高的数据离不开上、中、下游整个刷量产业链从业人员的通力合作。在本期报告中,我们将主要分析刷量产业链、刷量群体、刷量的判断方法及应对措施等内容。
一、刷量黑色产业链
刷量产业链主要分为上游、中游和下游三个环节。
(一)上游。
刷量产业链的上游包括卡商、接码平台、代理IP平台、打码平台、秒拨机等。这一环节能够保障刷量从业者注册大量用于刷量的账号。
1、卡商。卡商是指通过各种渠道从运营商或代理商处获取手机卡资源,之后转手赚差价的商人。
2、接码平台。接码平台是指利用虚拟手机号接受验证码的平台。
3、打码平台。打码平台是指用来识别验证码的平台。有的打码平台靠人工打码,有的打码平台靠人工打码。
4、代理IP平台。代理IP平台是指通过提供大量代理IP资源,帮助用户隐藏真实IP的平台。它可以帮助用户躲避相关平台的风控策略。
5、秒拨机。秒拨机是一种动态的拨号虚拟机,可以通过宽带拨号的方式切换IP。秒拨机和代理IP平台的功能类似。
(二)中游。
中游一般包括注册机开发商、群控工具开发商、改机工具开发商、刷量软件开发商等。这一环节能够保障刷量从业者使用得力的工具批量注册账号、更改设备信息、快速完成刷量任务。因在上期报告中对部分刷量工具有所介绍,在此就不再赘述。
(三)下游。
下游一般包括大量的刷量工作室和刷量从业人员。这一环节的任务是在上游、中游工作的基础上执行并完成刷量任务。值得一提的是,部分处于下游的刷量工作室兼有中游的功能。它们结构完整、分工明确,具有专门的技术人员,平时所使用的刷量工具由技术部门开发。
纵观整个刷量黑灰产链条可知,上、中游业务与刷量业务间接相关,所以往往较为隐蔽,不易发现;下游业务与刷量业务直接相关,所以往往较为明显,更易察觉。所以,在下文中,我们将着重探讨刷量黑产链条中的下游业务。
二、刷量群体
(一)刷量从业者。
整体而言,刷量行为一般存在于接触互联网较早、对互联网技术较为熟悉的人群中,一般发生在经济发展水平较高、人口较为密集的地区。腾讯安全部门人员透露,目前从事刷量业务的人员已达900多万。
1、从年龄分布上来看:刷量从业人员主要为年轻人。以视频刷量从业者为例,90后占总体从业人员的60%以上,80后占近20%。
2、从学历方面来看:刷量从业人员的学历参差不齐,但整体来看,本科以上学历人员较多,约占60%。
3、从地区分布上来看:刷量从业者主要集中在经济相对发达的地区,而在其他经济欠发达地区,此类犯罪行为尚未形成规模。以视频刷量为例,从业人员归属地前十如下:
图1:从业人员归属地前十
4、从身份方面来看:参与刷量的人员不仅有普通网民,还有一些大V或KOL,甚至个别普通网民正是靠刷量成为大V或KOL。根据腾讯方面的数据,在某知名自媒体榜单TOP500账号中,有300多个账号在生活、资讯、娱乐、情感等领域存在刷量行为。
5、从牟利方式上来看:刷量从业者的牟利方式一般有以下三种:(1)通过提供刷量、刷单服务赚取报酬;(2)结合空包物流服务发起退货请求,进而薅取电商平台对商家的运费补贴;(3)通过刷赞、刷评论的方式出粉,具体报酬按引入其他平台的账号个数计算。
(二)刷量工作室。
众多的刷量从业者背后往往有众多的刷量平台做支撑。有数据显示:目前国内的各类刷量平台已达千余家,其中百余家头部刷量平台每月的流水达200余万,利润可见一斑。另外,受平台属性、追星、变现等因素的影响,社交平台是刷量行为的重灾区之一。第一财经的一篇报道显示,社交业务类流量黑产约占整个虚假流量黑产的1/3。
1、从工作形式来看:刷量平台多以工作室的形式存在。工作室往往不单接一个平台的刷量业务,而是承接多个不同平台的刷量业务。同时,有些工作室除了承接刷量业务外,还会承接一些推广类的业务。“威胁猎人”的一份报告显示,短视频、直播、美妆类APP是刷量工作室的重点推广业务之一。
2、从团队结构来看:刷量工作室一般拥有自己的技术团队、运营团队、销售团队,且各团队分工较为明确。工作室员工的数量一般和工作室的业务多少有关,小的工作室可能只有数名员工,大的工作室可能有上百名员工。
3、从技术水平来看:刷量工作室的技术团队与各大平台的安全风控部门是隐形的对抗和攻防关系。研究并破解各大平台的安全风控策略是刷量工作室技术团队的主要工作之一,所以刷量工作室的技术团队一般对各大平台多久调整一次参数、多久重置一次数据等风控细节了如指掌。一般情况下,平台调整安全策略之后,刷量工作室的技术团队会立即升级刷量方法。以一款针对某视频平台的刷量工具为例,该工具背后的技术团队一直对该工具进行迭代更新,曾在一天内更新多个版本。
图2:某刷量工具更新迭代截图(图片来自威胁猎人报告)
4、从资源控制方面来看:为做好或完成刷量工作,刷量工作室一般需要购置一些设备和信息。如:购买大量实名身份信息,用于注册和解封账号;收购大量二手手机,用于养号;通过发布广告、熟人推荐等方式召集或拉拢兼职刷量从业者。这些兼职刷量从业者用自己或亲朋好友的身份信息在刷量平台上注册账号后,保持“挂机”状态,供刷量平台刷量。
5、从刷量时间方面来看:刷量工作室为了混淆视听,一般会使刷量行为与真实用户的行为尽量相吻合。按照正常的作息时间,19时至23时是民众上网的高峰时段,那么这段时间也便成为了刷量工作室刷量的高峰时间。
三、判断和应对刷量行为的措施
(一)从数据方面判断刷量行为的方式。
1、利用转化率进行判断。对于电商平台而言,从用户访问到用户消费,需要经历如下过程:访问—下载—安装—打开—注册—付费。如果把用户这一系列行为步骤形容为有一定层级的金字塔,那么每往上一层,数据作弊的难度就会增加一层。在这种情况下,平台方可以通过观察每一步的数据转化情况,分析是否有刷量行为。如果前期数据良好,但后期无转化,就需警惕刷量行为。如:2019年10月,“创业途中的奇闻趣事”发文称,自己花费3000多元购买时尚博主“@张雨晗YuHan”的一条微博做电商推广,相关内容“一夜爆红”,视频播放量达350万,但电商部门转化率却为0,其怀疑该账号存在刷量行为,之后将该账号所属的MCN机构“蜂群文化”诉至法院。微博方经调查发现,上述博主确实存在刷量行为,之后关停该账号,并暂停“蜂群文化”旗下所有账号在微博平台的广告投放和微任务接单。
2、利用留存率进行判断。部分刷量工作室一般会选择在1日、7日、30日等固定时间点导入用户数据,因此我们可以在这些时间节点观察用户留存率的波动情况(用户留存率=新增用户中登录用户数/新增用户数*100%)。在无外在因素影响的情况下,真实用户的留存率是平滑下降的。如果在观察的过程中发现在无外在因素影响的情况下,用户留存率骤升骤降,波动较大,那么就可能存在刷量行为。
3、通过终端设备进行判断。一般情况下,平台方在做用户下沉工作时会根据平台或广告的属性确定重点投放城市。过后,平台方可以通过用户终端信息判断用户下沉情况。例如:可以根据用户的终端信息追踪到用户的IP分布、系统版本、手机品牌/机型等等。如果在观察用户终端设备信息时发现过多用户来自同一地区,而该地区并不是相关产品的重点投放地区,那么数据就有可能出自当地某个刷量工作室。
另外,通过系统版本、手机品牌和机型也能判断出一些问题。上文提到,部分刷量工作室为顺利完成刷量工作,会购置刷量设备。而为了降低成本,刷量工作室一般会购置低价机、二手机、冷门机。如果在某一时间段,通过查看用户设备终端发现大量用户使用较为落后的系统版本或手机型号,则需要警惕是否有刷量行为。
4、通过用户行为进行判断。尽管有时刷量行为与真实用户的行为极为相像,但有时我们从访问间隔、使用频率、使用时长等方面也能看出端倪。在无重大事件发生或无外部因素影响的情况下,真实用户行为的数据一般较为平稳。如果发现用户行为和往常数据相比有所反常,则需警惕存在刷量行为。
(二)平台方应对刷量行为的措施。
1、在用户信息方面:监测访问用户、终端、IP等,并建立用户、终端、IP等黑名单库,阻止问题用户访问平台。
2、在用户行为方面:分析用户行为,建立用户异常行为特征库,及时对异常的用户行为进行过滤。
3、在平台数据方面:观察平台各类数据,及时发现、总结异常数据特征,利用技术手段阻止刷量从业者继续刷量。
4、与警方、第三方安全机构合作,依法打击刷量团伙。
注:文中数据来源:
1、人民网报告:《大数据解析在线视频刷量黑灰产》;
2、新华网客户端报道:《小红书严打刷量黑产:2019年封禁2128万个作弊账号》;
3、封面新闻报道:《虚假流量带来“虚假繁荣” 全国900多万人从事刷流量产业》;
4、北晚新视觉网报道:《国内刷量产业人员数量瞠目,怪不得有这么多离奇数据》;
5、东南早报报道:《“10W+”的灰色制造者 起底“刷量”产业链》;
6、第一财经报道:《杀猪盘”、黑公关、刷流量 揭秘网络黑产暴利背后》。