一、vivo渠道服游戲黑產(chǎn)獲利點(diǎn)分析

1.1 黑灰產(chǎn)定義和分工

一般來說，黑色產(chǎn)業(yè)指的是從事具有違法性的活動且以此來牟取利潤的產(chǎn)業(yè)。

而灰色產(chǎn)業(yè)則指的是不明顯觸犯法律和違背道德，游走于法律和道德邊緣，為 “黑產(chǎn)” 提供輔助的爭議行為。

黑灰產(chǎn)按照分工不同，大致可以分為4類：

（1）源頭類黑產(chǎn)

掌握號源信息或身份信息等的黑產(chǎn)。常見的有手機(jī)號、身份證、工商信息等信息，通過販賣用戶信息獲利。

（2）平臺類黑產(chǎn)

用于非法交易、交流的平臺類黑灰產(chǎn)。如惡意網(wǎng)站、惡意論壇和惡意群組，以及類似提供接碼、打碼的平臺。

（3）技術(shù)類黑產(chǎn)

為中下游技術(shù)性不強(qiáng)的黑灰產(chǎn)從業(yè)人員制作并提供各類軟、硬件設(shè)備和服務(wù)，如木馬植入、釣魚網(wǎng)站及各類惡意軟件。

（4） 實(shí)施類黑產(chǎn)

實(shí)施各類違法犯罪行為的黑灰產(chǎn)，基于中下游鏈路，黑灰產(chǎn)在實(shí)施環(huán)節(jié)常常表現(xiàn)為惡意行為、詐騙等形式。

1.2 游戲行業(yè)常見的黑灰產(chǎn)問題

游戲行業(yè)常見的黑灰產(chǎn)問題主要包含：網(wǎng)絡(luò)攻擊、外掛、盜號、羊毛黨、內(nèi)容違規(guī)等。

1.2.1 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊主要以DDoS攻擊為主，就是利用大量合法的分布式服務(wù)器對目標(biāo)發(fā)送請求，從而導(dǎo)致正常合法用戶無法獲得服務(wù)。

游戲行業(yè)的網(wǎng)絡(luò)攻擊主要來源于競爭者，通過網(wǎng)絡(luò)攻擊使攻擊對象的用戶無法正常進(jìn)行游戲，影響用戶體驗(yàn)，并造成用戶流失，從而使攻擊者自身的利益不受威脅。

如2021年8月，一款合成類游戲在首發(fā)期間就遭受黑客DDoS攻擊，造成游戲玩家無法登錄和游戲內(nèi)卡頓等問題，引起大量用戶投訴。

1.2.2 外掛

游戲外掛讓大部分玩家、游戲公司深惡痛絕，卻因有著源源不斷的市場需求，外掛黑色產(chǎn)業(yè)鏈屢禁不止。游戲外掛通常指的是通過篡改游戲客戶端代碼，讀取或者修改游戲運(yùn)行過程中的數(shù)據(jù)來實(shí)現(xiàn)作弊功能的插件。

外掛的獲利方式有多種：直接出售外掛獲利、外掛內(nèi)分發(fā)廣告獲利、使用外掛刷游戲資產(chǎn)交易獲利、外掛代練、外掛“帶老板坐飛機(jī)”、外掛養(yǎng)號等。

外掛泛濫的原因主要有三：一是外掛開發(fā)的工業(yè)化不斷拉低開發(fā)的門檻；二是國內(nèi)成熟的外掛分銷體系使外掛銷售更加便捷；三是外掛廣告行為等行為缺乏規(guī)制，助推了外掛消費(fèi)和產(chǎn)業(yè)對接。

在上述三個因素的加持之下，伴隨游戲行業(yè)的火爆，游戲外掛的規(guī)模越來越大。

1.2.3 盜號

盜號，是從端游時代起就存在于游戲業(yè)內(nèi)的老問題了。一方面，賬號的安全問題關(guān)系到游戲能否長期穩(wěn)定運(yùn)營，另一方面，賬號被盜導(dǎo)致虛擬財(cái)產(chǎn)流失，給玩家?guī)響K痛損失的同時，也損害了游戲廠商的品牌形象。

盜取游戲賬號信息，用行內(nèi)黑話來說，又叫作“出信”。所謂“信”，指的就是游戲賬號密碼等信息。這個領(lǐng)域又涉及到撞庫、拖庫、釣魚、種馬(木馬)等等手段。

盜號主要通過出售用戶信息、售賣游戲帳號資產(chǎn)、詐騙等方式獲利。

1.2.4 羊毛黨

羊毛黨大都采取以量取勝的策略，比如養(yǎng)號、刷量、薅羊毛等。使用這種策略的黑灰產(chǎn)從業(yè)者，充分利用“長尾效應(yīng)”，本著“蒼蠅腿上也是肉”的原則，把蛋糕做大。

羊毛黨通過批量注冊帳號參與游戲廠商或者第三方平臺的活動，領(lǐng)取禮包CDKey、充值禮券等，再通過交易平臺出售給游戲玩家獲利。

如某網(wǎng)游在交易貓上的交易價格為1元≈14金幣，游戲內(nèi)售價為1元=10金幣，若不計(jì)算其他成本，如果黑產(chǎn)能夠獲取低于七折的禮券，則能夠?qū)崿F(xiàn)交易獲利。

1.2.5 內(nèi)容違規(guī)

內(nèi)容違規(guī)主要涉及到游戲內(nèi)發(fā)帖、發(fā)消息等文本內(nèi)容灌水、涉黃、涉政、涉暴等違規(guī)風(fēng)險(xiǎn)。

內(nèi)容違規(guī)的獲利點(diǎn)比較多，直接獲利點(diǎn)通過接單刷帖獲利，間接獲利則是引流至三方網(wǎng)站或app，通過賭博、詐騙等手段獲利。

不同類型的游戲所面臨的黑產(chǎn)問題不同，具體可參考《2021游戲安全白皮書》，因篇幅有限，本文不再贅述。

圖片來源：《2021游戲安全白皮書》

1.3 vivo游戲關(guān)注的黑產(chǎn)問題

vivo游戲作為游戲渠道或者分發(fā)平臺，關(guān)注的黑產(chǎn)問題和游戲開發(fā)者有所不同，游戲外掛等具體游戲內(nèi)的黑產(chǎn)問題和平臺無關(guān)，但游戲開發(fā)者和平臺之間的利益分配就會成為開發(fā)者作弊的動機(jī)，同時vivo平臺為了增加渠道的用戶黏性，也會為用戶開展一系列活動，發(fā)放游戲禮包、禮券等福利禮品等，這也可能成為黑產(chǎn)的獲利點(diǎn)。

我們需要關(guān)注的黑產(chǎn)問題主要分為兩類：游戲開發(fā)者相關(guān)的黑產(chǎn)問題和用戶相關(guān)的黑產(chǎn)問題。

1.3.1 游戲開發(fā)者相關(guān)的黑產(chǎn)問題

顧名思義，游戲開發(fā)者相關(guān)的黑產(chǎn)問題即以游戲開發(fā)者為主體發(fā)起的黑產(chǎn)行為，常見的黑產(chǎn)問題有分發(fā)刷量和自充值問題。

分發(fā)刷量指通過如刷預(yù)約、下載、評論、榜單、啟動、時長、廣告等方式幫助游戲開發(fā)者在vivo平臺獲得用戶流量或者廣告收益；

自充值則是指游戲開發(fā)者通過自充值的方式提升其在vivo平臺的“流水”，以在融資、商業(yè)合作、流量獲取等方面獲取有利條件。

1.3.2 用戶相關(guān)的黑產(chǎn)問題

用戶相關(guān)的黑產(chǎn)問題，主要指的是黑產(chǎn)利用批量注冊的方式掌握大量的vivo帳號，在游戲禮包、游戲禮券、營銷活動等場景刷量獲利。

二、vivo游戲黑產(chǎn)作弊特征識別和打擊

黑產(chǎn)危害之大，不得不引起平臺的重視，對黑產(chǎn)問題予以打擊，將其對平臺的影響降低在可控的范圍內(nèi)。

首先介紹黑產(chǎn)刷量方式及優(yōu)缺點(diǎn)。

2.1 黑產(chǎn)刷量方式及優(yōu)缺點(diǎn)

黑產(chǎn)刷量方式大致可分為三類：模擬真人刷、接口刷、真人刷。

2.1.1 模擬真人刷量

模擬真人刷量，也稱機(jī)刷，通常是使用群控設(shè)備，結(jié)合改機(jī)工具（修改設(shè)備參數(shù)）、秒撥機(jī)（切換ip）等來達(dá)到刷量的目的。

• 模擬刷量：Xposed模塊導(dǎo)入手機(jī)，打開相應(yīng)app，即開始hook設(shè)備信息，隨后用自動化腳本實(shí)現(xiàn)下載、安裝、卸載。
• Hook：手機(jī)安裝xposed框架，分析apk包，編寫xposed模塊。
• 自動化腳本：安裝appium，編寫自動化腳本模擬進(jìn)行打開、點(diǎn)擊、滑動等操作。
• 木馬：通過“感染”真實(shí)設(shè)備，自動執(zhí)行程序下載或者調(diào)起應(yīng)用，達(dá)到下載的目的。
• 模擬器：在設(shè)備有限的情況下，可以通過模擬器模擬簡單的設(shè)備參數(shù)進(jìn)行刷量。

2.1.2 接口刷

接口刷，即通過協(xié)議刷量，通常是通過破解請求中的加密算法從而來自由構(gòu)造請求，結(jié)合http代理等來達(dá)到刷量的目的。

2.1.3 真人刷

真人刷量，即通過真人真機(jī)刷量，常見的真人刷量方式包含積分墻，App領(lǐng)域的試玩（激勵）平臺，通過獎勵玩家現(xiàn)金或者禮物的方式激勵玩家到各種分發(fā)平臺（主要是應(yīng)用市場）去做任務(wù)：

下載任務(wù)（目的：沖榜），或者是去搜索-下載-打開任務(wù)（目的：提升關(guān)鍵詞排名），或者是去五星好評（目的：提升產(chǎn)品綜合權(quán)重）。

2.1.4 各刷量方式的優(yōu)缺點(diǎn)

不同的刷量方式各有優(yōu)缺點(diǎn)，黑產(chǎn)一般根據(jù)場景的刷量量級和作弊難度進(jìn)行選擇。

2.2 vivo游戲反作弊方案

“敵暗我明”，黑產(chǎn)作弊往往防不勝防。而vivo作為游戲渠道，又有哪些反作弊的難點(diǎn)呢？

2.2.1 vivo游戲反作弊難點(diǎn)

（1）帳號全渠道通用的“木桶效應(yīng)”

不同于游戲廠商自身的帳號體系，vivo游戲與其他業(yè)務(wù)的帳號是通用的，甚至不同國家和地區(qū)注冊的帳號也可跨地區(qū)登錄和使用。

比如，vivo內(nèi)銷注冊必須通過手機(jī)號注冊，而外銷則可以通過郵箱注冊，作弊成本更低。且數(shù)據(jù)合規(guī)禁止數(shù)據(jù)跨境傳輸，風(fēng)控?zé)o法獲取帳號相關(guān)信息，打擊難度進(jìn)一步提升。

帳號通用同時意味著帳號價值的提升，黑產(chǎn)批量注冊的帳號，不僅可以在游戲場景刷量，也可以在官網(wǎng)、積分、會員、活動等業(yè)務(wù)場景使用，在一定程度上降低了黑產(chǎn)注冊帳號的成本。

（2）聯(lián)運(yùn)低版本的風(fēng)險(xiǎn)問題

由于vivo聯(lián)運(yùn)的游戲眾多，一些游戲廠商并沒有持續(xù)地維護(hù)和更新，這就導(dǎo)致vivo聯(lián)運(yùn)apk升級時不能夠同步更新。而低版本apk往往存在一些漏洞，考慮到低版本升級可能導(dǎo)致游戲適配的問題，聯(lián)運(yùn)側(cè)一般不會強(qiáng)制用戶升級至高版本。

（3）可交易游戲的刷量問題

一些游戲內(nèi)自帶交易系統(tǒng)，為黑產(chǎn)刷量交易獲利提供了極大的便利，這些游戲往往也是vivo游戲禮券刷量的“重災(zāi)區(qū)”。

2.2.2 vivo游戲業(yè)務(wù)安全防控體系

目前風(fēng)控側(cè)已建設(shè)事前風(fēng)險(xiǎn)感知->事中風(fēng)險(xiǎn)識別->事后打擊的業(yè)務(wù)安全防控體系。

（1）事前風(fēng)險(xiǎn)感知：

通過安全評審、安全攻防、情報(bào)調(diào)研、安全態(tài)勢感知等事項(xiàng)，來前置/及時發(fā)現(xiàn)業(yè)務(wù)場景存在的風(fēng)險(xiǎn)。

好的業(yè)務(wù)安全防護(hù)一定不能脫離業(yè)務(wù)。業(yè)務(wù)安全方案的制定，既需要系統(tǒng)的安全能力建設(shè)，也需要風(fēng)控人員深入業(yè)務(wù)，根據(jù)業(yè)務(wù)特性制定完善的安全方案，這樣才能夠保證既能夠打擊黑產(chǎn)作弊行為，又不會誤傷正常用戶請求。

同時，風(fēng)控側(cè)也站在攻擊者的視角，對各業(yè)務(wù)場景進(jìn)行攻防演練，對黑產(chǎn)的產(chǎn)業(yè)鏈進(jìn)行調(diào)研分析，并對黑產(chǎn)可能攻擊的風(fēng)險(xiǎn)點(diǎn)建設(shè)相關(guān)指標(biāo)進(jìn)行實(shí)時和離線監(jiān)控，力求前置發(fā)現(xiàn)業(yè)務(wù)場景存在的風(fēng)險(xiǎn)，并在黑產(chǎn)攻擊的第一時間同步業(yè)務(wù)及時作出應(yīng)對。

（2）事中風(fēng)險(xiǎn)識別：

事中的風(fēng)險(xiǎn)識別指離線風(fēng)控和實(shí)時風(fēng)控來進(jìn)行多層級的風(fēng)險(xiǎn)決策，最大限度的識別風(fēng)險(xiǎn)。

事中識別是風(fēng)控策略的核心，這里主要介紹幾種常見的規(guī)則類型：

• 請求頻繁和參數(shù)聚集：如單個設(shè)備上大量帳號請求，或大量請求聚集于某個低app版本等。
• 設(shè)備校驗(yàn)：主要包含設(shè)備真實(shí)性校驗(yàn)和參數(shù)合法性校驗(yàn)，識別偽造設(shè)備參數(shù)的接口刷或者模擬器刷量請求。
• 風(fēng)險(xiǎn)數(shù)據(jù)過濾：根據(jù)三方數(shù)據(jù)或者利用歷史數(shù)據(jù)信息建模分析，生成風(fēng)險(xiǎn)IP、風(fēng)險(xiǎn)手機(jī)號、風(fēng)險(xiǎn)openid等名單，限制黑產(chǎn)請求。
• 陌生環(huán)境請求：針對帳號換端登錄、新注冊帳號、非vivo環(huán)境等特征進(jìn)行加強(qiáng)校驗(yàn)，不根據(jù)單一特征直接攔截，但可作為組合策略的子規(guī)則加以利用。
• 行為鏈路完整性校驗(yàn)：主要識別單個場景的接口刷，如不安裝游戲條件下評論、無曝光有點(diǎn)擊等作弊行為。

（3）事后打擊閉環(huán)：

業(yè)務(wù)安全是一個持續(xù)對抗的過程，事后我們一方面需要打擊刷量主體，提高主體的作弊成本；另一方面需要進(jìn)行案例分析沉淀，對風(fēng)控策略進(jìn)行評估和系統(tǒng)告警進(jìn)行分析，明確風(fēng)控規(guī)則誤傷和漏過情況，不斷優(yōu)化風(fēng)控策略。

三、vivo游戲黑產(chǎn)反作弊案例分析

3.1 官網(wǎng)會員新購機(jī)游戲禮券刷量事件

3.1.1 事件背景

19年年末始，會員贈送的新購機(jī)游戲禮券權(quán)益頻繁遭遇冒領(lǐng)，用券游戲主要為“捕魚類”游戲。

3.1.2 黑產(chǎn)作弊路徑分析

3.1.3 風(fēng)控打擊方案

• 對用戶請求設(shè)備參數(shù)進(jìn)行嚴(yán)格校驗(yàn)，并結(jié)合帳號、ip信息等維度，準(zhǔn)確識別用戶身份
• 監(jiān)控領(lǐng)券成功數(shù)據(jù)和用券數(shù)據(jù)，及時發(fā)現(xiàn)漏過情況
• 建立禮券交易情報(bào)監(jiān)控體系，關(guān)注禮券交易情況

3.2 游戲禮包刷量問題

當(dāng)前vivo游戲禮包主要分為CDKey禮包和自動發(fā)放禮包，CDKey禮包由于其交易的便利性，一直得到黑產(chǎn)“青睞”。

3.2.1 事件背景

2021年8月某游戲首發(fā)，首發(fā)禮包豐厚，吸引黑產(chǎn)批量盜刷該禮包

3.2.2 事件原因

• 禮包價值高，外銷帳號注冊和登錄態(tài)校驗(yàn)存在“低門檻”，吸引黑產(chǎn)攻擊
• 被風(fēng)控策略識別后，黑產(chǎn)不斷切換作弊特征，并利用高并發(fā)請求繞過風(fēng)控限制

3.2.3 黑產(chǎn)作弊路徑分析

3.2.4 風(fēng)控打擊方案

整體思路：各方配合提高黑產(chǎn)在整個刷量鏈路的作弊成本

（1）業(yè)務(wù)側(cè)：

• 登錄票據(jù)升級，設(shè)置票據(jù)有效期
• 聯(lián)合游戲開發(fā)者將禮包直接發(fā)放至游戲帳號，切換交易路徑
• 積分任務(wù)加密，提高積分刷量門檻

（2）帳號側(cè)：

• 凍結(jié)惡意外銷帳號
• 上線外銷帳號登錄態(tài)失效能力

（3）風(fēng)控側(cè)：

• 加強(qiáng)對外銷帳號的打擊
• 提升驗(yàn)證碼難度
• 游戲禮包交易情況定期調(diào)研
• 加強(qiáng)對各鏈路指標(biāo)的異常監(jiān)控，及時發(fā)現(xiàn)漏過情況

（4）游戲開發(fā)者側(cè)

• 聯(lián)合游戲開發(fā)者失效惡意領(lǐng)取禮包CDKey，在最后一個環(huán)節(jié)切斷黑產(chǎn)獲利途徑

四、總結(jié)

本文從vivo游戲平臺的角度出發(fā)，分析vivo游戲黑產(chǎn)的獲利點(diǎn)和作弊特征，并結(jié)合案例分享vivo游戲識別和打擊黑產(chǎn)的防控體系，希望對游戲和業(yè)務(wù)安全的從業(yè)者在對抗黑產(chǎn)的問題上有所幫助。同時，對本文內(nèi)容有任何疑問和建議，歡迎大家批評指正。