作者:vivo 互联网安全团队 – Cai Yifan
在数字化、挪动化的浪潮下,游戏产业迅速倒退,尤其疫情过后许多游戏公司业务迎来新的增长点。
游戏行业从端游开始始终是黑灰产沉闷的重要场景。近年来,随着互联网的倒退和手机市场的一直壮大,手游的用户规模一直增长,黑产在手游市场的沉闷水平一直晋升。
游戏行业的黑产问题个别指的是游戏开发者关注的游戏内的黑产问题,而 vivo 作为手机厂商,或者更精确地讲,作为游戏散发平台,咱们所关注的黑产问题与游戏开发者又有何不同呢?在黑产反抗上,vivo 与游戏开发者相比,又有哪些优劣势?
本文将探讨 vivo 游戏黑产的舞弊动机和特色,并分享 vivo 互联网安全团队与黑产反抗的计划和案例。
一、vivo 渠道服游戏黑产获利点剖析
1.1 黑灰产定义和分工
一般来说,彩色产业指的是从事具备违法性的流动且以此来牟取利润的产业。
而灰色产业则指的是不显著触犯法律和违反道德,游走于法律和道德边缘,为“黑产”提供辅助的争议行为。
黑灰产依照分工不同,大抵能够分为 4 类:
(1)源头类黑产
把握号源信息或身份信息等的黑产。常见的有手机号、身份证、工商信息等信息,通过贩卖用户信息获利。
(2)平台类黑产
用于非法交易、交换的平台类黑灰产。如歹意网站、歹意论坛和歹意群组,以及相似提供接码、打码的平台。
(3)技术类黑产
为中下游技术性不强的黑灰产从业人员制作并提供各类软、硬件设施和服务,如木马植入、钓鱼网站及各类恶意软件。
(4)施行类黑产
施行各类违法犯罪行为的黑灰产,基于中下游链路,黑灰产在施行环节经常体现为歹意行为、欺骗等模式。
1.2 游戏行业常见的黑灰产问题
游戏行业常见的黑灰产问题次要蕴含:网络攻击、外挂、盗号、羊毛党、内容违规等。
1.2.1 网络攻击
网络攻击次要以 DDoS 攻打为主,就是利用大量非法的分布式服务器对指标发送申请,从而导致失常非法用户无奈取得服务。
游戏行业的网络攻击次要来源于竞争者,通过网络攻击使攻打对象的用户无奈失常进行游戏,影响用户体验,并造成用户散失,从而使攻击者本身的利益不受威逼。
如 2021 年 8 月,一款合成类游戏在首发期间就蒙受黑客 DDoS 攻打,造成游戏玩家无奈登录和游戏内卡顿等问题,引起大量用户投诉。
1.2.2 外挂
游戏外挂让大部分玩家、游戏公司疾恶如仇,却因有着源源不断的市场需求,外挂彩色产业链屡禁不止。游戏外挂通常指的是通过篡改游戏客户端代码,读取或者批改游戏运行过程中的数据来实现舞弊性能的插件。
外挂的获利形式有多种:间接发售外挂获利、外挂内散发广告获利、应用外挂刷游戏资产交易获利、外挂代练、外挂“带老板坐飞机”、外挂养号等。
外挂泛滥的 起因 次要有三:一是外挂开发的工业化一直拉低开发的门槛;二是国内成熟的外挂分销体系使外挂销售更加便捷;三是外挂广告行为等行为不足规制,助推了外挂生产和产业对接。
在上述三个因素的加持之下,随同游戏行业的火爆,游戏外挂的规模越来越大。
1.2.3 盗号
盗号,是从端游时代起就存在于游戏业内的老问题了。一方面,账号的平安问题关系到游戏是否长期稳固经营,另一方面,账号被盗导致虚构财产散失,给玩家带来惨痛损失的同时,也侵害了游戏厂商的品牌形象。
盗取游戏账号信息,用行内黑话来说,又叫作“出信”。所谓“信”,指的就是游戏账号密码等信息。这个畛域又波及到撞库、拖库、钓鱼、种马 (木马) 等等伎俩。
盗号次要通过发售用户信息、售卖游戏帐号资产、欺骗等形式获利。
1.2.4 羊毛党
羊毛党大都采取以量取胜的策略,比方养号、刷量、薅羊毛等。应用这种策略的黑灰产从业者,充分利用“长尾效应”,本着“苍蝇腿上也是肉”的准则,把蛋糕做大。
羊毛党通过批量注册帐号参加游戏厂商或者第三方平台的流动,支付礼包 CDKey、充值礼券等,再通过交易平台发售给游戏玩家获利。
如某网游在交易猫上的交易价格为 1 元≈14 金币,游戏内售价为 1 元 =10 金币,若不计算其余老本,如果黑产可能获取低于七折的礼券,则可能实现交易获利。
1.2.5 内容违规
内容违规次要波及到游戏内发帖、发消息等文本内容灌水、涉黄、涉政、涉暴等违规危险。
内容违规的获利点比拟多,间接获利点通过接单刷帖获利,间接获利则是引流至三方网站或 app,通过赌博、欺骗等伎俩获利。
不同类型的游戏所面临的黑产问题不同,具体可参考《2021 游戏平安白皮书》,因篇幅无限,本文不再赘述。
图片起源:《2021 游戏平安白皮书》
1.3 vivo 游戏关注的黑产问题
vivo 游戏作为游戏渠道或者散发平台,关注的黑产问题和游戏开发者有所不同,游戏外挂等具体游戏内的黑产问题和平台无关,但游戏开发者和平台之间的利益调配就会成为开发者舞弊的动机,同时 vivo 平台为了减少渠道的用户黏性,也会为用户发展一系列流动,发放游戏礼包、礼券等福利礼品等,这也可能成为黑产的获利点。
咱们须要关注的黑产问题次要分为两类:游戏开发者相干的黑产问题和用户相干的黑产问题。
1.3.1 游戏开发者相干的黑产问题
顾名思义,游戏开发者相干的黑产问题即以游戏开发者为主体发动的黑产行为,常见的黑产问题有散发刷量和自充值问题。
散发刷量指通过如刷预约、下载、评论、榜单、启动、时长、广告等形式帮忙游戏开发者在 vivo 平台取得用户流量或者广告收益;
自充值则是指游戏开发者通过自充值的形式晋升其在 vivo 平台的“流水”,以在融资、商业单干、流量获取等方面获取有利条件。
1.3.2 用户相干的黑产问题
用户相干的黑产问题,次要指的是黑产利用批量注册的形式把握大量的 vivo 帐号,在游戏礼包、游戏礼券、营销流动等场景刷量获利。
二、vivo 游戏黑产舞弊特色辨认和打击
黑产危害之大,不得不引起平台的器重,对黑产问题予以打击,将其对平台的影响升高在可控的范畴内。
首先介绍黑产刷量形式及优缺点。
2.1 黑产刷量形式及优缺点
黑产刷量形式大抵可分为三类:模仿真人刷、接口刷、真人刷。
2.1.1 模仿真人刷量
模仿真人刷量,也称机刷,通常是应用群控设施,联合改机工具(批改设施参数)、秒拨机(切换 ip)等来达到刷量的目标。
- 模仿刷量:Xposed 模块导入手机,关上相应 app,即开始 hook 设施信息,随后用自动化脚本实现下载、装置、卸载。
- Hook:手机装置 xposed 框架,剖析 apk 包,编写 xposed 模块。
- 自动化脚本:装置 appium,编写自动化脚本模仿进行关上、点击、滑动等操作。
- 木马:通过“感化”实在设施,主动执行程序下载或者调起利用,达到下载的目标。
- 模拟器:在设施无限的状况下,能够通过模拟器模仿简略的设施参数进行刷量。
2.1.2 接口刷
接口刷,即通过协定刷量,通常是通过破解申请中的加密算法从而来自在结构申请,联合 http 代理等来达到刷量的目标。
2.1.3 真人刷
真人刷量,即通过真人真机刷量,常见的真人刷量形式蕴含积分墙,App 畛域的试玩(激励)平台,通过处分玩家现金或者礼物的形式激励玩家到各种散发平台(次要是利用市场)去做工作:
下载工作(目标:冲榜),或者是去搜寻 - 下载 - 关上工作(目标:晋升关键词排名),或者是去五星好评(目标:晋升产品综合权重)。
2.1.4 各刷量形式的优缺点
不同的刷量形式各有优缺点,黑产个别依据场景的刷量量级和舞弊难度进行抉择。
2.2 vivo 游戏反作弊计划
“敌暗我明”,黑产舞弊往往防不胜防。而 vivo 作为游戏渠道,又有哪些反作弊的难点呢?
2.2.1 vivo 游戏反作弊难点
(1)帐号全渠道通用的“木桶效应”
不同于游戏厂商本身的帐号体系,vivo 游戏与其余业务的帐号是通用的,甚至不同国家和地区注册的帐号也可跨地区登录和应用。
比方,vivo 外销注册必须通过手机号注册,而内销则能够通过邮箱注册,舞弊老本更低。且数据合规禁止数据跨境传输,风控无奈获取帐号相干信息,打击难度进一步晋升。
帐号通用同时意味着帐号价值的晋升,黑产批量注册的帐号,不仅能够在游戏场景刷量,也能够在官网、积分、会员、流动等业务场景应用,在肯定水平上升高了黑产注册帐号的老本。
(2)联运低版本的危险问题
因为 vivo 联运的游戏泛滥,一些游戏厂商并没有继续地保护和更新,这就导致 vivo 联运 apk 降级时不可能同步更新。而低版本 apk 往往存在一些破绽,思考到低版本升级可能导致游戏适配的问题,联运侧个别不会强制用户降级至高版本。
(3)可交易游戏的刷量问题
一些游戏内自带交易系统,为黑产刷量交易获利提供了极大的便当,这些游戏往往也是 vivo 游戏礼券刷量的“重灾区”。
2.2.2 vivo 游戏业务平安防控体系
目前风控侧已建设 事先危险感知 -> 事中危险辨认 -> 预先打击 的业务平安防控体系。
(1)事先危险感知:
通过平安评审、平安攻防、情报调研、平安态势感知等事项,来前置 / 及时发现业务场景存在的危险。
好的业务平安防护肯定不能脱离业务。业务平安计划的制订,既须要零碎的平安能力建设,也须要风控人员深刻业务,依据业务个性制订欠缺的平安计划,这样才可能保障既可能打击黑产舞弊行为,又不会误伤失常用户申请。
同时,风控侧也站在攻击者的视角,对各业务场景进行攻防演练,对黑产的产业链进行调研剖析,并对黑产可能攻打的危险点建设相干指标进行实时和离线监控,力求前置发现业务场景存在的危险,并在黑产攻打的第一工夫同步业务及时作出应答。
(2)事中危险辨认:
事中的危险辨认指离线风控和实时风控来进行多层级的危险决策,最大限度的辨认危险。
事中辨认是风控策略的外围,这里次要介绍几种常见的规定类型:
- 申请频繁和参数汇集:如单个设施上大量帐号申请,或大量申请汇集于某个低 app 版本等。
- 设施校验:次要蕴含设施真实性校验和参数合法性校验,辨认伪造设施参数的接口刷或者模拟器刷量申请。
- 危险数据过滤:依据三方数据或者利用历史数据信息建模剖析,生成危险 IP、危险手机号、危险 openid 等名单,限度黑产申请。
- 生疏环境申请:针对帐号换端登录、新注册帐号、非 vivo 环境等特色进行增强校验,不依据繁多特色间接拦挡,但可作为组合策略的子规定加以利用。
- 行为链路完整性校验:次要辨认单个场景的接口刷,如不装置游戏条件下评论、无曝光有点击等舞弊行为。
(3)预先打击闭环:
业务平安是一个继续反抗的过程,预先咱们一方面须要打击刷量主体,进步主体的舞弊老本;另一方面须要进行案例剖析积淀,对风控策略进行评估和零碎告警进行剖析,明确风控规定误伤和漏过状况,一直优化风控策略。
三、vivo 游戏黑产反作弊案例剖析
3.1 官网会员新购机游戏礼券刷量事件
3.1.1 事件背景
19 年年末始,会员赠送的新购机游戏礼券权利频繁遭逢冒领,用券游戏次要为“捕鱼类”游戏。
3.1.2 黑产舞弊路径分析
3.1.3 风控打击计划
- 对用户申请设施参数进行严格校验,并联合帐号、ip 信息等维度,精确辨认用户身份
- 监控领券胜利数据和用券数据,及时发现漏过状况
- 建设礼券交易情报监控体系,关注礼券交易状况
3.2 游戏礼包刷量问题
以后 vivo 游戏礼包次要分为 CDKey 礼包和主动发放礼包,CDKey 礼包因为其交易的便利性,始终失去黑产“青眼”。
3.2.1 事件背景
2021 年 8 月某游戏首发,首发礼包丰富,吸引黑产批量盗刷该礼包
3.2.2 事件起因
- 礼包价值高,内销帐号注册和登录态校验存在“低门槛”,吸引黑产攻打
- 被风控策略辨认后,黑产一直切换舞弊特色,并利用高并发申请绕过风控限度
3.2.3 黑产舞弊路径分析
3.2.4 风控打击计划
整体思路:各方配合进步黑产在整个刷量链路的舞弊老本
(1)业务侧:
- 登录票据降级,设置票据有效期
- 联结游戏开发者将礼包间接发放至游戏帐号,切换交易门路
- 积分工作加密,进步积分刷量门槛
(2)帐号侧:
- 解冻歹意内销帐号
- 上线内销帐号登录态生效能力
(3)风控侧:
- 增强对内销帐号的打击
- 晋升验证码难度
- 游戏礼包交易状况定期调研
- 增强对各链路指标的异样监控,及时发现漏过状况
(4)游戏开发者侧:
- 联结游戏开发者生效歹意支付礼包 CDKey,在最初一个环节切断黑产获利路径
四、总结
本文从 vivo 游戏平台的角度登程,剖析 vivo 游戏黑产的获利点和舞弊特色,并联合案例分享 vivo 游戏辨认和打击黑产的防控体系,心愿对游戏和业务平安的从业者在反抗黑产的问题上有所帮忙。同时,对本文内容有任何疑难和倡议,欢送大家批评指正。