https://mp.weixin.qq.com/s/NtAIVPfIMPa50p6WhD8BLQ

从闲鱼慈善家小张说起:

长期在闲鱼打骨折卖准新品的慈善家小张,被职业买手骗了。
小张觉得很委屈,但他不知道,安全工程师面对的问题有多复杂,业务安全从来都不是一个单纯的技术问题,是业务体验和安全管理交叉在一起的综合问题,实际的难度已远远超过了用户和各位公司CXO老板们的理解。

闲鱼慈善家小张的被骗经历:

卖家小张:2022年的年初,长期深陷消费陷阱的小张因为看了《极简主义》,决定要马上调整消费习惯,“不购物,只闲鱼”。从那以后,小张开始处理自己二手物品,主要是电子产品。因为想尽快交易,所以价格普遍低于平均价,同时顺丰包邮,又可无条件退款。(Too simple too naive)
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图1
很快小张交易了近60件物品,生活也简单很多,消费习惯也明显改善,“赚了”几万块的同时,心态和生活状态都得到改变,真的要谢。
直到10月14日,小张在出售一款小米最新,8月刚发布的耳机Freebuds 4 Pro时,遇到了一位名叫“走出舒适圈”的闲鱼买家(你走出舒适圈我没意见,你别让别人不舒服啊),前面无外乎就是讲价,小张也没有过多纠结,直接同意600元成交。
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图2
重点来了,在交易时买家问了两个问题,小张完全没有意识到,这是买家欺诈套路的第一步:识别卖家是否可骗
第一个问题是:在小米之家购买的么?
第二个问题是:你有购物小票么?
在确认是小米之家购买,且无购物小票后,确定目标可骗。因为也就确定了你无任何购买凭证。
买家确认小张无购物手续后,说了句“你发货吧,谢谢”,小张觉得此人确实脱离了舒适圈,豁达且有礼貌。
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图3
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图4

之后买家收到货,过了两天,发起退货申请,小张莫名其妙,随手点了拒绝,然后进入了小张第一次听说的“闲鱼小法庭”。
小张以为会有客服电话沟通,结果再过一天,直接出结果:
买家胜利(还有个感叹号)
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图5

说是假货,其中重要的证据,恰恰就是交易时他问的问题——没有购物凭证
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图6

从闲鱼业务看业务安全为啥难做?

首先要明确的是业务安全作为业务和安全的交叉岗位,会因为业务特性和风险属性的不同,最终面对的岗位要求也不同,也会有不同的能力模型和安全运营体系,大体分了四类:

第一类:人机识别
这一类的主要挑战是机器人作恶,比如爬虫、恶意注册、撞库、引流等,因为作恶方式的规模化需要,企业所面对的主要挑战也是人机识别的问题。
面对这类问题,行业基本形成防护体系的共识,基础设施如验证码、设备指纹、风控系统、业务风险情报体系等也已成熟。对于大部分企业来说,只要投入,问题相对闭环可解。

第二类:业务属性导致的增强版人机识别问题
简直是拿了红蓝buff的大龙怪物。因为业务属性的原因,会让本简单的问题变成了大BOSS。比如爬虫问题:
如果被爬取的内容有账号体系控制,问题不大,但如果没有就要难出一个级别。如果业务属性本身就是无登录态的内容平台,那兄弟,你来活了。业务本身的开放性是业务策略需要,业务安全团队必须支持,那就相当于说支持自己前女友去找新欢一样,难在心里。
业务的开放性和爬虫防护天然就是对立的,业务安全团队要达到业务和安全的平衡,需要的绝对不只是几个工具和几个模型,而是一整套匹配到自身业务的安全攻防系统,在不影响业务体验所需要的极高精准度的前提下,还需要实现极高的攻防效率。简单来说,给你张图纸,让你实现登月。

第三类:真人作弊
这一类在2017年开始集中出现,在人机对抗从2012到2017年,经过5年后,黑产也开始利用互联网下沉网民的获利敏感度建设各类“众包”平台,是专以套利为目的的团伙作弊。
在同样能实现获利的情况下,真人真机器真IP等这些特点可以规避在当时很多企业仍然是以“人机识别”为主要目的所建设的业务安全攻防体系。这也直接导致业务安全的攻防挑战直接拉升到一个新的高度,太难了。
比如,在引流欺诈中,账号的养号工作就已经是真人自身持有,在这个环节上业务安全怎么来做早期识别和阻断,相比之前就异常艰难。
这会让很多企业业务安全团队不适应,团队的能力模型需要调整,业务安全体系需要调整,需要人和资源,这咋跟老板讲清楚为啥呢?招你过来当保安的,你怎么做着做着把自己弄成了个保安队呢?心里苦啊。

第四类:业务属性导致的增强版真人作弊
这是业务安全难度天花板,头部企业基本上也不会是一个团队在负责的事,从产品、研发到安全和客服,是业务战略的核心支撑要素,对一些企业来说甚至就是战略本身。比如,netflix之前强调的平台战略价值核心点在推荐算法,通过算法来大幅度提升用户找片和看片的体验,增强平台粘性,提升平台价值。
先不说这个战略对错问题,就单说如果要支撑这个战略要素成立,那就必须是算法成功,算法是基于用户行为的,那就必须保证业务流量和用户行为的合理性和正确性。如果bot流量占比高,那就一定会影响算法的效果,这时候的业务安全问题就是直接融入到战略中的。这里说的netflix的例子还只是说的bot的问题,实际远不止。
就像闲鱼的欺诈问题,业务本身是非标准化实物商品二手交易平台,业务的复杂度极高,牵扯到账号、交易、物流,交易中又包含海量sku的非标信息,物流中又包含收货验收挑战等等,每一个要素拆开来看,又包含了N多属性,还从线上到线下。而二手交易平台的欺诈风险又是目标用户群体的主要顾虑,这是平台核心战略要素,你看,这个要比netflix的复杂的多了吧。
那这时候如果又有一些人想通过钻平台的空子去骗钱,为了能骗钱,把找业务缺陷当成主业来做,这时候的业务安全挑战难度,就直接登顶了。

闲鱼平台在欺诈风险上遇到的都是什么挑战?

讲了这么多,最后这部分一起看看具体的挑战,先看看闲鱼为了解决欺诈风险做了啥,也看看骗子做了啥,然后做一些归因分析,到底该如何理解遇到的问题。坦率地说,我们没有资格给闲鱼平台提解决方案,这也不可能。但最后我们还是会结合思考提一些思路,也是我们认为的在这种情况下的必要要素。

闲鱼小法庭:

一些平台把纠纷的判定交给高质量用户,这个出发点很好,一方面可以降低平台方审核压力,发动高质量用户的参与感和他们的认知能力,可以帮助平台维护一个相对公平的环境。比如美团也有评审团制度,和闲鱼小法庭类似。
但是,这种判定方式的应用是有土壤要求的,不是说闲鱼平台不应该用,而是说相对于美团来讲,闲鱼平台的交易内容跨度极大,这不但是sku多的问题,而是品类跨度极大之后会导致参与评审的用户无法达到预期的认知能力。再加上二手商品交易流程复杂,直接导致对于一个纠纷的判断所需要的变量数量极高,在认知又无法保证的前提下,对于一个纠纷的判断就纯凭感受了。
让闲鱼小法庭变成骗子胜利营地的另一个重要原因是职业骗子和闲散卖家的认知差。闲鱼卖家大部分并不是职业开店,只是处理生活中的一些闲置物品,对小法庭的规则了解不会很深。而职业骗子会花费更多的精力去研究如何影响评审团的决策。这就导致两个结果:
一方面被骗卖家提供的凭证不丰满,另一方面职业骗子虽然提供的凭证无法闭环,但“看上去确实有道理”。就是这个没有逻辑,但看上去特别有道理的点,导致闲鱼小法庭变成了骗子的胜利营地。
可以说闲鱼小法庭应该可以解决大部分普通常规纠纷,但对职业骗子,反而是更加的友好了。
比如下图中,有的评审员就知道这个基本的情况,小米Freebuds 4 Pro就没有假货,但对大部分用户来说,又怎么能要求他们知道这个事实呢?
从闲鱼交易欺诈,看业务安全为什么这么难做 - 图7

这个问题看上去感觉好像跟业务安全没有那么大关系,但一定有关系,因为这里还牵扯到另一个问题,就是账号信用及账号成本问题,账号成本就牵扯到技术攻防。
所以,做业务安全就不要从技术视角看问题,技术是手段。在这个模块还体现出来的问题,就是无论是安全服务流程还是业务安全攻防,要考虑的问题都不只是产品体验,还有业务设计及背后的用户分析,对于复杂业务的安全管理,这是业务安全负责人的关键要素。

账号成本:

业务安全最终都是一个攻防成本问题。也就是说,最终目标是让攻击方发现成本已经大于产出了,那就不搞了,或者搞别人去。
因此,在这个被骗的例子中,除了考虑流程设计问题,还有成本问题不能回避。如果最终通过流程优化能把坏人识别出来,把账号干掉,是不是就能解决问题了?当然不是。如果账号的获取成本低于欺诈获利,那这就是一个永续经营的生意了,那就看看闲鱼的账号成本是怎样的。

黑产交易的账号大体分两类(叫法遵循黑产称呼):
类型1:闲鱼私人号
这类账号是实名认证的闲鱼平台账号,相对价格便宜,市场价150左右,成交价110左右,这类账号不包含支付宝账号
类型2:支付宝授权号
通过支付宝账号授权注册的闲鱼平台账号,就是看起来可信度更高的,按照芝麻分的情况大体在150-400之间
按照账号的成本来看,骗子的获利机会还是很大的,一个账号骗一两次就有机会盈利。实际情况的攻防成本要考虑的要素非常的多,攻击方的成本计算包含的不确定也大,比如说平时都好好的,突然一大批账号被封了,这种对于攻击方来说的黑天鹅事件是常有发生的,所以这么简单的算并不科学。但从这个指标上也还是能够了解到攻击方的获利机会是明确的。

既然业务安全复杂度高,那怎么做好业务体验和安全管控的兼顾呢?

很多企业的业务安全建设是救火团队先行,因为事件有了人手赶着救火,早期这种很正常,然后在救火的过程中一边处理问题一边建设业务安全体系。这就会经常导致一个问题,在业务安全建设到一个阶段后,意识到系统的建设并没有业务全局视角,导致头痛医头脚痛医脚的方案最后无法兼顾业务发展和安全管理的需求,难以平衡。
案例1:部分企业因为对业务安全体系的全局视角缺失,导致对特定安全产品高度依赖,认为验证码就是能够解决问题了,结果导致验证码越做越复杂,正常人都崩溃了
案例2:密保方案的设计,缺乏全局视角后过度依赖密保方案,导致最后坏人知道的信息比账号拥有者自己都多
在这两个案例中,都是从看到的表面问题出发再通过特定工具尝试直接解决看到的问题。但就像前面闲鱼平台的案例说到,很多企业的业务安全挑战就是业务和安全交叉的,如果业务又比较复杂和重,这时候安全体系的整体方案设计和规划就成为起点了,这是要先想清楚并且过程中不断巩固的。

那如何尽可能避免从表面问题出发,而是有全局视角呢?

业务风险情报能力是关键手段,是业务安全体系设计的起点。
业务风险情报能力通过直接还原攻击场景的技术和人,再基于此去理解业务当前遇到的风险环境,这时候就不只是能看到技术问题,还能看到业务流程、关键对象、产品设计因素的影响、攻击方的手段影响、攻击方成本结构(便于我们理解自己的位置)、用户的风险流程等等。
拥有了这个全局视角后,再理解完问题,这时候形成的落地方案就会避免局限在某个特定工具和手段上。
举个例子:
账号安全问题,如果单看风险,可能看到的是撞库的问题,然后把精力就都放在解决撞库问题。但其实从整体风险场景去看,就有可能会发现是因为多端登录过于开放导致的问题。这个相信做过账号安全的朋友都理解。那首先要考虑的可能就不是把大部分精力放在解决撞库bot上,就会是如何多端认证上。
**

业务风险情报的建设是确保业务安全建设效率的基础设施。