导读：每一个商家都会不定期地进行一些拉新活动，用低价或者免费的方式来吸引新用户。但是这样羊毛党就不可避免，如果不加以控制，很有可能会成为活动中的一大隐患。本文作者结合自身经历，在产品/运营基础层面对注册，活动，支付等方面提出一些安全建议，希望对你有帮助。伴随灰产行业的日益猖獗，几乎所有有利可图的平台都会成为他们的“猎物”。结合自身经历，本文将在产品/运营基础层面对注册，活动，支付等方面做一些安全建议。一、注册注册/登录是最基础也是最重要的安全防护第一道闸门，这一层做好了，日后能免去诸多烦恼。介绍一下目前市面上针对注册/登录这一块的安全风险点和防范措施。1.虚拟号段注册所谓虚拟号段，是虚拟运营商的专属号段，获牌企业可以租用基础电信运营商的移动通信网络为用户提供基于自身品牌的通信服务。简单理解为是运营商的“特殊代理”，但是实际的管理运营是脱离运营商的，所以个人去营业厅开卡，一般是不会给你虚拟号段的号码。（一些乡镇和偏远地区存在主动兜售虚拟号的情况）。那么利用这些虚拟号能做什么？批量在平台注册小号，养号，卖号。这是一个定时炸弹，一旦平台上新活动，数十万的小号一起上分分钟让我们知道什么是“社会”。影响活动效果不说安卓微信刷投票神器，严重的会导致很大的经济损失，这是目前注册环节最大的安全风险和挑战。 金融类的产品在敏感操作的时候都会让用户非非非非非非实名认证，人脸识别，在一定程度上可以规避这种情况的发生，但是没有办法完全规避，后面会提到。防范措施：在注册的时候，不允许虚拟号段注册，并且在“修改电话号”，第三方登录后绑定电话号等环节均需要做统一处理。这是目前最简单直接且消耗成本最低的防范方法。但是并非所有的平台都要这么做，如果本身平台有诸多不涉及经济的业务功能，比如资讯，工具类，开放服务的平台根据自身业务环境可以酌情放开。如果害怕因此导致了此类用户流失，可以在用户注册的时候提示“用户当前正在用虚拟号码注册，为确保账户安全，请拨打*****获取验证信息”，这一步的操作是为了确保当前操作的不是程序，是拥有通讯工具的真实个人。但是随着灰产整体技术水平的提升，以及语音识别的技术升级，这个方法所起到的作用正在被减弱。上文提到的是平台自身创建安全规则，比较被动且手段单一，一旦有新的号段出来，我们就要去维护，消耗一定的管理和更新成本。目前市面上主流的云平台，阿里，腾讯，网易等云服务平台均提供了针对注册安全方面的服务，基于平台掌握的大数据，配合相应的安全措施，实际体验下来效果比自己搭建安全规则要好。有实力且用户体量大的可以考虑。目前已知开放的虚拟号段：移动170317051705165联通1704170717081709171167电信170017011702162以及14开头的上网卡专属号段。2.换量/买量通过流量呼唤或购买流量的方式来获取新用户。这里有很多见不得光的操作：纯假量，进来的量来到平台后动都不动，好点的还注册一下，从此就不活跃了分时段分比例掺量：比1稍微智慧一点，多少还有点有价值的新用户进来“二道贩子”：这里的二道不是说转手赚差价，是指用劣质或不想干的流量来糊弄买方，如开发商在一个房产平台买量，房产平台用从同人平台弄过来的流量把一群初中生的号扔过去了，你可知道开发商那边的画面是有多精彩~防范措施：依托自身能力搭建渠道监管平台，或使用第三方渠道数据管理平台对所有的渠道进行监控。在此之前公司需要根据自身曾经的经验和友商的相关渠道转化数据作为一个对比，用以衡量渠道质量的优劣优先找认识的人，或知名平台合作尽量采用cps,cpa的计费方式，CPC和cpm是有钱人玩的合作的条款明确列出流量的有效比例，从法律层面约束对方的行为3.验证码1）刷码暴力刷码发生的情况不多，但是一旦发生，就是直接的经济损失。 如果你的验证码获取次数是3次，刷子用100万的访问来刷你，按照目前短信群发的价格在0.3–1毛之间计算，直接的经济损失是9千-3万，这个月绩效没了。此类事情多发生在有正面冲突导致的蓄意行为，或者被第三方当做肉鸡，成为“短信轰炸机”的短信源。有些平台看似每天的验证码的服务访问量没有异常，其实早已经是别人的‘肉鸡’了。【短信轰炸机】没用过也至少听过，在‘黑帽’领域早已是一个成熟的基础技能，在刷码的时候可以虚拟出比真机还真的环境，任你有千万张良计，我只靠“构建虚拟机环境‘一招过墙梯打败你。近几年随着各种与计算和大数据的投入，对于此类的安全时间的防御有所提升，但是基本是防御手段刚出来，转身就被攻破了，防守总是在供给之后，被动至极。防范手段：1、平日低调，多积德，不要逞强装横。暴力刷码是违F行为，如若没有特殊的情况一般不会引起这种事情发生。2、搭建健全的验证码安全机制APP获取用户手机的，设备型号，IMEI号码，筛出模拟器，必要时可以抓陀旋仪数据验证码获取时间间隔60s设置每自然日【连续】获取次数上限（单次机制，不可重复使用）当用户连续获取？次验证码，且没有登录平台，开启图形/滑块验证。（此处不推荐鹅厂某些业务让用户发送短信到固定号码用以验证当前是自然人在操作真实通讯设备的措施。）超过每日连续获取上限，启动号码/IP锁定机制。可分段锁定，2小时，半天，一天；也可以直接锁一天。分段锁定需要根据情况设置解锁后的获取次数，一般这个次数都小于每日连续获取阈值，这里建议只给一次设置每自然日【最多】获取次数上限，超过将不能再触发获取验证码连续n次触发下发验证码，但是用户未收到，提示用户启用语音验证。这里扩展一下语音验证，作为短信验证的辅助，一方面一定程度上防止被刷码，一方面解决用户获取不到的情况。（不用担心弱网环境下，用户收不到验证码是否能拨打/接听电话的问题。我们语音通讯所使用的底层技术还是2,3G的技术，对网络的要求比数据通讯的低，感兴趣的自己去查资料）验证码连续输入错误n次，即开启图形/滑块验证机制，或开启号码/IP锁定机制避免将短信验证码暴露在返回中，验证码只存在服务端中并不能通过任何api直接获取（测试环境随意）说一段扎心的真实情况，对于真·灰产大佬来说，如果真的想在注册，验证码上做手脚，以上的多种方法都是直接无效的。云控+云手机（下图）目前的技术已经非常成熟，且呈现规模化，团体化的趋势。做金融和游戏的对于这种应该都不陌生，可以说深恶痛疾，APP拉新，拼团，有羊毛可褥的地方他们就会出现，而且往往损失惨重。可见我们所面临的安全风险形势依旧极其严峻，’科技向善‘是多么的重要。二、活动几乎每个平台都会做活动，商品促销，拉新促活，品牌营销。在设计玩活动主体功能和流程以后，请务必把活动的安全性列入必填项。1.以【签到抽奖】为例介绍其中被忽略的安全漏洞单设备多次切换账户操作，这个也可以归类到注册的安全未设置每日奖池价值上限。运营方案考虑的很完善的前提下可以忽略，但是如果奖品都是实打实的，请务必考虑这个问题。未设置每日高价值奖品的数量上限，若单一奖品的价值非常高，考虑其被抽中概率的同时，也要考虑被抽中的次数大量小号签到积累签到积分，养号，积分兑换奖励。多见于金融平台2.拉新作为褥羊毛重灾区的拉新活动，几乎所有有价值的拉新活动都没能幸免。大多数情况，我们对此束手无策，罗列一下拉新活动被褥时的惨状：巨量小号，抽底式袭击活动，短时间大量新人权益\奖品被褥走一旦第一个“点火人”发现有漏洞可钻，《***攻略》一天内全网传播，虽然也会带来一定的传播和新人注册，但是来的多是白嫖党，对平台意义不大，徒增很多“僵尸”用户，且一定会伴随公司的经济损失或公司的公关/法务资源介入对于满足一定要求才能获得奖励的拉新活动，用户可以完成要求条件获得并使用奖励后，发起售后\退款。这时候如果你和订单状态绑定即收货以后奖励才生效，会影响活动效果，如何取舍看公司对本次活动拉新转化的重视程度和成本投入用户多个电话号，自己拉自己，注册量上去了，但是对于后续的业务转化起不到很大作用其他还有很多类似打榜/投票的活动，只要花点钱，大量的第三方投票平台可以满足你的各式各样的花式需求，包括且不限于：投票人的性别，年纪，IP地址，设备型号，投票频次等等要求。价格可以低到几分钱一个，花几百块弄个高价值的奖品，太值了。再说个极端的银行消费打榜的活动：在单位时间内消费金额达到多少即可参与活动，金额前十名有额外的高价值奖品。只要奖励价值足够高，你设置多高的消费额度门槛都没用，为什么？因为屠榜的大佬人手十几台pos机，可设置消费的所在城市，商铺类型甚至指定商铺，刷到银行怀疑本行持卡人消费竟然能如此凶猛！到最后才发现，这不过是别人的常规操作，损失就是套X的手续费，但是相比奖品完全可以忽略。后面把套出来的米还进去，一出一进奖品到手还能累计大量的积分，积分又能在平台兑换一波奖品