2022年度虚假流量白皮书

2022年度虚假流量白皮书2022AnnualFakeTrafficReport2022@GEETEST2022日長 ， ⑥GEETEST■ ■IVp ■•;此白皮书基于极验十年来覆盖全球区域的行业数据，及相关行业报告信息，通过分享极验多年来对抗黑灰产的行业了解与实践，以及极验作为虚假流量对抗领域先驱者的独家经验，与行业共勉。TOC\o"1-5"\h\z\o"CurrentDocument"虚假流量定义及分布 01\o"CurrentDocument"虚假流量对各行业造成的欺诈风险 05\o"CurrentDocument"虚假机器流量常见伪装及攻击形式 19\o"CurrentDocument"极验的对抗形式 21\o"CurrentDocument"虚假流量对抗实战案例 25\o"CurrentDocument"行业预测及虚假流量未来趋势 29<2022年度虚假流量白皮书》完整版扫描右边二维码即可下载Copyright©GeeTestInc.AllRightsReserved.2 2 2022年度虚假流量白皮书 @GEETEST2 2 2022年度虚假流量白皮书 @GEETEST虚假流量定义及分布虚假流量定义虚假流量指的是黑产团队为获得利益，在未经站点允许的情况下，通过自动化脚本，虚拟IP,虚拟设备等途径，在互联网中模拟真实流量，高效执行大量的简单化任务，来非法获取数据信息利益的机器流量，其中最常见的是网络爬虫机器人。其对网站主的负面影响主要包括：占用网络带宽资源，攻击网站获取商业信息内容，盗刷短信轰炸攻击，模拟真实用户进行流量欺诈等。阻止机器流量主要通过全自动人机图灵测试——“验证码”技术来识别用户。虚假流量已经成为互联网时代信息化数字资产最大的威胁之一，据极验最新行业数据统计，各个行业都有较高比例的虚假流量存在，机器流量最为泛滥的区块链行业，某企业机器流量验证比例高达85.85%,全网机器流量占比64.05%,机器流量占比超半数，这一现象对于企业的运营决策和风险预估有着重大的影响，忽视流量欺诈问题可能会对企业造成间接的运营失误困境以及直接的经济效益损失问题。基于“人机对抗”的产品理念，极验搭建了一次真实的活动营销场景——发福利引流，吸引羊毛党与真人同时抢夺用户福利，以体现机器流量在真实活动中的欺诈场景。领奖情况图表2022-10-242022-10-262022-1D-282022-10-300领奖情况图表2022-10-242022-10-262022-1D-282022-10-300?—2022-10-22此活动只通过公众号渠道发布，通过社交裂变的方式进行传播。最初黑产只占极少部分，几乎所有的福利都发放到了真人手中，等到黑产注意到此次活动，绝大部分奖励都被黑产拿走。10月25B,参与抽卡的黑产数量只占抽卡总数的2.36%,但被黑产领取的奖励却占奖励总数的63.2%O可见黑产拥有极高的攻击效率。而在10月27日增加防护手段后，黑产领奖的比例骤降。以该活动数据估算，忽视机器流量欺诈至少会造成60%以上的业务运营损失。

虚假流量地域分布虚假机器流量在不同区域省市中，占所有流量的比例也存在一定差异，与当地互联网发展水平，经济发展水平等因素有一定的关联性，从极验近半年的机器攻防中得到以下数据。■占比此数据为机器流量总量排名TOP10的省市。数据显示，机器流量占比最高的地区在北京，占比接近百分之70%,其次是上海。北京作为重要的经济、政治中心，其地区所属互联网平台的流量中虚假流量占比极高，一方面是因为黑产的趋利性，会自动流向互联网行业发展比较成熟的地区，北京作为国内互联网行业最发达的城市，自然首当其冲。而上海地区作为又一重要的经济枢纽城市，具备发达的互联网行业基础，有着虚假流量滋生的天然土壤，此外作为重要的金融中心，数字金融欺诈问题也屡屡发生。2022年4月3日最高法中国司法大数据研究院发布的《金融诈骗司法大数据专题报告》中，广东福建由于制造业寒冬导致电信欺诈高发，稳居榜首，上海紧随其后成为金融诈骗的高发地区，因此上海也是虚假流量占比极高的城市之一。常见黑产业务攻击场景一、恶意机器流量欺诈机器流量指的是互联网中爬虫程序、自动化脚本程序、模拟器等非真实用户带来的流量，通常分为正常机器流量(GoodBot)或恶意机器流量(BadBot)。危害互联网业务安全的主要是恶意机器流量，这部分流量会通过伪造真实流量对一些网站，程序进行内容截取、业务攻击以及流量灌水等操作。极验基于+年来多行业，全渠道覆盖的数据，得出以上市场流量占比。机器流量占比共64.05%,其中大部分为恶意的欺诈机器流量，占比52.12%,这部分流量会无效占用网站带宽，并且侵占平台的用户资源，影响正常的运营环境。而真实用户流量占比35.05%,在所有流量中不足一半，仅占3分之1左右。在网站不加防护的情况下，访问流量中真人的比例将远低于机器流量，网站更像是在为黑产提供“服务”，被欺诈流量操控平台环境。二、 撞库攻击“撞库”指的是黑客通过收集互联网已经泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站，得到一系列对应可以登录的账号。数据隐私泄露问题一直是互联网安全的一个焦点问题，基于账号信息泄露，黑产可以通过“撞库”攻击高效获取有价值的平台账号，进而夺取账号内数字资产，通常各站点会设置风险操作二次验证的方式来核实用户身份。撞库攻击基础就在于“拖库”，拖库原指数据库中的术语，从数据库中导出数据。在网络安全领域专指的是黑产黑客利用Web应用漏洞、Web服务器漏洞、木马攻击、XSS劫持等方式窃取用户数据，然后通过自动化程序来进行撞库攻击。此外也有黑客将通过入侵网站获得的账户信息，通过技术手段将这些账户信息分类，然后通过“洗库”的方式售卖变现，形成黑产的一种交易链条。互联网数字资产已经与许多人的真实资产进行了深度绑定，账户安全也不止威胁到了企业的运营安全，也威胁到了各个平台上用户的资产安全，如不进行有效防护，会极大地影响到用户信任度与安全感。三、 短信轰炸短信轰炸指的是，一般不以直接获取利益为目的，而是基于攻击竞争对手的目的，批量盗刷短信。或者利用各个平台获取大量验证码对用户发送重复的垃圾短信，进行骚扰。主要存在两种场景，一种是针对普通C端用户，黑产通过搜集互联网上多个未经防护的网站短信接口，设定要轰炸的用户手机号进行模仿，频繁向后台发送短信验证码发送请求，该用户会受到持续频繁的大量短信验证码。另一种是针对网站方，在某个新模块上线，或者未设防护的网站，黑产通过恶意调用短信接口，大量请求访问造成短信验证码的发送，短信发送量急剧增长，而运营方也难以区分真实用户或是黑产，不能够直接关闭接口，直接造成大量资源浪费与经济损失。这种攻击通常通过安装人机识验证码CAPTCHA（中文全称是全自动区分计算机和人类的图灵测试）来实现防护，阻碍短信接口被频繁盗刷。是假流量对各行业造成的欺诈风险信息时代，数据即价值，线上数据与线下业务的深度结合，同样也给黑产创造了许多可攫取利益的场景，面对这些利益黑产会伺机而动，以下将以各行业线上交互场景为例，列举虚假流量对于各行业的欺诈风险。金融证券类行业：在金融信息化的大环境下，金融证券类行业的服务及资产逐渐从线下转移到线上，金融行业自带的高收益属性逐渐吸引了更多黑产的注意力，金融行业所面临的安全威胁日趋复杂和严重。据全球反诈骗联盟(GASA)与ScamAdviser联合发布《2022年全球诈骗状况报告》数据,21年金融诈骗增加了10.2%,诈骗损失的金额也增长了15%以上，从2020年的478亿美元增加到2021年的553亿美元。金融欺诈问题依然严重，而其核心隐私泄露问题与虚假流量息息相关。金融行业主要存在以下四个行业安全问题：一、 撞库攻击导致信息泄露金融行业，尤其是银行，其强资产属性和高风险性绑定，用户数据信息关系到数字资产的安全，其登录场景是安全防护的第一道关卡，撞库攻击高发于此场景，互联网社会信息泄漏严重，许多用户安全意识薄弱，账户密码都设定为同一套使用，黑产在暗网购买或者其他平台盗取而来的用户资料数据，进行数据库关联匹配社工库，从而刻画出精准的用户画像，针对特定人群进行犯罪活动骗贷、不良贷款、套现等危害。二、 消费爬虫爬取用户信息第三方理财平台，理财产品爬虫，或竞争对手的爬虫，窃取用户的余额，消费数据，信贷数据等敏感数据，进行恶意竞争。敏感信息泄露会危及企业的信息数据安全，而这些高风险行为背后则是黑产团伙的利益交换，企业重点客户敏感信息得不到保障。三、 黑产营销欺诈蔣羊毛银行商家会不定时发布各类运营优惠活动，黑产通过批量注册账号，占据运营资源，礴企业羊毛，让企业直接损失运营资金，并且由于黑产账号可以通过数百倍于真人的速度抢占活动资源，导致运营活动引来的流量几乎都是机器流量，真实用户无法获得活动福利，达不到实际的引流效果，在增加成本和降低引流两个维度，大大降低运营转化比。四、 关键接口被劫持滥用金融行业线上与用户的交互场景多为登录、查询、交易等高风险场景，同时也意味着用户需要多次进行交互校验。关键交互接口被滥用可能会严重影响到企业的运营与客户信任。不加防护的交互界面容易被黑产劫持滥用，关键接口被劫持后，用户的二要素，三要素等信息则会有泄露的风险，如用户遭遇短信轰炸，会极大影响对品牌的信任与观感。此外黑产同样通过这些交互场景，不断请求网站短信服务，也会增加公司的校验成本，黑产占据短信接口的数量远比正常用户的请求量大，增加运营成本的同时，增加系统负载，影响正常用户的体验。电商类交易行业：电商行业作为高用户请求，高交易交互的代表行业之一，也是虚假机器流量欺诈的重灾区。疫情为“宅经济”创造了新的增长机遇，各大电商平台抓住机遇，在众多竞争对手中抛出自己的营销手段，扩大促销的活动力度，而在交易的繁荣现象背后，电商行业面临的业务风险也在不断增加。以网络钓鱼、羊毛党为主的黑色产业正向着专业化、产业化的方向发展。从营销拉新到注册登录，从下单支付到售后评论，各个环节都充斥着业务风险，包括虚假引流、垃圾注册、账号盗用、礴羊毛、信息泄露等，形形色色的黑产攻击手段让电商业务防不胜防。业务安全损失动辄上亿，企业资源成本消耗严重，活动运营数据失真，无法达到良好的引流效果。场景一：磚羊毛电商行业是羊毛党聚集最多的地方，借由各个QQ群、微信群、微博等社群平台组织，数十万羊毛党共同围猎电商巨头，今年(2022)双十一截止11号晚，各平台销售额占比分别为：天猫占比62.6%,京东占比27.1%,拼多多占比6.7%,其他占比3.6%。据星图数据显示，今年双一GMV(GrossMerchandiseVolume成交总额)达11154亿元，同比去年增长15.57%,同时新型电商占比增长，综合电商自去年占比83%下降至72%,而这期间会有70%-80%的优惠券，促销优惠被羊毛党靖去，从而赚取其中优惠差价，商家用于引流的营销投入，大都被羊毛党靖去。场景二：刷单电商展示基于商家购买交易量、好评量等数据，根据平台的赛马机制，只有表现比较好的商家才能展示在前列，所以电商平台中商家为了能够获得前列展示，将刷单作为了抢位置的主要手段。据央视新闻报道，2022年7月，鸡西市公安局网安部门发现一些平台以“兼职刷单”等幌子招揽网民为商家刷单，进而误导消费者，影响电商平台运营。8月，专案组一举摧毁黑产集团，抓获主要违法犯罪嫌疑人46人，现场扣押电子设备135个，涉案金额2.2亿余元，8.4万余名“刷手”遍及全国。而这可能只是冰山一角。刷单本质上是对平台展示机制漏洞与监管困难共同导致的，竞争机制的出发点在于给予质量高评价好的商家更多的展示机会，优化流量资源分配，实现商家质量导向竞争，刷单行为致使平台赛马机制难以发挥效果，危害正常的平台竞争，以及严重影响平台的用户体验与信誉。场景三：套现套现也是电商行业黑产的常见手段，黑产中最为成熟的是利用刷单和“发空包”的方法进行平台套现，因此也催生了不少打码平台、空包网等黑产公司。由于套现往往与刷单绑定，不少黑灰产通常同时操作两种获利模式，有卖家分饰两角进行交易套现，也有买卖双方合谋虚假交易套现，更有甚至会有一些黑灰产搜集线下商户注册信息，通过群内“刷手”套现，或向付款人按比例收取手续费等方式获利。场景四：信息泄露电商行业信息泄露问题也频频发生。除交易中身份信息，银行卡信息，支付数据信息等敏感资产数据之外，购买行为也会将个人住址，购买习惯等个人隐私数据公开，不法分子通过批量交易个人信息获利，不仅危害消费者资产安全，更有甚者还会危害到消费者人身安全。10月14B,新加坡电商平台Carousell向用户公布了发生在本月14日的数据泄露事件，约有195万用户受到影响，占该平台在新加坡总用户数的39%,据发言人称，泄露的数据包括用户电子邮件地址、手机号码和出生日期等。而国内信息泄露问题也层出不穷，今年多家电商平台个人信息泄露，据央广网记者暗访报道，众多电商平台个人信息以0.35元一条的价格批量打包售出，其信息包括联系方式，住址，购物信息，身份信息等敏感信息，由信息泄露导致的营销骚扰，电信诈骗问题严重影响消费者体验。场景五：电商黄牛电商行业黄牛也十分猖獗，相比于传统黄牛产业，线上黄牛不再只靠人力或渠道关系抢占资源，而是利用自动化脚本等技术工具以远高于正常人类效率的方式抢夺资源，例如在电商重要营销节点上，网络黄牛利用低价囤货，而后转手卖出，正常用户难以抢到优惠产品，严重影响商家运营。此外，由于难以辨别流量的属性，区分机器流量的成本较高，通过“暴力封号”的方式遏制黄牛的发展，极大可能影响到正常用户，出现“误封”、“错封”问题。通常黄牛的账号成本远远低于正常用户，这种封号方式不仅无法有效解决黄牛问题，还有引来大量正常用户的反馈与投诉。场景六：支付漏洞电商支付漏洞包括：商城恶意虚开发票，黑产篡改数据大量购买商品造成资产损失，以及平台不规范导致商家跑路等。2019年“净网专项行动”中，重庆警方破获一起利用电商平台支付漏洞获利的案件。嫌疑人通过两个账号之间转账时抓包的相关数据，修改转账数值参数，不断重复操作，累计可变现的积分，然后通过第三方交易平台通过消费变现，为了“炫耀”自己的技术，将方式共享给其他成员共同实施非法获利，涉案套现140余元。据《2022上半年小程序互联网发展白皮书》显示，微信、支付宝、抖音、快手等多个平台小程序数量超过750万，日活跃用户数量超过7.8亿。虽然传统电商平台通常会设置平台方账户托管机制，但《电子商务法》等相关法规并未明确要求电商平台建立第三方资金监管制度，许多平台小程序仍未明确设定相关保障制度，在交易额与活跃量日增的情况下，风险也随之增长。游戏类内容行业：游戏类内容行业： 2022年度虚假流量白皮书 @GEETEST2 2 2022年度虚假流量白皮书 @GEETEST四类为优惠盗刷航空公司为了促进消费，经常会下发一些优惠福利给到注册用户，以此拉高票务订购以及用户黏度，并且飞机票的优惠值往往比较大，基于航票基础价格较高的情况，优惠值，优惠券等营销活动也会被黑产盯上。黑产或者竞争对手可以直接通过人工打码绕过验证环节套取优惠券，窃取本用以发给用户的优惠资源，再进行二次售卖变现盈利，这些窃取的优惠也让航空公司的许多营销活动起不到预计的效果。五类为虚假占座黑产在航空公司的许多操作都会通过占座的前置动作来为后续的获利变现作准备。其团伙通过爬虫爬取剩余座位，创建订单而不支付，导致虚假占座的状况。这种虚假占座并非一次性操作，黑产会通过反复的占座操作导致座位一直被虚假订单所限制，损害航司和旅客双方利益。航票黄牛的占座操作不仅仅抬高了价格，可能还会导致真实用户难以购票，一定程度上也会限制用户的消费，使得用户选择其他公司或者不出行。目前酒店住宿行业发展与线上交易平台的业务深度绑定，出行、购票、查询、入住、咨询等业务可以借助线上服务实现的同时，不仅为商家带来的更大的客流量与曝光，也为黑产欺诈获利提供了可乘之机，注册、登录、购票、提交订单、接口查询、信息查询等多个场景欺诈风险剧增。对于用户而言，出行住宿的隐私数据难以得到有效的安全保证，黑产借由线上平台批量获取用户信息进而售卖，此外用户泄露的隐私数据还会为黑产提供进一步撞库攻击的材料，对于平台与商家而言，营销欺诈也时有发生，运营成本不断增加的同时，还会影响到核心业务的正常运作，其主要风险有以下六点：风险一：短信接口盗刷现在几乎所有的平台的访问接入都需要账号或者ID,绑定用户身份，通常最广泛的注册手段都是通过手机号进行注册的，除了注册以外，每次登录都需要短信接口校验，且校验没有太多限制。许多黑产账号会频繁刷去调用短信接口，大批量的短信请求会直接导致平台的资源损失。风险二：磚羊毛靖羊毛行为同样也存在于住宿行业，住宿行业作为直接面向C端消费者的行业，并且大多数情况下没有十分坚固的行业壁垒，行业门槛较低，所以在部分情况下会导致同一区域的商家同质化竞争较多。而在这种竞争之下，商家会发放许多优惠券或者相似活动来吸引消费者，但这种优惠券也会吸引黑产的目光，有限的福利会被高效率的黑产账号抢占，无法让利到真实的用户，影响平台的营销公平。风险三：垃圾注册平台运营往往基于庞大的用户数据，根据用户的行为数据来预测活动的创办预期，但都是基于真实的用户数据，如果用户数据造假或者水分较大，预测的动作将会在错误的数据上进行，会导致活动预期数据有比较大的偏差，影响活动的运营。此外，大量的垃圾注册由于与真实用户的行为可能相同也可能不同，区分难度较大，无法直接对垃圾注册进行有效打击，会放任这些账号长久地生存在平台上，持续地窃取利益。风险四：撞库登录黑产团队除了自身拥有的账号之外，还会通过拖库，暗网交易等方式获取真实用户的信息，进行撞库登录，操纵这些真实用户的账号进行交易，订票等风险操作。所以黑产风险不仅源于黑产的账号，还可能源于这些真实的账号。撞库风险存在于平台上，为了对抗这些风险，平台会在许多风险场景中设置校验环节，以减少风险动作的进行，由于黑产操作往往都是大批量进行，无法进行很精细的动作，简单的短信验证只能进行账号的校验，无法实现风险校验，所以进一步验证校验是这些平台对抗黑产的必要工具，复杂的验证形式可以有效过滤掉一部分的黑产账号。风险五：批量抢票酒店注册的票价通常都会以一定的规律浮动，票价不会一直稳定，不同平台，不同商家会釆取不同的定价策略，以及不同的优惠活动，基本上不会出现在哪个平台订票就一定优惠，哪个商家就一定比其他商家票价低的情况，这种信息差就会产生一定可操作的利益空间。黑产通过爬虫爬取不同平台的票价信息，再经由储备的大量账号抢到相较低价的售票，进行二次加价售出，进行获利，损害平台商家信誉。风险六：数据泄露由于住宿行业都要求登记个人身份信息，账户信息等敏感信息，相关平台有着庞大的用户信息库，来进行交易及校验，这些数据是交易所必要的，无法避免。欺诈团伙应用自动化脚本工具对平台个人信息进行非法爬取，进行信息的售卖或诈骗，众所周知互联网没有隐私，用户只要在某个站点平台上填写过个人信息，隐私数据就有被泄露的风险，而这些信息的泄露，会严重危害用户的财产甚至人身安全。2 2 2022年度虚假流量白皮书 @GEETEST2 2 2022年度虚假流量白皮书 @GEETEST是假机器流量常见伪装及攻击形式黑灰产通常通过伪装正式真实用户流量以获得数据信息和利益，安全市场上针对黑产常见的伪装形式有着对应的风控策略，例如黑产伪装真实设备，正常IP,真实用户行为及账号等要素，通过风控策略组合能够识别出大部分的虚假流量，但只通过一些要素无法准确的判定流量属性，所以在异常流量对抗策略之外，验证码是一个比较重要且常见的兜底手段。在验证破解的对抗过程中，黑产会通过技术手段和人工手段对验证各个环节进行破解和攻击，主要以两种模式，一种是模扌以成真实用户完成验证操作，一种是通过破解接口处的程序对验证关键环节的参数，从而逆向还原。这两种分别为模拟器破解与接口破解，但破解之后还需回到验证本身，给予验证答案才能通过校验。模拟器破解通过各种自动化测试工具，例如Selenium操作chromium内核实现自动化的拖动、点击等操作，模拟一个真实用户者的操作环境，其基础破解步骤为：调用无头浏览器接口，启动模拟器获取问题，解出答案调用接口控制鼠标交互过程自动化——破解模拟器破解类似自动化测试运行原理，技术门槛与实现成本比较低；但由于模拟器破解需要进行UI交互，性能瓶颈明显，效率较低。并且模拟器破解为了模拟环境，会根据模拟需求更改适应模扌以环境版本内容，但在验证后台可以看出同一IP的变化，虽然经过了环境校验，但已经被标识为了可疑用户。接口破解利用接口程序破解正确的关键参数，从而对验证码进行破解。其基础破解步骤为：逆向JS/SDK,破解参数逻辑获取问题，解出答案伪造参数进行封装过程自动化——破解由于接口破解需要对前端JS进行逆向还原，同时需要完全理清参数生成的逻辑，相对模拟器破解的技术门槛与实现成本都更高。同样它的优势在于不需要进行前端的UI交互，因此破解效率也很高。穷举破解模拟器破解和接口破解是进行破解过程自动化的两种技术路径，但是无论使用哪一种，都还必须通过人工、穷举图片、AI识别等方式获得验证答案，然后生成尽可能真实的行为轨迹。轨迹的自动化生成方式包括：函数生成：通过编写函数，自动生成具有特定行为模式的轨迹数据，机器特征相对明显。轨迹重放：通过各种途径，积累不同类型、长度的真实轨迹样本，根据答案适配进行轨迹数据的重复投递。计算机视觉与深度学习黑产无论使用哪种方式进行破解过程自动化，最终都必须面对验证给出的答卷，答案匹配才能通过验证，除了穷举法之外，还有一种比较复杂的方法实现验证答案破解，就是通过计算机视觉识别技术和自然语言处理(NaturalLanguageProcessing,NLP)结合的方式来识别图像答案。以最常见的图片点选的验证形式为例，通过计算机视觉识别技术扫描像素点，只能识别出不同的图像，并不能结合验证问题，相当于只是识别出了答案所在的区间。如果需要解答验证问题，还需要自然语言处理技术解释验证问题，结合两者的识别结果给出验证答案，但这种方式攻击难度与成本很高，不是一种成熟的破解技术。极验的对抗形式极验对于虚假流量，会基于其攻击形式进行层层防御。首先会对其设备属性，IP以及行为模型进行异常识别处理，包括设备指纹，风险标记等策略。极验在线上有着多重模型和关卡，在不同的环节给使用不同技术手段的黑产团伙施加不同的影响，打断其自动化过程，提高其成本，降低其ROI。OCR图像识别对抗OCR(OpticalCharacterRecognition)识别是一种常见的对验证码图片中字符识别破解的手段，计算机通过扫描图像上的像素点，根据光学特征识别出图像中的文字，进行分析处理，获取图片中文字版面的信息，然后以文本的形式返回。文字点选验证码的主流破解流程如下图，首先利用YOLO或者RPN网络，定位出obj的位fi(bbox),并判断该位置的obj是文字还是提示词，根据预测的bbox将文字或提示词裁剪下来，文字输入CNN文字识别模型，识别出文字的内容。提示词进入CRNN模型，识别出提示词的内容和语序。针对图像识别的对象检测，验证码会在图像(cv)上去针对性的处理图像背景，使得破解者的对象的检测模型失效,无法从图像中定位关键答案选项。针对图像识别类别识别，针对破解者的识别方法：样本搜集，打标记，训练。极验验证码技术团队注意到只要让黑客重新进入这个样本搜集，打标记，训练循环，就可以极大的破坏黑客的破解成果，提高黑客的运营成本，等到黑客准备好识别模型，极验验证码团队又会去更换图集的制作方式。极验运用验证码多年的运营对抗经验来训练制作反分类模型，反馈给公司的其他业务场景，持续在业界定义验证码服务标准。PoW工作量证明计算工作量证明（Proof-of-Work,以下简称“PoW”）在百科的介绍中指一般要求用户进行一些耗时适当的复杂运算，并且答案能被服务方快速验算，以此耗用的时间、设备与能源做为担保成本，以确保服务与资源是被真正的需求所使用。通俗来讲，就是证明你所做过的工作。当应用在验证码中时，它指的是验证码厂商的服务端向用户的客户端调取计算机完成指定量工作的证明，该证明一般为提交了正确的哈希算法的字符串答案。在这一过程中，验证码服务端除了可以迅速验证客户端的答案外，工作量证明的数量多少也有且仅有它可以规定。极验在验证码的应用中，主要釆用Hash运算的方式用作PoWI作量证明，利用Hash运算的复杂度，给定一个初始值，通过复杂的值递增，利用Hash碰撞原理，直到找到特定的碰值，可以通过调节碰撞值的长度，实现对于工作量的调节（碰撞值越长，所需要的运算量越大）。在目前的认知中，黑产除了穷举尝试，无法很快的找到满足条件的签名串。黑产在发送请求时就需要进行N次递增生成新的签名串，直到生成了符合极验服务端要求的签名串，即可完成工作量证明。以下列实际应用为例：以某网站为例，该网站请求交互量于14：00达到峰值，244,785O对比网站过往数据，我们监测到数据异常后，以过往大量的攻防数据经验判断，这是黑灰产在使用计算机脚本大批量进入网站并进行了高频次的交互验证，于14：52分开启了PoW防御机制。

验证校验成功量300,000250,000200,000H150,000100,00050,000-06:0008:0020:00图：15:00各项数据04验证校验成功量300,000250,000200,000H150,000100,00050,000-06:0008:0020:00图：15:00各项数据0400:009佥1止量纟充•/验证请求量•验证交互量•验证通过量•验证防御最页命中I验证请求量：193,173

•验证交互量：188,323验证通过最：127•验证防御最：188,196•验证校验成功量：1268分钟后，于15：00时，从数据变化可以看出，虽然验证请求量与交互量仍然处在较高的水平，但验证通过量大大降低，验证通过率从84.7%降低至0.0657%,对比凌晨时的正常请求数据，可以看出此时的验证通过量趋于正常用户数据，将大量的“请求轰炸”拦截于验证之外。PoW工作量证明计算的作用在于不增加前端用户校验的成本，将计算校验的内容交由计算机处理，如果请求的来源是单一的，用户计算校验的成本就不会很高，但如果请求来源于多次频繁攻击的黑产，那么该黑产服务器将需要强制经过大量的复杂运算，极大地增加请求的成本，以此降低异常的高频词交互请求。识别可疑流量建立黑产库黑产库的作用是补足实时防御的一环，由于业务安全的攻防始终是动态对抗的，没有百分百成功的防御，也没有百分百成功的攻击，因此我们可以通过不同防御组合进行拦截，即对那些可以通过的黑产IP进行一层身份验证，挖掘验证端规则，构建逻辑陷阱，通过对异常行为的标记，经过多次验证后加入到可疑流量黑产库，进而对验证拦截进行复盘，以及保存对可疑流量的拦截权力。例如黑产通过扫描值的不同组合进行穷举破解，最终虽然有可能获得答案，但已经体现出与正常用户的差异。例如图片点选中给定点选图案的几个x轴，y轴，z轴坐标，验证码会设定一定的误差值，以保证正常用户的验证体验，几乎都能够一次通过，而用户前端操作传回的数据是以验证后台给定的方式进行排列的，如果是正常用户，只会是在给定值的误差范围内波动，但黑产破解则是从数据侧进行穷举。最终虽然能够通过验证，但黑产给出的固定值进行多组不同排列的行为，就可以将其认定为可疑流量，建立到黑产库中。同时通过大量行业数据的处理经验，早已拥有了庞大的黑产数据库，也就是说黑产在破解验证逻辑后，最终不得不交给人工打码平台进行破解，但通过可疑流量建立的黑产数据库，也可以识别到这些打码平台，进而对该流量进行封弊。是假流量对抗实战案例1.数字藏品平台遭受攻击，用户数字资产不翼而飞数字藏品自2021年下半年在国内爆火起来，其热度就一直居高不下。2022年，数字藏品产业更是吸引了海内外众多企业的参与。从国内每月发行的数字藏品数量来看，从2022年2月开始，单月的发行数量突破百万级别。其中，5月发行数量最高达到496.9万件。已发行数字藏品平均单价呈上升趋势，2022年5月达到最高。由于数字藏品具有可溯源、唯一性的特殊性，相当于一种更安全、不会丢失的数字资产，拥有收藏价值，因此吸引了黑产的注意力。同时，数字藏品平台作为新兴发展的数字经济产品，会推出各种营销活动以助力企业运营、让利客户，如新品首发优先购、低价秒杀抢购，黑产对于此类福利活动的攻击热度也持续高涨。其中“科学家”使用机器脚本外挂恶意抢购，破坏平台规则，扰乱平台秩序等情况最为常见。国内排行前列的某NFT平台，就曾遭受黑产通过高并发请求刷取平台短信接口，给平台业务经营造成了巨大的损失。同时，黑产通过高效率抢夺发售的数字藏品，在营销抢购活动中恶意抢购，用于转卖获利，扰乱平台公共交易秩序。极验方案1） 行为验拦截机器脚本：根据该平台出现的恶意抢购和短信接口盗刷问题，极验采取在注册、登录、秒杀抢购场景部署最新一代的行为式验证码，通过七层动态防御能力遏制机器批量操作行为，确保平台安全，拦截作弊机器脚本。2） PoW共识算法防御，遏制高频次交互：该平台网站通过发送短信验证的方式登录，此时黑产会通过大量盗刷短信接口进行批量登录操作。当收到来自黑产计算机的高频次验证码请求时，PoW就会发挥作用。PoW这项技术通过加大电脑CPU的计算量、延长计算时间遏制黑产高频次的交互，若黑产执意破解便会提高作弊成本。3） 标记异常用户数据：对作弊抢购、批量登录的异常数据的记录分析形成黑产IP库、轨迹库和设备标识库，极验后台将数据库结合前端的蜜罐、JS混淆等技术实现对异常数据实时标记功能。即使在遭受黑产打码平台攻击的极端情况下，标记数据仍然可以以接口形式传输给平台，由其根据接口标记进一步做业务风控处理。极验成效1） 有效阻止机器作弊行为，使平台内用户数字藏品资产得到有力保障，平台交易秩序得到公平维护。2） PoW共识算法机制可实现拦截95%以上的机器流量，减少了短信接口盗刷，节省了业务运营开支。3） 不仅保证了网站和用户安全还兼顾了平台用户的体验感受，滑动拼图的验证形式提升了验证速度，将验证时间降至1.4秒。减少平台30%以上的用户流失，提高了留存率与转化率，同时增加业务收益。2.直播平台面临黑产流量的安全性挑战视频直播平台是互联时代的产物，受到年轻人的关注与追捧。据TalkingData2022中国游戏直播行业白皮书统计，截至2021年，中国游戏直播的市场规模达948亿元，同比增长11.8%；而2022年预计市场规模将达1108亿元，用户数将达3.82亿，保持快速增长势头。2022年，游戏版号重启发放，占据游戏行业超三成的游戏直播市场规模稳步增加。直播商业化加快的同时，行业下涌动的黑产也逐渐形成不容小视的规模化产业。直播平台在运营过程中完全依靠网络通信，而网络通信数据易受到黑产的拦截与篡改，影响正常业务的运作。攻击者通常运用批量注册、屯号、自动化脚本等手段，恶意制造虚假流量，浪费平台带宽，造成平台的资源被大量浪费。同时，由于视频直播门槛低，抄袭、低俗内容现象泛滥，破坏平台环境；平台众多的运营活动也容易被羊毛党盯上，造成平台财产流失。国内某游戏直播平台，运营成本中的带宽成本与主播费用支出占比超50%,而这两项支出都会直接受到黑产的影响，无需注册就能观看导致大量黑产机器导入耗费高额带宽成本。黑产账户还会通过注册、登录、做任务等方式礴取大量虚扌以资产与福利，给平台造成巨额损失。此外，由于主播工资直接与流量挂钩，各种明码交易的刷量会导致平台支出额外的主播费用，增加宽带成本及综合运营成本。极验方案极验为该平台提供定制化解决方案，从风格，安全，服务，体验四个维度切入使用场景。包括：皮肤定制：定制专属验证图片，验证风格贴合平台主色调；智能验证：生物特征验证识别以及黑卡库接入封杀，最大程度识别防御黑产；服务定制：最高响应级别，验证码服务高度稳定；风控融合：一键通过校验，输错三次才会弹出验证，降低用户接入打扰。以下为测试数据结果：riskjevel!=0risk_level>=5risk_level=9准确率(％)95.5079395.47781694.64465覆盖率(％)91.1891.1289.37误杀率(％)0.1309960.1309960.040306极验成效平均每小时为该平台防御近30万次恶意请求，智能封禁大量恶意攻击，每小时为平台减少3万元损失。一点即过的良好验证形式为该平台的近20万注册登录用户节省了90个小时，减少五分之一的可能用户流失。极验后台为该平台提供多维度业务数据分析，从根本解决高风险场景中的黑产攻击，礴羊毛等损失。3.零售行业遭遇羊毛党围攻，短信成本增加各类品牌手机商城的出现是互联网发展带来的必然产物，各品牌皆希望依托自营电商平台实现三个目标：一是线上线下联合布局，打造跨渠道消费者体验；二是以客户为中心，深耕服务生态；最后依托电子商务，结合手机等终端产品的销售，逐步完善自己的互联网建设。目前各大手机品牌商城已实现搜索、推荐、资讯推送、商品详情、分类、购物车、下单、客服等多种电商需要的基础功能。为了提高用户活跃度与留存率，进而提高客单价或GMV,—些手机商城会推出限时购、以旧换新、拼团等营销活动，也因此会引来“羊毛党”的关注，致使品牌业务安全受到威胁，危险四伏。国内某电商平台，积分兑换和商品满减优惠券领取环节易出现磚羊毛问题，直接给平台造成损失；荣耀社区中心存在恶意评论，垃圾发帖现象，影响忠实用户体验。同时，该平台面临批量账号注册导致短信消耗量大，增加业务运营成本负担。极验方案1） 行为验有效拦截：针对该商城内出现的垃圾注册、优惠券作弊领取和恶意评论的问题，极验在注册、登录、找回密码等场景部署了行为验，行为验可以对人类用户和机器用户进行有效区分并对机器用户予以拦截。2） 更换验证码形式，提高黑产的攻击成本：在更加容易受黑产攻击的商场场景设置图文点选式验证码，这种形式的验证码由底图和文字、图标等元素组合而成，通过对底图进行风格化处理，改变图片色值和像素。在单图片上，极验采用了自研的混淆算法，以高几率绕过现有的“以图搜图”图片引擎的检索。提高验证码的破解难度对应地会增加黑产破解成本，致使羊毛党放弃领取优惠券或积分兑奖。极验成效1） 从源头大幅降低该商城内虚假用户数量，大大减少短信成本恶意消耗。2） 降低羊毛党领取优惠券及恶意抢购成功率，有效降低了运营直接损失。行业预测及虚假流量未来趋势技术上，攻击形式多样化，验证攻防会长时间继续存在于虚假流量对抗中黑产从业者已超40万人，每年企业因黑产而涉及损失超千亿。交互安全守护者与黑灰产间的对抗愈演愈烈。传统的字符验证码虽然早已过时，但仍未消失于互联网中，黑产与交互安全的动态对抗也一直推动着技术的进步。图像处理，机器视觉，自动化程序能做到的越来越多，而拦截机器的本质在于区分来源是人类还是机器，验证码作为一种图灵测试工具，作用在于机器程序行为在互联网上无限接近于真人行为时，能够找到识别真人用户的规则对流量加以区分。而过往静态的验证码已经无法应对复杂多变的黑产攻击形式，而应对多样化的攻击形式，只有实现动态防御才能抵御无所不在的攻击。政策上，企业将逐渐被强制要求治理虚假流量问题政策法规上，往往预示了企业大环境的发展趋势。一方面对于某些行业会进行扶持与放开；另一方面也会对现有行业法规进一步完善。今年国外关于虚假流量的两大政策，分别从黑产及企业两方面规定了下一步的环境政策。(1)爬虫合法化判决使得网络爬虫问题置于明面面对Linkedln发起的长期诉讼，美国第九巡回上诉法院重申了其最初的决定——网络爬虫是合法的，这个判决明确了爬虫的合规问题。此前，爬虫一直是一个灰色的问题，爬虫的本质就是按照一定的方法与规则，自动爬取网站信息的程序脚本，而这个工具的性质取决于利益相关的主题是谁，是使用爬虫的人还是被爬取信息的网站主。爬虫是一种非常有效的网络抓取工具，对于没有雄厚资本的小公司/创业公司而言，爬虫是一种非常有效的信息获取工具，同时大公司也会为了信息博弈，使用爬虫，但同时又不希望对手使用爬虫爬取自己网站的内容。技术本身是没有善恶的。爬虫肆虐，内容安全无法保障据Akamai统计，全球互联网流量近40%为爬虫流量，在2021年第二季度，全球遭遇的账户滥用攻击达到了700亿次，同比增长15%,更让人担心的是，日峰值超过10亿次的恶意登录行为变得逐渐频繁。据CheckPointResearch数据显示，相较于2020年，2021年黑产每周对企业的网络攻击数量增加了50%0图源：CheckPointResearch爬虫合法化带来的将会带来网络爬虫群体的进一步扩张与活跃，随着数字资产的比重逐渐增加，谁掌握信息差，谁就掌握了定价权。以电商平台为例，商品的定价，详情，评论都是能够直接影响消费者决策的重要信息，当竞争对手通过爬虫工具搜集网站的绝大部分信息，即掌握了信息差，在消费决策中就占据了话语权。此外，爬虫除了搜集网站信息可以获利，还可以通过损害对方服务器资源来进行不正当竞争，黑产发起的万亿级爬虫攻击，作为一种恶意流量，对于被攻击网站是一种资源的灾难，造成大量的带宽消耗，与此同时，如果网站并没有储备足够的业务并发能力，将会影响到正常业务的进行。

法律不再是企业对爬虫的最后一道防线技术对抗与法律诉讼是企业对爬虫的两道关键防线。据2022年2月检查日报《明确越界网络爬虫行为的刑事处罚边界》内容，规定了一般情形下对于爬虫问题的处罚范围，除侵入敏感系统，隐私信息，严重破坏性访问几种客观认定行为下的爬虫行为，都无法入罪，限缩了爬虫处罚范围。可以看出，对于公开信息，以及不违反公共利益的情况下，为保护数据开放共享，许多爬虫行为是不禁止的。如今网络爬虫已经成为一种常见的工具，即便非互联网从业者也对爬虫略知一二，可能也会利用爬虫来获取大量的信息。爬虫一直以来都没有明确的禁令，但它经常与侵害商业利益，损害隐私权利等内容有关，爬虫合法化后，法律诉讼已经不再是解决爬虫问题的最后一道防线，技术攻防将成为爬虫问题最重要的一环。验证码作为一种最常见的反爬手段，简单而又有效。通常爬虫来源于自动化的机器脚本程序，并且爬虫程序的门槛并不高，可以说是任何拥有互联网工具的人，都可以使用爬虫程序，这就为爬虫的溯源截断造成了阻碍，所以在访问端建立反爬手段，验证码是作为识别人机流量的一道图灵测试程序，在许多低门槛的爬虫程序中，并无破解验证码的手段，也就为网站构筑了第一道反爬防线。(2)欧盟新版准则：企业严格限制虚假流量问题，否则将面临巨额罚款欧盟出台的新版准则《欧盟反虚假信息行为准则》，规定减少传播虚假信息的机器人数量，消除虚假新闻网站的广告收入，保障安全访问，核实来源等方面。虚假流量与假新闻等问题在互联网上的泛滥滋生了许多问题，群体舆论两极分化，网络暴力，极端主义言论和负面情绪感染，都严重污染线上环境。早在18年这一准则就已经发布，是全球首个行业内自愿通过自我监管来打击虚假信息的倡议。-AnofficialwebsiteoftheEuropeanUnionHowdoyouknow?vEuropeanCommissionEnglishSearchEuropeanCommissionEnglishSearchHome>Presscorner>newanti-DisinformationCodeAvailablelanguages:EnglishNews16June2022BrusselsFightingpropagandawarwithdemocraticmethods-newanti-DisinformationCode新的反虚假信息准则将指导全球各巨头互联网科技公司釆取真正有力的行动来遏制虚假信息。目的是在关键领域变得更加有效，从理解算法到帮助用户批判性地评估他们看到的信息，再到消除虚假信息带来的经济收益，并确保不忽视以较少人使用的语言提供的虚假信息。强化后的实务守则包含以下方面的44项承诺和128项具体措施：•为政治广告创建可搜索的图书馆-通过消除虚假新闻网站的广告收入来使虚假新闻网站失效•减少用于传播虚假信息的机器人网络和虚假账户的数量-为用户提供标记虚假信息和访问“权威来源”的工具-让研究人员“更好、更广泛地访问平台数据”•与独立的事实核查人员密切合作，核实信息来源签署以上准则的公司将有六个月的时间来践行承诺，并在2023年初提交进度报告。虚假流量的治理刻不容缓。据悉，该行为准则将通过《数字服务法》强制执行，迫使大型科技公司更积极地监管其平台以防止非法内容。违反规定的团体将面临高达全球营业额6%的罚款。（已知谷歌2021年全年营业收入2375亿美元）当虚假流量治理在政策中体现，通过法规强制实施，这将直接与企业效益挂钩，虚假流量带来的损害将不止是滞后和隐性的。3.经济上，虚假流量问题可能对企业造成直接与间接损失政策法规上，往往预示了企业大环境的发展趋势。一方面对于某些行业会进行扶持与放开；另一方面也会对现有行业法规进一步完善。今年国外关于虚假流量的两大政策，分别从黑产及企业两方面规定了下一步的环境政策。爬虫合法化以及虚假流量问题处罚从经济角度讨论，虚假流量已经成为互联网企业不得不面对的营收问题。互联网企业的本质是对用户信息数据的二次售卖，通过互联网的平台吸引大量用户进入到社区，再将这些信息，或者用户的注意力售卖给广告商，实现利益共享。据中国互联网协会日前发布的《中国互联网发展报告——2021年中国网络资本发展状况》，2021年我国上市互联网企业营收规模为4.23万亿元，同比增长24.4%,过去三年复合增长率处于20%左右的中高速增长区间。互联网的高速增长基于一定程度上线下经济的线上转型，而当虚假流量问题摆到台面上，企业将不得不考虑限制虚假流量问题，否则平台信任度与价值将会被大大降低。国外互联网企业因虚假流量问题影响公司估值，流量治理将成为未来重点之一以推特为例，10月27B,马斯克完成了以440亿美元将推特私有化的交易，并已掌管公司。马斯克上任推特后，除了大张旗鼓的裁员外，就是对于虚假流量的处理。推特上虚假流量问题十分严重，前迪士尼前任首席执行官鲍勃•艾格(Boblger)表示，早在2016年迪士尼就已经发现，推特(TWTR.US)的很大一部分用户是“不真实的”。这也影响了迪士尼公司对推特公司的收购谈判，由于虚假用户问题而低估了该公司价值。虚假账号对于平台的影响是多方面的。例如推特的主要收入来源广告，也是基于其庞大的用户价值。而虚假账号的比例将严重影响其广告价值，如果广告带来的曝光多是虚假的，那么其主要营收就会受到严重的影响。此外，推特刚推出的蓝V认证收费，每个用户可以通过每月8美元的费用认证蓝V,这又为虚假账号问题留下了一个漏洞，虚假账号可以通过每月8美元的代价获取用户信任，可能会造成更加严重的虚假信息问题。4.Web3.0,数字货币及元宇宙发展趋势(1)区块链技术及数字货币未来趋势区块链，是由一个个区块组