发布时间:2023-03-14 12:00:01源自:https://www.it-th.com作者 :it谈话网阅读(234)
在业务安全领域,有一个比较重要的分支是营销安全,就字面意思而言,营销安全主要针对的是企业的营销领域,由于现在信息互联网化越来越普遍,且企业之间的竞争力也越来越强,越来越多的企业将业务从传统的线下模式转为线上模式,同时原先线下的营销活动也转为线上营销。于是我们就看到各种类别的营销活动,如大家所熟知的会员类、传播裂变类、优惠券类、游戏类等等,同时也看到业务利用各种数据分析或者模型来辅助达成目标,但实际上真的拉过来的新用户是真的用户吗?或者说从数据的角度来讲,这些数据都“干净真实”?
近几年大家都多多少少听过薅羊毛这个词,其背后实际存在一条产业链,俗称黑产,他们始终在暗处盯着各家公司的营销业务,一旦嗅出利益或者漏洞,会通过各种方式获取廉价资源,比如IP、手机号、证件号、设备数据,并利用这些资源伪装成线上真实的用户数据,通过参与营销活动来骗取公司的营销利益。整个黑产链有明确的上、中、下游的分工,上游主要是一些技术型的输出,也就是一些懂技术的编程人员负责一些软件的输出,比如打码平台、改机工具等,中游主要负责从卡商或者其他第三方获取资源,比如常规需要的认证三要素手机号、身份证、姓名等,下游的主要负责与各个公司对接,也就是将数据“打通”到各个业务线,最终获取利益,当然这还不是最后一步,最后还需要销赃,也就是如何快速脱手这些非法的利益。
举个简单的例子,某家公司需要通过拉新来获取新客源,从而进一步扩大的市场份额,黑产可通过从黑市购买的手机号(实名注册的号码或者虚拟号码)、证件号、银行卡号,然后利用接码平台,批量注册大量新用户,这个时候如果业务方只关注增量规模指标,就很难发现数据背后的猫腻,但如果关注订单转化率,就会发现转化率这个指标并没有达到预期的增长,而营销活动的目标人群也并没有受益很多,因为主要的利益还是让黑产截取了。以上只是简单地描述,实际真实情况远远要复杂得多。正常来说,一家营销业务完善的公司会包含业务安全体系,会从营销活动的安全评估、到上线的事前、事中、事后再到最后的闭环调优迭代,都是完整且有序的,换句话说,业务安全是为整个业务健康正常运转提供强有力地支撑。
当营销策划敲定后,为了确保营销活动能够按照业务方的目标方向正确执行,业务安全团队需要对整个活动做一次评审布控,整个流程可简单分为8个部分,当然根据不同的业务类型以及公司规模可有所差异。
调研评估的首要重点是确保营销业务无重大安全缺陷,这里的无安全缺陷指的是活动设计要有界定范围,比如是否确认目标人群、是否设置参与门槛,这个是安全评审的重中之重,因为如果这样的缺陷存在,则风控设计再完美也无回天之力去对抗黑产,例如之前拼多多和星巴克的无门槛券。
情报搜集包含两部分内容:对本活动/本公司的情报搜集以及对同行同类业务的搜集,主要关注黑产使用的技术手段以及相关资源数据的特征记录。
风控的基础也是数据,在数据充足积累的前提下才能有效地识别风险,因此如何埋点、埋哪些点是这一步的关键点。对于埋点,一般来说可参考正常用户参与活动的整个行为轨迹来埋点,比如正常用户的轨迹是下载、注册、登录、浏览、参与活动、兑换,那可在这6个地方进行埋点对于具体埋点的数据,主要需依据风控人员对风险类型的理解和策略的设计来挑选。
最早的风控是从名单/标签识别开始的,虽然现在已经进入智能风控,但该方法依然直接有效,主要根据不同的风险类型选择适合的名单/标签即可。
规则策略制定需要遵循三点:简单、有效、易守,这个要点在实时对抗过程中更为突出。简单的意思是规则策略尽可能容易计算和调整,每一条规则策略的背后都是决策引擎在做海量计算,因此在制定时需要考虑到性能和计算效率有效的意思是能从准确度和覆盖度两方面有效识别风险易守的意思是不容易被黑产识别和绕过另外,在营销反欺诈里,可通过用户画像、评分模型、图社区模型等有效识别异常用户,其中通过设计用户画像的标签可协助风控人员识别异常用户,评分模型则会对用户的行为做不同的风险评级,图关联模型则可有效识别用户所在的社区以及社区大小,以上这些模型都可以有效识别诸如羊毛党之类的异常用户。
预警主要便于风控人员及时发现异常攻击,因此这个环节的重点是准确有效,可通过模型进行相关指标的预测。
与业务的事中监控类似,业务安全部门同样需要在事前准备好看板,这个里面会涉及与风控相关的指标,比如风险识别率、不同决策的分布等等。
处罚机制是风控设计的一个重要环节,因为会直接影响用户的使用体验,因此此环节需要与业务部门达成一致方可实施,目前行业内比较通用的处罚手段有三种:打标签、挑战、惩罚。
当营销活动正式上线时,风控部门一方面需要与业务部门保持信息同步,比如库存的消耗,另一方面需要关注风控指标的变化,当风控预警产生后,需及时快速地分析、挖掘这些变化背后的原因,并快速调整策略与黑产继续对抗。
在这个过程中,风控部门需要搭建针对营销活动的风控指标体系,形成可视化工具以及预警搭配使用的机制,当预警产生后,可通过指标数据的变化快速感知风险,比如某个渠道的参与营销活动用户量激增后,其他关联指标比如风控决策结构、IP结构是否发生变化等等。
黑产感知风控拦截后会试探用各类方式去突破风控,比如调整发送频率、增加作案工具等,对于短期的营销活动,需要风控人员具备快速分析数据的能力,能从海量数据中挖掘数据的异常特征,并转化为规则策略快速调试上线对于长期的营销活动,可通过社区关联、情报信息以及业务反馈不断提高对抗效率。
当活动结束下线后,业务安全团队需要根据此次产生的案件特征做总结和复盘,主要分为三点:
黑产攻击营销活动的目的基本都是为发放的利益而来,通过追踪到的利益最终消费端,可知本次活动黑产的获利点概况,为业务后续的活动策划提供参考信息。
每次攻击的特征都需要总结并归档到案件库的原因有两点:一方面当产生客诉时,便于业务部门溯源被拦截的原因,另一方面有助于事后分析风控的效果,并为研究黑产的技术趋势提供参考样本。
规则策略的调优要靠事后的正样本去反哺,这些正样本可以来自客诉、各类决策验证结果、业务的反馈以及情报信息,可以调整新的特征、维度、阈值等,总之这一步是风控事后的关键步骤。
营销安全是一个需要持续知识迭代更新的领域,不仅因为其与快速更新的互联网营销紧密关联,而且背后的黑产链也在不断研发新的攻击和对抗工具,自知“路漫漫其修远兮,吾将上下而求索”,以上文字仅是本人在这个行业里几年沉浮的浅薄经验,后续也会陆续将所思所得给大家分享出来。
-END-
欢迎分享转载→ 漫谈营销安全