【揭秘】微信小程序生态场景下,智能风控攻守之道
2017年1月9日,腾讯微信团队推出了一个划时代的产品“小程序”。经过持续迭代和打磨,目前小程序成功建立了完整的生态体系,拥有超过100万个小程序、150万开发者和5000多个第三方平台,每日人均打开小程序次数达到4次。这里也正成为了中国大部分互联网公司主动参与和竞争的流量战场。
据世界经济论坛发布的《The Global Risks Report 2018》中,网络安全已经成为除自然灾害以外,最大的风险所在。据统计,2017 年黑产从业人员超 150 万,市场规模更是达到了千亿级别。
在互联网上,任何美好的产品都不能回避黑产这个躲在阴暗处的强大对手,小程序也不例外。我们今天就谈谈在小程序生态中,如何对抗黑产。
小程序官方平台的安全性
万丈高楼平地起,小程序官方平台自身的安全性是这个生态体系最基础和最重要的。腾讯目前拥有全球顶级的安全团队,在小程序上线前也对小程序官方平台进行全面的安全规划和测试,覆盖了以下多个方面:
Ø 小程序开发者工具IDE和网页后台
Ø 小程序MINA JS引擎和JSAPI调用接口
Ø 客户端权限管理
同时,我们也看到腾讯安全团队在小程序上线当天即发布了“微信小程序安全守护”活动,号召安全社区一期共建小程序安全生态。
从目前的公开信息来看,小程序官方平台还没有被曝光过严重的安全漏洞,安全性可谓是稳如磐石。
开发者如何对抗黑产
对于小程序开发者来说,所面临的安全风险与普通Web应用基本相同。小程序开发者和运营者需要面对的安全挑战主要包含:
01
小程序开发者后端应用的安全防护
小程序作为用户交互的入口,最终的业务处理往往还是要在开发者后端的服务器上完成。我们以小程序购物的场景为例:
小程序开发者和运营公司必须要保障自己的后端应用安全、服务器安全、敏感数据和网络传输过程的安全。一旦后端出现安全问题,轻则导致服务不能正常使用,重则导致用户数据被窃取和破坏,对业务造成毁灭性打击。
其实这是传统的网络安全防御的问题,稍具规模的互联网企业都已经配备了相应的安全团队并且建立了对应的流程。
02
小程序内容安全
内容安全是小程序开发和运营企业要面对的一个“致命”风险。如果你的小程序具备了内容交互的功能,那么必须确保内容的合法合规,否则随时面临封禁。小程序官方已经为开发者提供了内容安全接口,帮助开发者检测文本、图片是否含有色情、赌博等违法违规或敏感不当内容,提升内容审核效率。
03
小程序的代码保护
小程序的开发是基于JS的,同时平台又不支持做很强的混淆保护(防止开发者暗藏玄机),很容易被攻击者逆向分析。在电商等场景下,建议开发者把敏感的逻辑尽量写在处理业务的后台,而不是写在小程序前端。
04
小程序营销场景的反“薅羊毛”
任何有互联网营销活动地方,“羊毛党”都不会缺席。鉴于小程序形态的特殊性,大多互联网企业积累的Web和 APP生态下的风控措施并不能很好的直接拿来使用,所以“羊毛党”可能是小程序生态中要面对的最大毒瘤。
我们看这样一个电商营销活动场景:
在传统的Web和 APP环境下,因为整个体系是在企业内部闭环的,可以通过各种维度的数据(如IP、注册手机号、用户设备环境等)结合算法发现羊毛党,确保大部分优惠券能够发送到合法的用户手中,达到促销的效果。而在小程序场景下,大部分互联网开发者还没有足够的能力利用小程序的特性建立起有效的风控策略。“羊毛党”通过自己养或着批量购买的大量微信号能够成功的扫荡营销活动的优惠券或着企业红包进而谋取大量利润。
我们从黑产市场上监控到的数据来看,微信账号的价格是远高于所有其他同类账号的价格的,在这个业务体量下能将账号安全做到如此水平,绝非易事。
我们如何对抗数以十万计的“羊毛党”呢?这里分享一下同盾在微信小程序生态下与黑产的攻守之道与术——同盾科技的小程序设备指纹+智能验证码组成的解决方案。
同盾小程序设备指纹产品是国内第一款微信小程序安全风控产品,通过使用系统浏览器内核黑科技、配合小程序的特性和同盾强大的决策引擎, 能够在不使用用户隐私数据的情况下精确分析出每一个设备上的小程序用户使用情况,挖掘出小程序生态下的“羊毛党”团伙,为客户的业务护航。有别于某些简单抓取浏览器cookie等信息的小程序设备指纹产品,同盾科技基于小程序的研究早在17年便已开始,并且随着产品的不断更新迭代,目前已拥有成熟的运营经验及与黑产持续对抗能力,产品的生命周期代表了同盾基于小程序设备指纹研究的领先优势。
Ø 2018年1月31日,正式立项
Ø 2018年4月18日,正式上线
Ø 2018年4月,浙江某银行的小程序成为第一家接入客户
Ø 2018年8月,已接入客户数十家,客户涵盖消费金融、电商和游戏小程序等各个行业
一般情况下,使用同盾的设备指纹即可快速、精准定位黑产“羊毛党”,同时结合同盾智能验证码技术,则可形成有效立体对抗,使得黑产攻击难度数倍提升,更好地保护业务安全。
同盾科技作为国内领先的第三方智能风控及分析决策服务商,在与黑产的持续对抗中,不仅积累强大的技术能力,也沉淀下规模庞大的标签数据库,结合丰富的反欺诈风控经验,对黑产形成有力的震慑和围剿作用。
了解同盾更多讯息:
• end •
关注 | 长按扫码