城市消费券,拒绝恶意爬取

news2024/12/29 1:41:33

作为提振经济的重要把手,城市消费券的作用不言而喻。公开数据显示,2022 年全国各地公布的消费券累计超 100 万亿,在撬动各地消费的过程中起到了举足轻重的作用。

然而,仔细分析各地的核销率就会发现,有很大一部分消费券可能落入到了不法分子的口袋中。

根据顶象近日发布的《城市消费券安全调研报告》(以下简称《调研报告》)显示,各地消费券核销情况不一。

6 月 24 日,杭州发放 2022 年第二期数字消费券。4 天之后,核销率不到一半,为 49.1%。核销率同样在 50%上下徘徊的,还有 6 月湖北首批“惠购湖北”消费券。

此外,郑州5月发放的餐饮消费券,核销率只有45%。

整体来看,各地的平均核销率超过80%。但从目前公布的各地核销率情况来看,核销率却不甚理想。

《调研报告》显示,15 个地区中,核销率在90%以上的仅有深圳、成都和宁波三个城市,其余城市核销率都徘徊在 50%~70%之间。不难猜测,未核销的消费券很大程度上可能已经成为不法团伙牟利的工具。

与此同时,由于消费券发放的平台主要在支付宝、微信、云闪付及建行生活 App 等各个大平台发放。各大平台自身有较强的业务安全及风控能力,各地的消费券发放规则上,获取消费券的用户基 本都需要完成实人认证,且需要开启相应的线上支付功能,已经有较好的风控能力。

显然,常规的批量注册、软件哄抢对于黑灰产而言已经不适用了,那么,黑灰产们又是如何批量盗取消费券的呢?


利用机器爬取获取大量消费券信息

《调研报告》显示,为了绕过消费券的发放规则,黑灰产通过大量招募真实身份、真实账户的的“刷手” ,然后通过社群,下达任务,组织进行统一操作和套现。从目前收集的情报来看,现阶段黑灰产在整个消费券套现的链路中扮演中介的角色,赚取相应的佣金,主要采用人工抢和机器抢两类方式进行。

其中,人工抢券则利用爬虫抓取大量信息。

具体流程如下:

第一步,人员招募。黑灰产在国内外各个社交平台建立消费券组群,发布隐晦的广告信息,招揽“刷手”入群。另一方面,有套现需求的消费者也可以各个社交平台,通过关键词搜索的方式快速找到相应的消费券套现群。

第二步,收集信息。在招募一定数量级的参与者后,黑灰产通过人肉线上搜索或机器爬虫的方式,抓取线上各地政府发放消费券的发布信息。

第三步,消费券整理及业务漏洞挖掘。针对汇总收集的消费券信息,黑灰产依据发券时间、地点、发布 App、消费券金额、使用方法等进行统一分类、整理,并分析消费券领取和使用中的业务 漏洞,以便于进行哄抢。

第四步,下达任务。通过社群,黑灰产下达抢券任务,引导刷手在指定的时间内集中哄抢消费券。

这样的行为不仅破坏了各地发放消费券的初衷,也扰乱了市场公平,造成了极坏的影响。

那么,如何防范城市消费券被恶意爬取呢


顶象防范恶意爬虫的有效措施

机械工业出版社出版的《功守道—企业数字业务安全风险与防范》一书中,认为恶意网络爬虫会带来数字资产损失、用户隐私泄露和扰乱业务正常运行等三大危害,并将“恶意网络爬虫”列为十大业务欺诈手段之一。

此外,爬虫开发制作门槛比较低。很多技术论坛社区有关于爬虫开发、研究、使用介绍,市面上也有很多专业的爬虫书籍。只要掌握Python编程语言,按照论坛、社区和书籍上提供的爬虫教程和实操案例,同时根据爬虫技术爱好者分享出来的平台、网站、App的API接口信息,就能够快速搭建出一套专门的爬虫工具。

基于城市消费券背后的爬虫,顶象认为可从以下几方面入手:

加强平台风险环境监测。定期对App的运行环境进行检测,对于存在代码注入、hook、模拟器、云手机、root、越狱等风险能够做到有效监控和拦截。

保障客户端安全。App和网页,可以分别部署H5混淆防护及端安全加固,以保障客户端安全。

通信链路强加密。Web端的JS、移动端的SDK均需要经过加固保护,提高攻击者逆向的难度。

策略层面建设基于场景的反爬策略。比如同设备关联的IP数异常、爬虫IP黑名单封禁、爬虫风险设备识别等等。

处置层进行风险分层,并下发不同的处置指令。比如系统判定为无风险/低风险时,则放行;系统判定为中风险是,则需进行人机验证;系统判断为高风险时,则立即阻断。

数据的分析总结层面,根据数据报表进行监控回溯,查看历史触发情况,进而对反爬策略进行优化升级。

在业务侧,针对批量爬虫的风险特征,可接入业务安全风控系统。同时将终端采集的设备指纹信息、用户行为数据等传输给风控系统,通过在风控系统配置相应的安全防控策略,有效地对风险进行识别和拦截。

1)设备终端环境检测。识别客户端(或浏览器)的设备指纹是否合法,是否存在注入、hook、模拟器等风险。通常批量作弊软件大多都存在以上风险特征。

2)行为检测。基于设备行为进行策略布控。针对同设备高频查询,同IP高频查询,相同IP段反复高频查询的请求进行监控。

3)名单库维护。统计基于风控历史数据,对于存在异常行为的账号、IP段进行标注,沉淀到相应的名单库。对于名单表内的数据在做策略时进行分层,适当加严管控。

4)外部数据服务。考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务,对于风险进行有效识别和拦截。

同时,验证码和设备指纹也是反爬的重要手段。

验证码能够阻挡恶意爬虫盗用、盗取数据行为,防止个人信息、平台数据泄露。当某一设备或账户访问次数过多后,就自动让请求跳转到一个验证码页面,只有在输入正确的验证码之后才能继续访问网站。但是设置复杂的验证码会影响用户操作,带来负面的体验感受。

设备指纹及时识别注入、hook、模拟器等风险,风控引擎对注册、登录、领取等操作进行风险实时识别判定;智能模型平台帮助社交媒体构建专属风控模型,由此构建多维度防御体系,有效拦截各种恶意爬虫风险,且不影响正常用户体验。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/25559.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Zookeeper系列文章—入门

目录 前言 测试 创建节点 更改节点 删除节点 前言 遵照前文已经对Zookeeper进行了安装 linux安装Zookeeper3.5.7详解_兜兜转转m的博客-CSDN博客 接下来我们从整体架构方面了解一下Zookeeper: ZooKeeper 是一个树形目录服务,其数据模型和Unix的文件系统目录树很类…

安装完Vmware-tools后找不到共享文件夹的解决办法-Ubuntu 18有效

首先确认VMware-tools安装好了 如果VMware-tools一直灰色,可以根据这篇文章的方式解决:解决VMware Tools灰色的方法 设置共享文件夹 如果找不到共享文件夹,可以先尝试这个方法:共享文件夹设置方式 特殊情况解决方法 在VMware…

Java:阻塞队列BlockingQueue与应用场景

目录 阻塞队列 BlockingQueue的常用方法 生产者消费者应用场景 阻塞队列 阻塞队列BlockingQueue继承自父类Queue,该队列是线程安全的,可以安全的与多个生产者和消费者线程一起使用。 与阻塞队列相对的,存在“非阻塞队列”的概念&#xff0c…

Python采集某购物软件数据信息,轻松拿捏千元外包项目

前言 嗨嗨,想必知道外包这个词的人应该不少吧 话说,接外包有多的也有少的,少的几十,多的emm上限我就不说了,嘿嘿 今天要不要来看看一个千元的外包项目? 是采集某购物软件的一些数据信息 咋说&#xff…

Excel常用图表,看看哪个还不会?

图表是指可以直接展示数据关于时间、数量等关系,对知识挖掘和信息直观生动感起关键作用的图形结果,是对数据关系进行形象“可视化”的手段。所以将数据转换为图表能使数据更为直观。 常见图表 Excel为用户提供了10几种图表,包括柱形图、折线…

【网安神器篇】——Crunch字典生成工具

作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座…

小啊呜产品读书笔记001:《邱岳的产品手记-07》第13讲 无用却必要:产品规划【上】 第14讲 留白与节奏:产品规划【下】

小啊呜产品读书笔记001:《邱岳的产品手记-07》第13讲 无用却必要:产品规划【上】 & 第14讲 留白与节奏:产品规划【下】一、今日阅读计划二、泛读&知识摘录1、第13讲 无用却必要:产品规划【上】2、第14讲 留白与节奏&#…

Linux set 命令的使用方法

Linux set 命令的使用方法 set 语句是内置的 shell 命令,可以显示并设置 shell 和 Linux 的环境变量。在这篇文章中,我们将尝试使用 set 命令,并且进行一些简单的剖析。 预备工作 请登录您的终端,或者打开虚拟机并且连接&#x…

出海淘金TikTok,正确姿势是什么?

提起海外版抖音TikTok,相信大家并不陌生。TikTok在继美国封禁风波之后,虽然在美国市场的扩张受到了一定阻碍,但并不妨碍它的电商领域在英国市场以及东南亚市场混得风生水起。据统计,TikTok目前是Apple App Store上下载次数最多的应…

显示DataFrame中每行(或列)中,每个位置以前出现过的最小值:cummin()函数

【小白从小学Python、C、Java】 【计算机等级考试500强双证书】 【Python-数据分析】 显示DataFrame中每行(或列)中 每个位置以前出现过的最小值 cummin()函数 选择题 下列说法错误的是? import pandas as pd myDF pd.DataFrame({"A":[5,2,6], "B":[9…

通用后台管理系统前端界面Ⅸ——数据表格渲染及处理+前端分页

1、找 在页面添加table表格&#xff0c;从element-ui官网查找&#xff0c;包括数据一起复制过来&#xff0c;查看显示没有问题后&#xff0c;把tableData清空为空数组。 <template><div><el-table :data"tableData" height"auto" border …

智慧燃气解决方案-最新全套文件

智慧燃气解决方案-最新全套文件一、建设背景二、建设思路三、建设方案四、获取 - 智慧燃气全套最新解决方案合集一、建设背景 近年来城市燃气取得了巨大的发展&#xff0c;我们在享受清洁能源带来方便的同时&#xff0c;也带来了新的问题&#xff1a; ● 居民用户数量的大量增…

想知道如何图片转文字?这几个方法你别错过

工作中我们经常要处理很多含有文字的图片&#xff0c;并且大多数时候我们都需要里面的文字内容&#xff0c;如果你一个一个对照着码出来的话&#xff0c;这是很费时费力的工程&#xff0c;其实我们可以想办法将图片内容转换成文字&#xff0c;然后直接复制就可以使用了。那么你…

第十章:字典树(trie)与并查集

第十章&#xff1a;字典树&#xff08;trie&#xff09;与并查集一、字典树&#xff08;trie&#xff09;引入1、什么是字典树&#xff1f;2、思路分析3、复杂度分析4、模板&#xff08;1&#xff09;问题&#xff1a;&#xff08;2&#xff09;模板&#xff1a;&#xff08;3&…

vscode开发高频、通用插件集合(精选15个)

vscode开发通用插件集合1.Live Serve2. Chinese3. GitLens4. Color Highlight5. Highlight Matching Tag6. any-rule7. Time Master 或 Code Time8. Vetur9. ESLint10. Vue-format11. ENV12. background13. Code Runner14. Local History15. Postcode此文仅是本人多年的一些经验…

在全链路追踪中加入对方法(Method)追踪

在全链路追踪中加入对方法(Method)追踪 全链路追踪主要是在微服务场景下&#xff0c;实现了服务和服务之间的调用链关系。 这次尝试一下在单体应用中&#xff0c;怎么在全链路追踪技术中加入对方法(Method)追踪。 单体应用是用Springboot开放的一个简单CRUD应用&#xff0c;全…

.NET 企业基本通用权限框架系统源码

源码分享&#xff01; 系统介绍&#xff1a; 1、组织机构多级树型显示&#xff0c;各级部门从属关系一目了然操作便捷 2、用户所有的权限最终分配给用户&#xff0c;如果按用户去分配权限会把系统管理员给累死&#xff0c;系统中先建立角色&#xff0c;角色中再分配权限&#x…

一种词库的比对、保存方式

一种词库的比对、保存方式 词库以树状链表存储&#xff0c;示意图如下&#xff1a; 对于词库&#xff1a;&#xff5b;A,AB,ABC,ADE&#xff5d;可以按以下方式存储 注&#xff1a;每个链表在末尾添加\0表示结束 1 数组形式存储的空间复杂度为O(N^2) 即O(N*M) -N为敏感词长…

vscode配置linux私钥远程免密登录

安装romote-ssh 将linux下的 ssh-keygen -t rsa 生成的密钥id_rsa放到windows的目录下&#xff1a; 在vscode中配置文件路径&#xff1a; 修改配置文件的权限为666&#xff1a; chmod 666 id_rsa_179

电脑录屏快捷键是什么?电脑录屏是什么键

​在日常的生活之中&#xff0c;电脑录屏是比较常用的功能。有些小伙伴知道如何使用电脑自带的录屏软件&#xff0c;可普通的操作步骤实在是有些繁琐&#xff0c;想要通过录屏快捷键&#xff0c;快速进行录屏操作。那么电脑录屏快捷键是什么&#xff1f;电脑录屏是什么键&#…