安全掣肘,消费券发放如何做到物尽其用 – 作者:梆梆安全

5月8日,商务部副部长王炳南在国务院联防联控机制新闻发布会上表示,初步统计,新冠肺炎疫情发生以来,全国有28个省市、170多个地市统筹地方政府和社会资金,累计发放190多亿元的消费券。

消费券,已经成为2020年4月提振经济的一个主题词,各地政府纷纷拿出真金白银,利用消费券的杠杆效应带动当地经济发展。

羊毛党盯上消费券

然而就是一个这样的战略政策,在实际落地过程中却成为了灰产牟利的渠道。就在全民掀起抢券热潮的同时,羊毛党也闻风而动,迫不及待蹲守消费券羊毛”,利用种种不法手段将消费券兑换成现金。看起来很美,但没有谁知道这其中到底有多少比例是被羊毛党、黄牛以及对应的商户蚕食了。

由于首波优惠券没有限制收款方必须是商户,所以‘羊毛党’只要有某平台的付款码,互扫就可以套现,压根不用消费。

后来平台方开始用技术手段拦截作弊行为,‘羊毛党’转而将‘黑手’伸向有资质的商家,与商家合作套现、互相分账;

或者“羊毛党”干脆以消费券票面价值5折-6折的价格转卖给他人。

Image图片2.png

灰产,一直是中国金融和互联网公司的头等头疼问题,最猖獗的时候,促销、红包类活动中,有70%-80%的优惠会被灰产薅走,有公司甚至因此破产。几乎任何有利可图的领域都会被黑/灰产盯上,在这场博弈中,虽然灰产最终牟利尚未可知,但已经流传灰产界有人靠着薅消费券羊毛获利一套房。可见,在消费券发放前期,虽然部分城市政府和平台合作,在发放前期已经做了一些技术上的限制,但仍然很难杜绝消费券被灰产狂薅羊毛。这些限制在灰产看来,利用标准化的操作手法即可轻松突破:

1、 必须手机号注册:目前在灰产界,最不缺的就是手机号,各种接码平台对外提供手机短信验证码接收服务,0.1元不等的价格即可使用一个手机号接收验证码注册一个账号。

2、 位置定位限制:部分城市App在消费券的领取环节必须定位到本地才能领取,然而在灰产从业者通过简单的位置篡改软件,即可实现几乎0成本的位置信息造假;

其实,从各地发放的消费券中,可以看到,消费券规则制定、发放流程、消费结算过程,都是政府在主导,而消费券通过微信、支付宝或者App发放,因此“互联网+”消费券的发放,普通消费者领取使用提供便捷的使用方式,同时也为滋生灰产提供了温床让消费券成为部分灰产口中“最肥美”的羔羊,核心原因有以下几点:

1、 变现操作简单便捷,灰产联合违规商户形成无购物消费行为

2、 领取门槛低,消费券是普惠性质的“优惠活动”,越是普惠性质的优惠活动,领取的门槛就非常低,灰产就越容易抢;

3、 消费券参与商户较多,隐蔽性较高,不易追踪察觉;

4、 部分城市的消费券金额较大,灰产投入产出比较高;

5、 优惠券领取的渠道安全防护措施参差不齐,支付宝、微信这样的大平台有一定的安全防护机制,然而一些当地主导或者商超类APP安全防护措施较低,也为灰产提供了攻击的便利性;

安全和高效,消费券提振经济的制胜法宝

虽然,我们一直在谴责这些发国难财的灰产从业者,这些行为在一定程度上属于违法行为。但是,消费券的发放对于特殊时期的经济提振起到了不容忽视的推动,然而,并不是消费券发完就结束了,更重要的是如何让消费券真正发挥其应有的作用,让最终真正需要的人领取到所需的消费券,让政府的资金投入能够真正换回当地经济的发展。

在这次全国范围的消费券活动过程中,要想对抗灰产,还需要从多个方面努力:

1、 增加商户违法成本:采用抽查+重罚等多种方式,增大威慑力,以杜绝部分商家投机取巧。

2、 在设计发型上封堵漏洞,增加领取人资格审核:对于参与消费券领取的人,可以采用多种认证机制和大数据技术,综合判断是“正常人”还是“灰产账号”;

3、 消费券领取App的安全性要求提升:对于领取消费券的App要充分评估其安全防护措施是否能够对抗灰产,如App是否做了代码保护,防止被破解刷接口;是否能够检测并阻断机器及群控等自动化攻击;是否能够识别并阻断位置造假、设备造假等灰产攻击方式等。

从这次的全国消费券被薅羊毛事件来看,安全绝无小事,真正做好安全绝不是一朝一夕堆两个安全产品就能完成,安全也绝对不是只有金融等行业的专属品。在数字化转型的今天,任何行业都离不开数字化经济带来的便捷性,梆梆安全从成立之初,我们就一直秉承一个企业使命:“保护智能生活”。我们希望,这类事件现在是开始,也是结束,后续有越来越多的制度+技术措施能够确保消费券的资金投放取之于民,惠之于民,真正拉动中国经济的发展。

来源:freebuf.com 2020-05-14 09:58:13 by: 梆梆安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论