黑灰产刷单、平台封号,跨境电商平台上那些不为人知的乱象
2022年5月,顶象防御云业务安全情报中心监测到,某大型跨境电商平台出现大量虚假刷单欺诈。基于编号为BSI-2022-145业务安全情报显示:黑灰产通过作弊软件批量下单、真人众包分发的方式,帮助商家快速获得大量虚假订单,推动商家的商铺快获得更多流量。厚此不仅误导消费者的购物决策,引发店铺不公平竞争,更严重影响平台的正常运营。
2万亿的跨境电商市场
跨境电商主要是通过电子商务平台进行交易,在平台上完成支付结算,并通过国际物流将商品送达买方,从而实现跨国零售交易。与传统贸易相比,跨境电商存在交易链条更短、回款周期更快、数据及时透明等优势。海关总署统计数据显示,2021年我国跨境电商进出口1.98万亿元,增长15%;其中出口1.44万亿元,增长24.5%。
我国跨境电商市场参与者众多,品牌力、渠道力和运营力将成为衡量跨境电商厂商竞争力的核心指标。精准营销实现品牌形象塑造、多元化经营分散平台风险、精细化运营助力降本增效,将成为同质化竞争加剧背景下跨境电商企业突围的关键。据埃森哲报告显示,已经出海的企业中,大企业占63%,中小企业占37%。计划出海的企业中,大企业占35%,中小企业占65%,中小企业出海崭露头角。
跨境电商促进了世界经济贸易的普惠共赢,带动了流通基础设施现代化建设,推动了生产和流通的深度融合。同时,刷单、刷评论、刷排名这些电商行业顽疾,从国内的电商平台应用到了跨境电商平台上。
商家为什么要刷单?
“刷(单)的话,最坏的结果就是被抓,然后被平台封死;但是不刷(单)的话,很有可能就会被其他刷单的卖家或者大卖逼死,甚至在平台上被活活饿死。”某跨境平台的商家如是说。
基于跨境电商平台规则,当买家在平台上用关键词搜索某个产品时,电商平台计算出所有关该产品的页面权重,然后按照先后顺序展现在买家面前。排名越靠前的产品,其曝光率和点击率就会相应越高,订单量也会相对较多;而排名越靠后的产品,则几乎没有被买家看到的可能,也就基本上没有成交的可能。
影响某样产品的排名的指标有几百甚至上千项,其中最重要的三项指标分别是产品的销量、转化率以及好评率。虽然这一算法机制为买家节省了大量挑选和比较的时间,但却在商家中引发了“排名靠前的产品越卖越好,排名靠后的产品越卖越差”的恶性循环。因此,为了提升产品排名,许多商家开始在以上三个指标上下功夫,而“刷单”也由此诞生。
国内首部业务安全图书《攻守道——企业数字业务安全风险与防范》对此的定义是“刷单炒信”。刷单炒信就是店家付款请人假扮顾客, 用以假乱真的购物方式提高网店的排名和销量获取销量及好评吸引顾客,帮指定的网店卖家购买商品提高销量和信用度,并填写虚假好评的行为。通过这种方式,网店可以获得较好的搜索排名,该店铺因为销量大(即便是虚假的)会更容易被买家找到。
书中认为,刷单炒信不仅是欺诈行为,也是一种不正当的竞争手段,既会对消费者造成误导,影响用户购买选择,还会影响平台和市场管理部门统计与决策,带来业务经营风险。刷单炒信已形成一条产业链,涉及商家、黑灰产、刷手、快递公司等多个角色,上下游行业分工更明确。
商家如何进行刷单?
顶象防御云业务安全情报中心分析发现,跨境电商刷单主要有软件刷单和真人刷单两种方式,而执行刷单任务的黑灰产,不仅能够通过刷单赚取商家的佣金,还通过售卖刷单作弊软件牟利。
第一种刷单方式:软件刷单
刷单离不开账号,黑灰产拥有大量电商平台账号。一方面是批量注册的账号;另一方面是通过暗网或非法途径(撞库、爆破等方式)盗取大量已注册的用户账号。
接到商家订单后,黑灰产通过作弊软件进行刷单。作弊软件能够实现从注册到购买的全部操作,包含批量注册、智能养号、批量绑定收货地址、批量绑定信用卡、开通二步验证、直评、留评、点赞、添加心愿单、加购、清购等。根据商家需求,作弊软件可以随机设置浏览轨迹、对点击广告、提问回答、点击图片等操作,最大程度模拟人操作行为。
黑灰产的作弊软件支持多账号在一台设备上同时登录,具有cookie数据隔离,修改浏览器指纹等功能,能够根据登录的额账号固定分配一个境外的代理IP地址,使得每一个刷单账号处于一个虚拟的“独立环境”。
第二种刷单方式:真人众包
真人众包就是动员真实的账号刷单,账户并非由黑灰产操控,而是本人实际操作。黑灰产在各个社交平台建立“刷单群”,Facebook就是重灾区之一。
商家发出刷单需求后,黑灰产便立刻在“刷单群”发送产品链接,安排刷手账号分批次去购买该商家的商品。在刷单的方式上,刷单账户会也有一系列的操作标准,以绕过电商平台的风控监测。例如,在电商平台搜索中商家提供的关键词,然后随意浏览任意商品3到5分钟,再根据商家提供的信息找到本次需要刷单的目标店铺的商品。打开商家指定的商品页面后,继续浏览该商品的详情页面3到5分钟,再进行下单操作。这一系列的操作使得刷单行为变成看似是一个真正有购物需求的用户“货比三家”后的真实下单行为。
根据商家的要求去做购物好评且确认之后,商家需向黑灰产支付一定比例的“佣金”,并给刷单账户“返款”。返款方式也有多种。部分黑灰产要求商家在确认订单后直接“返款”到刷单账户的PayPal,也有黑灰产要求商家把“返款”交给黑灰产,再由黑灰产陆续“返款”到刷单账户的PayPal。
顶象防御云业务安全情报中心特别提醒:刷单违规违法。以刷单为名义的兼职,多是网络电信诈骗诈,会带来经济损失,切勿相信。
平台针对“刷单”商家的处罚
电商平台对于刷单一直保持高压态势。2021年年初,国内很多卖家收到亚马逊的一封官方邮件。邮件的内容为:您的账户有被停用的风险,我们与你联系是因为您似乎违反了Amazon.com的以下一项或多项卖家行为准则要求,影响客户的评分、反馈和评论;操纵销售排名;人为地增加网络流量。
收到邮件后,商家也并没有太在意,以为这只是亚马逊例行公事。没有想到,亚马逊动真格了。2021年4月30日开始,亚马逊开始了第一波大规模封号。
第一个被干趴下的是被称为“亚马逊三杰”的某电商,一家年销售额五十亿的音响电子产品销售公司,旗下606个热卖商品被下架,大量资金遭到亚马逊冻结,损失惨重。5月9日,素有“华南城四少”之一之称的另一家电商,旗下亚马逊店铺的大量链接失效,账号被封。随后知名跨境电商在亚马逊上的大量网店被封,资金被冻结后,这个曾经辉煌的百亿公司落魄到被银行申请破产重整。
有业内人士统计,因涉及刷单虚假评论等问题,多个跨境电商遭遇了大量产品被下架。2021年,亚马逊关闭了约600个中国品牌的销售权限,涉及约3000个商家账号。
平台如何防范商家刷单
要杜绝刷单行为,除了需要商家的自律外,平台的业务安全防控措施同样重要。顶象防御云业务安全情报中心建议电商平台采用全链路的业务安全体系,以有效防范刷单行为。
第一,事前识别
定期安全检测。针对黑灰产使用的刷单作弊软件,客户端可集成安全SDK,定期对App的运行环境进行检测,对于存在代码注入、hook、模拟器、云手机、代理、VPN、root、越狱等风险能够做到有效监控和拦截。
客户端安全防护。跨境电商平台的App和网站,可以分别部署H5混淆防护及端安全加固,以保障客户端安全。
通信传输安全保障。通过对通讯链路的加密,可防止黑灰产在业务通信传输的环节篡改报文数据,保障终端安全检测模块的数据。
第二,事中防范
业务安全策略防控。基于刷单行为的风险特征,电商平台在下单场景接入业务安全风控系统。将终端采集的设备指纹信息、用户行为数据等传输给风控系统,通过在风控系统配置相应的安全防控策略,有效地对风险进行识别和拦截。
风控维度建议:
1)设备终端环境检测。识别客户端(或浏览器)的设备指纹是否合法,是否存在注入、hook、模拟器等风险。通常批量作弊软件大多都存在以上风险特征。
2)用户行为检测。基于用户行为进行策略布控。针对同设备(或同用户)高频下单,同设备关联大量账号,同收货地关联大量订单等异常行为进行检测和拦截。
3)名单库维护。基于风控历史数据,对于存在异常行为的店铺或者买手账号进行标注,沉淀到相应的名单库。在后续的营销活动中进行重点排查。
4)外部数据服务。考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务。
5)算法模型。线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户下单这一场景进行建模,模型的输出可以直接在风控策略中使用。
第三,事后处置
根据业务实际需求,顶象防御云业务安全情报中心提供两种处置建议。
1)静默数据监测。识别到风险后不即刻实时反馈结果给到用户,由后台统一收集沉淀,并进行用户的标签标注。对于存在异常的店铺或买家账户,后续定期批量发起一次认证请求。若无法完成认证的,则无法再继续使用该账户。
2)线上实时反馈。对下单时识别为风险的请求进行实时拦截,直接反馈下单失败等。
第四,防控产品组合
基于处置建议,顶象防御云业务安全情报中心提供两个技术解决方案。
1、设备指纹+实时决策引擎。设备指纹可以针对端上风险进行识别,例如注入、hook、模拟器等,配合决策引擎使用,可以实时发现风险并给予处置。
2、业务安全感知平台(移动版)。顶象业务安全感知平台可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置。
顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品,以及业务安全情报、云策略等服务,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。