一文带你破解移动安全风控难题,高效做好业务风控

27 4月
2022-04-27 Posted by hzz 访问量:2,249 次
距离MobDNA移动安全风控系统正式上线面向客户已经有接近两个月时间,这段时间里有大量的客户前来咨询和试用,在交流过程当中我们发现了一些具有共通性的客户需求和问题,今天请到了MobDNA产品负责人Luka和安全工程师大侠,来为大家解答和科普一些大家最关注的移动安全风控问题和知识。 

Q1:当前买量和变现业务中,主流的作弊手段都有哪些?

结论:虚拟机,设备群控

 

延展:当今的作弊手段已经从简单粗暴,变为隐蔽多变,我们能够从真实的投放数据中看到,始于2015年的大点击在2022年的占比已经很小,渠道和商店劫持情况也在不断好转,由于企业对于营销增长的认知了解在不断深入,黑灰产的作弊方式也正在深入业务核心内部,以及对设备底层进行研究。

 

作弊比例最高的类型是虚拟机和设备群控,能够占据总作弊量的50%以上,其次还有ROOT和越狱,设备篡改以及更改ROM。这些作弊手段衍生出了多种多样的作弊场景,例如批量刷转化,自动脚本点击广告,模拟真人行为,低端机改高端机等等。

Q2:这些作弊手段的技术原理大致是怎样的?

结论:伪造,篡改

延展:利用机器和程序化的代码脚本模拟一台真实设备就是伪造,可以理解为“由无变有”,黑灰产的工作室可能没有任何我们常规理解下的手机,取而代之的是一台封装好的机器,甚至是一个电脑软件,它们拆解应用的架构与接口,模拟系统参数和环境,使得向外部发送的数据与真实设备相差无几,从而达到最低成本的作假。然而这种技术最一开始并非为黑灰产所研制,我们常见的云测试,以及PC端的模拟器都是利用这种技术实现的,只不过黑灰产将其用作非法获利,所谓“一把刀可以做菜,也可以杀人”。

而将真机通过修改权限和注入进程,达到批量化控制与模拟真人行为就是篡改,可以理解为“由黑变白”。与伪造不同,篡改是有实体机的,通过与伪造类似的方法,侵入到系统和设备底层,获取最高权限,将实体机进行统一控制和操作,同时也可以伪造各种数据。市面上常见的各种ROOT和越狱工具,各种辅助软件和远程操作工具都是此原理,黑产将其应用在了设备农场,真机群控,以及伪造设备多样性等实践中。

 

Q3:黑灰产会对企业造成哪些危害和损失?

结论:成本的浪费,决策的失真

延展:黑灰产会让企业从第一步买量开始就在接收大量虚高的信息,而广告平台会将假量注入到学习模型中,可以想象广告主对“爆量”的假渠道追加预算,广告平台对“爆量”的假子媒体提升竞价能力,是一件多么可怕的事,其实黑灰产往往都在与核减比例做博弈,而实际情况是只要不是100%核减,黑灰产就是盈利的。

对于变现端,情况有所不一样,黑灰产深谙变现逻辑,知道用低端手机模拟高端手机可以增加广告质量,知道哪些广告的价值高就去刷哪些广告,知道做一些简单的后续效果保证竞价能力,知道羊毛怎么薅能避开开发者的策略。但开发者是后知后觉的,往往变现平台通知变现款被核减甚至账号被封时,才知道自己的App被刷得这么严重。

案例:2022年春节期间,某变现平台的网赚类开发者账户遭到大面积核减和封禁,原因是短时间内有大量Android硬改设备伪造高端机型获取表单和中重度游戏的广告,但后续效果奇差,遭到广告主投诉,最后追查到上游流量测进行了处理。我们了解到最高核减比例高达100%并处账号封禁措施,单账户直接损失在春节3天内达200多万,C端用户提现损失达10多万。加上买量侧的成本支出共计近500万损失,相当于一个中型IAA公司的全年利润。
Q4:风控的基本方法论是怎样的,如何进行防控?

结论:先查设备,再查行为

延展:可以理解设备层面有问题的用户,一定存在风险,如果再加上一些行为方面的聚集和群伙特征的话,风险等级更高。我们当然不能排除一些真实用户拥有技术能力,把自己的手机进行改造(比如自行越狱和重装系统),但这类用户的比例在总体样本中占比实在太低,我们需要防控的是具有规模化的黑灰产团伙,而想要以低成本控制成千上万的设备,则必须要将设备进行篡改,甚至伪造设备,这部分设备对于企业的危害性是最大的。在对设备进行风控时,要对移动端系统以及黑灰产手段有充分了解,单说虚拟机一种作弊方式,就有十几种实现方式,作弊特征往往要在几百个文件路径和内容中筛查和提炼,没有相关经验和人手很难进行持续对抗。

而行为层面则是更后置的风控方法,也就是说必须有了行为,或者一段时间观察是否有行为,才能判断,而行为则是根据设备、账号、网络环境等维度,单向或交叉验证频次,离散度、聚集性、时序性、关联性等特征。一个好的行为策略体系应该是互相补充,层层递进的,因为黑灰产的最大目标,就是尽量达到拟人化操作,这里面的误杀和漏杀比例,完全取决于策略的准确性和完整性。行为策略是最容易实现的,也是以结果为导向的风控方法,但也是相比较而言误杀率最高的,有资源的企业倾向更多使用机器学习代替人工决策。这是一个方法,但黑灰产在不断进化,要保证当前的学习模型和正负样本的及时有效,就需要配备一个特征挖掘和画像处理的团队,成本和收益的平衡是一大难题。

 

Q5:如何验证和优化风控的效果?

结论:结果导向,因地制宜

延展:作弊类型多种多样,并不是每一种都要用最严格的方式处罚,“如何风控”和“如何处置”是两码事,更常用的方式是对一台设备或一个用户打上风控的标签,比如ta是一个ROOT用户,并且没有SIM卡,屏幕还设置为常量,针对这些标签,以及后续的行为事件,为其构建立体的负画像(Negative Photograph),再对画像进行评级打分,根据评分确定高中低风险,最后由风险等级和标签确定处置规则,处置规则也应该有永久和临时两种策略。随着时间的推移,也应该有递增和衰减的机制,这里面还需要考虑不同应用自身的特性,例如加速器类产品,就不能用是否开启了VPN或辅助软件定义真伪。

在做好完备的处置策略后,验证策略的效果需要使用到AB Test里的分流概念,将流量按照有无一项策略进行分流实验,控制单一变量,保证同期同频,量化指标可以包含变现效率、留存、ROI以及行为路径,产生实验结果后,还需要一套快速调整策略的后台体系,将准确率和召回率高的策略发布到全局,将表现差的策略降级或剔除,并与其他“无效策略”组成负样本规避风险。

 

Q6:风控应该如何与业务进行紧密结合,为业务增长创造价值?

结论:前后联动,双向赋能

延展:市场投放团队、产品运营团队、安全风控团队各自的风控诉求不尽相同,但最终目标都是减少成本损失,提升业务增长,基于这个理念,风控的决策行动应该在整个增长业务中一以贯之,并起到连接和传递的作用,买来的量是假的,后期运营时当然需要额外注意,技术团队当然也要重点分析提炼共性,割裂的数据和标准不一的风控流程无法形成完整的风控体系,有可能还会损害企业利益。

 

最后,业务安全风控不可能一劳永逸,长期持续的攻防对抗是企业抵制黑灰产的常态,基于上面提到的移动安全风控问题和解答, 希望能够帮助到大家在实际的业务风控中能够有效避坑,少走弯路,确保业务高效增长!

现在申请,即刻免费试用MobDNA,为你的业务保驾护航!