專(zhuān)訪DataVisor中國(guó)區(qū)總經(jīng)理吳中：智能反欺詐工具不斷進(jìn)化應(yīng)對(duì)“羊毛黨”

每經(jīng)記者 莫淑婷    每經(jīng)實(shí)習(xí)編輯 梁梟    

DataVisor中國(guó)區(qū)總經(jīng)理吳中 圖片來(lái)源：DataVisor供圖

“新用戶(hù)注冊(cè)立減15元”、“首次下載立領(lǐng)紅包”，在日常生活中，我們經(jīng)常能見(jiàn)到這些針對(duì)新用戶(hù)的APP推廣活動(dòng)。隨著互聯(lián)網(wǎng)發(fā)展，線(xiàn)上營(yíng)銷(xiāo)活動(dòng)越來(lái)越多。然而，大量的線(xiàn)上營(yíng)銷(xiāo)活動(dòng)在給消費(fèi)者帶來(lái)優(yōu)惠的同時(shí)，也給依托互聯(lián)網(wǎng)的“羊毛黨”帶來(lái)更多“薅羊毛”的機(jī)會(huì)。“羊毛黨”通過(guò)大批量注冊(cè)的方式以較低的成本獲得高額的利潤(rùn)。

如今，職業(yè)“羊毛黨”已形成群體化、規(guī)模化的完整產(chǎn)業(yè)鏈，涉及的領(lǐng)域包括金融、電商、社交、游戲，這些職業(yè)“羊毛黨”甚至可以左右一個(gè)企業(yè)的發(fā)展方向。事實(shí)上，“羊毛黨”僅僅是“黑產(chǎn)”（黑色產(chǎn)業(yè)，即利用非法手段獲利的行為）的一部分。除了“羊毛黨”外，手機(jī)應(yīng)用分發(fā)、APP刷量推廣等各種復(fù)雜的新型欺詐層出不窮。那么企業(yè)應(yīng)該如何防范呢？11月2日下午，《每日經(jīng)濟(jì)新聞》記者專(zhuān)訪了人工智能欺詐檢測(cè)公司DataVisor中國(guó)區(qū)總經(jīng)理吳中，了解欺詐現(xiàn)象背后的操作軌跡及企業(yè)的反欺詐思路。

欺詐行為主要集中在四個(gè)領(lǐng)域

NBD（每日經(jīng)濟(jì)新聞）：欺詐行為主要集中在什么領(lǐng)域？

吳中：主要是四個(gè)領(lǐng)域。比如說(shuō)電商領(lǐng)域，像刷單、薅羊毛等就是欺詐交易；移動(dòng)應(yīng)用推廣領(lǐng)域的話(huà)，主要是欺詐性安裝；社交領(lǐng)域的話(huà)，主要是垃圾信息、垃圾廣告；占比較大的則是金融領(lǐng)域，比如說(shuō)通過(guò)虛構(gòu)事實(shí)手段進(jìn)行網(wǎng)貸申請(qǐng)，申請(qǐng)完了之后不歸還。

NBD：可以具體講一些案例嗎？

吳中：金融和電商可能比較好理解，現(xiàn)在舉一個(gè)游戲領(lǐng)域的例子。由于許多游戲公司每年都在移動(dòng)應(yīng)用安裝推廣上進(jìn)行數(shù)百萬(wàn)至上千萬(wàn)美元的投入，它們已逐漸成為互聯(lián)網(wǎng)欺詐分子的主要獲利對(duì)象和途徑之一。隨著一個(gè)用戶(hù)平均安裝的費(fèi)用逐漸增至1美元至10美元，移動(dòng)應(yīng)用推廣安裝已成長(zhǎng)為超過(guò)30億美元的巨大市場(chǎng)。互聯(lián)網(wǎng)犯罪團(tuán)伙通過(guò)組織大規(guī)模的欺詐安裝活動(dòng)，在這不斷增長(zhǎng)的市場(chǎng)空間進(jìn)行大規(guī)模非法盈利。在一般情況下，廣告推廣安裝活動(dòng)的欺詐率平均在10%至20%左右，但在一些極端情況中，有超過(guò)一半甚至全部的移動(dòng)游戲安裝都可能是虛假欺詐性安裝。

出現(xiàn)這種情況的背后，是欺詐團(tuán)伙與各路渠道商聯(lián)手策劃的日益復(fù)雜的欺詐手法。為了成功獲取欺詐性移動(dòng)安裝的推廣費(fèi)用，欺詐團(tuán)伙會(huì)模仿真實(shí)用戶(hù)的行為來(lái)進(jìn)行安裝使用。移動(dòng)游戲公司最初會(huì)認(rèn)為他們購(gòu)買(mǎi)的確實(shí)是“真實(shí)”用戶(hù)，但很快就發(fā)現(xiàn)這些所謂的新“真實(shí)”用戶(hù)在最初下載游戲后，幾乎很少接著玩新下載的游戲。由于欺詐團(tuán)伙廣泛使用一系列復(fù)雜的偽裝方法，移動(dòng)游戲公司很難對(duì)真實(shí)用戶(hù)和欺詐用戶(hù)進(jìn)行有效識(shí)別。

NBD：欺詐團(tuán)伙會(huì)采取什么技術(shù)手段來(lái)模擬真實(shí)用戶(hù)的行為？

吳中：具體的攻擊手段有移動(dòng)設(shè)備模擬器，即在同一個(gè)設(shè)備上模擬大量不同的移動(dòng)設(shè)備；安裝農(nóng)場(chǎng)，即雇傭人力手動(dòng)安裝應(yīng)用程序；惡意應(yīng)用，即在未獲取用戶(hù)許可的情況下，安裝額外的應(yīng)用程序；利用云服務(wù)，即用不同云服務(wù)IP地址來(lái)創(chuàng)建大量的虛假用戶(hù)；匿名代理機(jī)，即利用匿名代理機(jī)在一個(gè)國(guó)家安裝應(yīng)用程序，但在另一個(gè)國(guó)家登陸和玩游戲。

NBD：這些虛假流量會(huì)給企業(yè)帶來(lái)什么影響？

吳中：以企業(yè)出海為例。近年來(lái)很多國(guó)產(chǎn)游戲、電商出海，然而2018年因欺詐導(dǎo)致的營(yíng)銷(xiāo)費(fèi)用浪費(fèi)超過(guò)20億美元，這個(gè)數(shù)字對(duì)于中小型出海企業(yè)而言，可能是致命的打擊。虛假流量帶來(lái)的不僅是直接經(jīng)濟(jì)損失，甚至影響企業(yè)現(xiàn)有的用戶(hù)流量，對(duì)品牌形象產(chǎn)生負(fù)面影響。

不斷更新數(shù)據(jù)模型，與欺詐者動(dòng)態(tài)斗爭(zhēng)

NBD：對(duì)于上述欺詐行為有什么解決方法么？

吳中：現(xiàn)有典型檢測(cè)技術(shù)為黑白名單、規(guī)則引擎、有監(jiān)督機(jī)器學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)檢測(cè)。

前三個(gè)檢測(cè)技術(shù)都是從歷史案例中發(fā)現(xiàn)欺詐時(shí)重復(fù)出現(xiàn)的個(gè)體行為模式。此類(lèi)方法存在一定缺陷，即無(wú)法檢測(cè)到未在訓(xùn)練數(shù)據(jù)中或未被識(shí)別的新型欺詐方式，也不能在損失發(fā)生前檢測(cè)到這些孵化賬戶(hù)，常常是孵化賬戶(hù)發(fā)起惡意活動(dòng)造成損害后才能被發(fā)現(xiàn)。孤立的賬戶(hù)分析也難以發(fā)現(xiàn)協(xié)同有組織的攻擊。

而無(wú)監(jiān)督學(xué)習(xí)檢測(cè)則無(wú)需提供標(biāo)注數(shù)據(jù)，每小時(shí)能對(duì)新發(fā)生的10億數(shù)量級(jí)的事件進(jìn)行分析。它基于對(duì)海量用戶(hù)帳戶(hù)的行為、設(shè)備、IP地址等進(jìn)行高維度用戶(hù)畫(huà)像及全方位的關(guān)聯(lián)和相似性分析，自動(dòng)挖掘出潛在的各種群體性（手動(dòng)操作或基于自動(dòng)作弊腳本的）隱蔽欺詐行為，并在欺詐性用戶(hù)發(fā)動(dòng)攻擊之前進(jìn)行預(yù)警。

NBD：無(wú)監(jiān)督學(xué)習(xí)檢測(cè)的話(huà)需要不斷更新算法和數(shù)據(jù)嗎？

吳中：欺詐行業(yè)有它的特殊性，特殊性就在于它所面對(duì)的是不斷變換的欺詐者，不斷變化的欺詐方式。欺詐與反欺詐是一個(gè)相互的博弈狀況。我們的解決方案是以無(wú)監(jiān)督機(jī)器學(xué)習(xí)算法為核心，分析賬戶(hù)的行為模式和賬戶(hù)間的可疑連接。隨著欺詐團(tuán)伙的技術(shù)升級(jí)和行為改變，我們無(wú)監(jiān)督機(jī)器學(xué)習(xí)解決方案的數(shù)據(jù)模型也會(huì)不斷變化，根據(jù)不同行業(yè)、不同欺詐技術(shù)等增加不同的模型模塊，以便靈活應(yīng)用于不同場(chǎng)景或者階段。