首页新商业情报NBT双11狂欢背后的心理 (双11狂欢购物的真相)

双11狂欢背后的心理 (双11狂欢购物的真相)

🏷️ 新商业情报NBT ✍️ 优质科技领域创作者 📅 2026-03-14T12:28:23+00:00

双十一背后的心理博弈,警惕双11狂欢背后的陷阱

风控和黑产的关系有点像人体组织里面的各种细菌,可能我们并不能很好地把他全部杀灭掉,但是我们的免疫系统可以把他控制在一个预警值内,他就是相对来说就是没什么影响的,超过这个预警值人就要生病。

11月18日,腾讯安全团队在北京举办了一场“腾讯安全双十一媒体沙龙”,由腾讯安全团队的两位行业专家介绍了在热闹的电商交易背后发生的对抗黑灰产的经验和故事。

在腾讯安全高级产品经理江慧敏的介绍中,电子商务目前已经成为所有行业中仅次于游戏的DDOS攻击重灾区。IoT物联网设备也往往会被利用进行DDOS攻击,导致发动攻击的肉机越来越大,目标的服务器因处理不了大量的请求,而最终瘫痪。

另外,遭遇到CC攻击、恶意爬虫,也会导致电商平台在正常大促期间,出现APP白屏等情况。一些恶意攻击会拿到电商平台发送短信的网关接口,利用其向不同的手机号码发送“短信*弹炸**”,导致一些用户在短时间内收到大量验证码短信,给平台的运营带来影响。利用恶意爬虫,一些黑产会在大促的时候收集性价比高的特价商品、秒杀商品等信息,并利用程序进行抢单,导致正常用户难以抢到。

在做好基础安全的同时,电商平台因其业务的特殊性,也会成为羊毛*党**、黄牛*党**的“薅羊毛”目标。腾讯安全团队也同样在业务安全领域付出了大量的努力。腾讯安全总监郭佳楠在分享中就具体介绍了腾讯安全团队如何与黑产相爱相杀。

以下为郭佳楠的分享整理:

大家好,我们腾讯天御是做业务方面的安全防控,主要关注羊毛*党**、黄牛*党**等,相对基础安全来说,业务安全会跟黑产直接对行。

我今天下午的演讲会分为几个部分。第一部分,我们首先讲一下羊在哪里,第二部分我讲一下,如果我是黑产我一般会怎么做。第三部分,如果我在腾讯,我怎么跟黑产对着干。分享一下我们跟黑产相爱相杀的故事。

01|羊在哪?

不管是线下的零售业务,还是线上的零售业务,实际上都面临一个比较大的组织流程的重造。以前零售业务是以场为中心,人货场在场中间进行组织。我们到线下要去一个物理网点,线上我们要去一个专门的网站,或者是去一个APP。现在越来越变成以人为中心,我们很多的电商交易会出现在(更丰富地场景中),比如说大家浏览的文章中会有一些链接可以直接进行交易。

整体来说,以场为中心开始向以人为中心转变,就产生了一系列的变迁。以场为中心,既然我来控场,我的安全会在一个堡垒下面,我对进场的所有业务请求会很仔细地辨别他的安全性。以人为中心,今天的业务走到堡垒外面去了,我不知道我会遇到什么人,我遇到的可能是好人,可能是坏人,我要有更精密的分辨能力,来判断今天是不是可以和这些用户发生业务联系,从安全向风控转型。这个就是羊在哪里故事的源起。

我刚才说整个零售业务要薅羊毛,最重要的前置条件是什么?前提就是得有羊,这也是我们业务安全的前提。我们经常听到有一些场景,比如说XX宝被薅了,XX东被薅了,XX宁被薅了,应该没有人听说过苹果被薅了,为什么?苹果的手机有没有被薅羊毛?为什么羊存在就有薅羊毛的可能性?

苹果的手机一买一卖,不会补贴,也没有任何的营销措施,谁来都是一样的价钱,换句话说苹果就是一个铁公鸡,他没有毛,大家也不能薅他。为什么会听到一些电商平台被薅羊毛了?原因就是在他们的业务组织架构中间,不是一个两两交换的关系。

比如说我买一个东西,这个东西标价5块钱,客户掏5块钱买这个东西,但是平台为了让自己的营收,或者数据增长得更快,往往会补贴两块钱在这个交易中间。这两块钱的营销费用,其实就是真正的羊,是黑产,还有其他的有一些别有用心的人,想要薅的。

今天我准备这个话题的时候,也在想一个事情,我用什么东西来比喻今天的风控和黑产团伙呢?我想了一下,有点像人体组织里面的各种细菌,可能我们并不能很好地把他全部杀灭掉,但是我们的免疫系统可以把他控制在一个预警值内,他就是相对来说就是没什么影响的,超过这个预警值人就要生病。

但是我们要杀死所有的细菌,做到无菌环境成本太大了。我们真正做业务安全是风控,我能够控制他有一个很好的状态。这就是我前面讲的一个部分,羊在什么地方。

02|黑产怎么做?

下面我开始变身了。我是一个黑产,我怎么薅这些羊毛呢?如果是黑产的话,基本上我作弊的手段会有很多,但是万变不离其宗,就是这么三条:第一,欺诈前准备各种物料做准备;第二,在业务上做实施,得到他对应的利益;第三,把对应的利益变现。

做欺诈准备。如果我是一个黑产团伙,对我来说要做做两大部分的准备,还有几个小部分的准备。两大部分准备是什么呢?首先我要准备很多的设备,因为设备是欺诈之母,账号是欺诈之父,我有这些账号可以实现一个人伪装成几万、几十万、几百万用户的目的。

怎么准备很多的设备呢?我用最土的办法,直接在我的电脑上模拟一万台手机,用虚拟机,用各种各样的设备。如果对方的攻防能力强,我就在*市黑**上面收购一些比较差的苹果机器,做一个手机牧场把他养起来。

双十一背后的心理博弈,警惕双11狂欢背后的陷阱

我知道你判断我机器核心的点,看我机器里面每一个号,设备指纹,我就直接把机器ROOT掉,让一台真实的机器伪造成一万台机器。我可能知道你们在攻防的时候看我IP是不是在一个地方,我自己会准备一个秒拨IP的设备。我还知道你们可能会看我的地址信息,我用地址软件不停的变化。我用很小的成本,复制很多设备的目的,就做完我前面欺诈准备的第一部分,准备设备。

因为很多的电商网站,或者其他的业务都是靠手机号注册的,下一步我会准备手机号。今天在中国所有的手机号都是实名制,一个实名的手机号很贵,准备不起来,也比较麻烦,如果不能产生规模经济,黑产也不会干这个事。

怎么准备这些虚假的,或者黑产的手机号呢?会有几个方法。第一个方法,我跑到越南去买,因为中国和越南的边境上面有一些手机号不是实名制的,但是可以流到越南去,我就去买。第二,我可以买虚拟的小号,现在*市黑**上还流通了一些虚拟号的号段,这个可以买。第三,我还可以买IoT设备的号,最重要的就是只要可以收一个短信就可以。

反正就是经过我这一套组合拳以后,我有设备了,我有账号了,我可以防你们判断我的IP,防你们判断我的地址,我就可以干活了。我怎么干活呢?我每天研究各种各样网站上面的营销活动。我最喜欢什么活动呢?就是发优惠券的活动,不管是有门槛的,还是没有门槛的,一旦被我发现这个地方有优惠券,特别是新人领券,就拼命的注册,把券领了,就是第二步欺诈实施。

我也不会自己一个一个点开注册,会开发自动化的脚本工具。看你在第几个页面,然后点这个页面的中间一张就可以领这个优惠券,把我的小号、设备全部都放在一个自动化脚本里面,只要你这个业务开始让我领,我就会拼命的一次性领百八张都有可能。这是领券。

现在我变成一个有很多的账号,每个账号里面都有一个新人优惠券的大佬,我得实现变现,才能走上人生的巅峰。我怎么完成变现的动作呢?第一个点,我直接把这个账号在电商平台上卖,假如我的成本是一分钱,我卖两块钱,别人付钱就可以花他,我就赚了两块钱。这是第一种办法。但是这个办法比较麻烦,为什么呢?因为我自己还得开一个店才能卖这个。

第二是平台类业务,就比如说做酒旅业务的OTA的网站,他是专门做酒店或者机票预定的,他发新人优惠券也被我看到的,全领到我手上,几万份。我怎么样快速的把这个钱变到我的口袋里来呢?中级的黑产会跟旅行社合作,虚买虚卖,去买根本没有的产品,拿平台的优惠券到旅行社上套现。

高级的黑产会自己在上面开一个假的旅行社,弄一个假的酒店,将我所有的优惠券都订我这个酒店的房间。最后结账的时候,平台就会把补贴的钱放到我的口袋来。因为这样做都是我一手搞定,不用麻烦别人。这就是变现的手段。

当然,黑产的做法还有很多。比如说双十一的时候我开一个糖果店,我开一个苹果店,我觉得你一直压着我做生意,这样不好,怎么办呢?我找一些黑产拼命下你这边的订单,让真正的用户下不成单。这就看不同的利益在哪里。

还有一些黑产跟店主是同一个人,他怎么干呢?我刚刚在某宝上面开了一个店铺,我的名气也不大,我的成交额也不多,这样就会影响到我店铺被搜索到的概率,也会影响到客户对店铺的信任度,一看一星的卖家,比不上五冠的。我自己就伪造一个商品,找一些刷单的,然后卖给他,让他们给我好评。

整体黑产他的行为是万变不离其宗,就是这三条,准备的时候各种各样的办法,基本上是攻防,你有这个矛,我有这个盾,彼此升级,实现我的目的。在这么多纷纭复杂的表象下,我们怎么看破黑产的本质呢?黑产的主要变现手段,就是通过伪造设备、真机假人、真机真人假行为、套利团伙真人真行为。他们伪造各种各样的设备去领券,用手机牧场、真机假人去薅,假人防得也比较好的话,就由真机真人做假行为的动作来完成。

说几个双十一和双十一之前我们跟一些合作伙伴一起配合打掉的案例。

双十一背后的心理博弈,警惕双11狂欢背后的陷阱

这是一个厂商,他在今年8月的时候做了一个新人红包的案例,他用老用户邀请新用户,老用户和新用户都可以得到优惠券,以老带新,能够实现对应的营销目的。之前这也是一个很常见的业务,做的也还算不错。

但是他在业务开展的过程中间,有一天突然跟我们告急发现他的新用户发券数量莫名其妙地涨了十几倍。他就找我们业务安全的同学跟进这个问题。当时我们很仔细地帮他看了所有的链路,我们也觉得没有问题,因为领券要实名认证,门槛很高。

但是就在我们帮他梳理这个事情的时候,突然发现这个电商平台有两种客户,一种是个人客户,一种是企业客户,个人客户领券的时候要求实名认证。但是他们自己做业务,有的时候一个业务放下去需要很多部门执行,其他部门执行的时候就走样了,把老带新的活动放到了企业用户里面去,因为企业本身是个账号,并不用完成实名认证,所以他就很容易做老带新的动作。

然后,被黑产发现了这样的入口,就有大量的黑产通过企业用户的邀请入口,突破了邀请机制的环节,在做这个新老客户绑定的动作。同时黑产早期也做了各种注册登陆的行为,在做大促的几天,基本上一天的新增用户是210万,其中40%是黑产。当然,我们后面上了很多措施帮他防住了这些事情,这是分享的第一个故事,红包。

第二个故事,是一个高端酒的故事。有一个厂商得到了150吨的茅台配额,很高兴,这个高端酒太棒了,影响力也很大,不管是老用户维护,还是新用户拓展,都很适合。因为这个酒售价是1499元,市场上面一般卖2000元多,这个地方实际上存在一个比较大的差价,很多人就很有购买冲动。

他们就想了一招,在我这个商城上面买这个茅台酒,我就按照1499元卖给你,但是你必须要兑换资格。这个资格是我们客户设置了一个XX通的积分,要5000积分才能有资格卖这1499元的茅台,5000积分要在商场上买5000的商品才能完成。客户做完这个门槛设计以后觉得很好,商品比较有吸引力,怎么也得带来很大的营销的收入。

但是他们做完这个业务以后,发现并没有那么多人得积分,却总有人用积分换他们茅台酒,他不知道是什么原因。客户也是找到我们,我们很仔细的帮他梳理了所有的业务,最后发现的点是什么?这个厂商是一个很大的国企厂商,他们有很多的分支业务,有线下的,有线上的,甚至还跟有航空公司有关系的。中间就有一个业务是,这个厂商的积分可以通过一些东西,比如酒店积分、航空里程,来兑换。

设置的5000积分门槛,因为关联来关联去,就被黑产很快找到漏洞突破了。黑产买了一些航空里程的积分、酒店的积分,来换他这个积分,用这个积分自己做了一个抢购的自动化脚本,然后批量的下单,为了能够把酒提回来,还自己做了一个众包的分单软件。黑产在市场上面卖2499元,中间买积分20块钱,抢购工具200块钱,100块钱被牛头赚了,100块钱被黄牛赚了。

消费者不能够在这个商城上面抢对应的茅台酒,反而是被底下的黄牛用他创造的各种手段抢了。这是我们第二个故事茅台。

第三个故事刷单。电商都有刷单三连击,如果他是一个新来的商家,他有很强的冲动,给自己刷单,发空包裹,然后让自己的好评、销量上去。这是最初级的,就是刷好评,刷销量。

很多的电商平台可以返现,比如每个账号返现500块钱人民币。他们自己开一个商店卖东西,为了伪装得好一点,一般卖课程、虚拟卡等可以空中发货的东西。每个人在那个地方刷25000块钱,最后返现结账,这25000块钱就是左口袋到右口袋,最后掏了平台2%的返现费,中间再付一点手续费给刷手。这是第二种刷返现。

第三种在平台上面他是真实刷的,其实卖一些比较多的付费课程,他通过信用卡来刷,商家把钱返给他,这样比他直接在信用卡上套现的手续要低很多,这些行为其实是有点扰乱平台的正常运营秩序,甚至扰乱金融秩序,是不被允许的。

03|腾讯怎么防?

双十一背后的心理博弈,警惕双11狂欢背后的陷阱

刚才讲了黑产是怎么干的,我再讲一下我们天御是怎么做的。我们腾讯天御整体来说是业务安全方面的产品输出者。我们会输出一整套业务安全的防控体系,这是我们的PAAS平台。我们在这个地方有特别的设计,其他的友商所有的决策都在同一层上做决策,我们天御不一样,我们把他分成可信层、风险层、决策层、保障层四层,这是第一点。

第二点,我们可信层的设计是比较强的,我们认为一个正常的用户下单,一定在自己常用的IP,常用的设备,常用的网络和常用的地址之间做常见的行为,这样才是可信的。除此之外的所有行为都不是可信的。我们在这个事情上面,用9亿账号、30亿设备,在云上面画了一个大的知识图谱,在里面构建可信网络。今天黑产的各位小伙伴们,他们都很难通过腾讯的可信成本判断。

基本上过了这一点,我们认为85%的欺诈行为,可以在这一层被识别,剩下15%会在风险层级别,决策层做最合适风险判断,最后是保障层,综合会形成整个黑产攻防体系的闭环的流程。我们有一些轻量化的方案,比如说我们的账号安全保护、人机识别、营销活动保护等等,我们通过腾讯的大数据、AI算法,帮他发现是不是风险的请求,风险等级有多高,来做这块的判断。

我上面举的这些例子,其实都用了我们对应的不管是平台还是产品,很好的帮他们做了对应的业务安全的防护,也帮他们最小化的减少了止损。

©新商业情报NBT原创内容 转载请联系授权