一、vivo渠道服游戲黑產(chǎn)獲利點(diǎn)分析

1.1 黑灰產(chǎn)定義和分工

一般來(lái)說(shuō)，黑色產(chǎn)業(yè)指的是從事具有違法性的活動(dòng)且以此來(lái)牟取利潤(rùn)的產(chǎn)業(yè)。

而灰色產(chǎn)業(yè)則指的是不明顯觸犯法律和違背道德，游走于法律和道德邊緣，為 “黑產(chǎn)” 提供輔助的爭(zhēng)議行為。

黑灰產(chǎn)按照分工不同，大致可以分為4類：

（1）源頭類黑產(chǎn)

掌握號(hào)源信息或身份信息等的黑產(chǎn)。常見的有手機(jī)號(hào)、身份證、工商信息等信息，通過(guò)販賣用戶信息獲利。

（2）平臺(tái)類黑產(chǎn)

用于非法交易、交流的平臺(tái)類黑灰產(chǎn)。如惡意網(wǎng)站、惡意論壇和惡意群組，以及類似提供接碼、打碼的平臺(tái)。

（3）技術(shù)類黑產(chǎn)

為中下游技術(shù)性不強(qiáng)的黑灰產(chǎn)從業(yè)人員制作并提供各類軟、硬件設(shè)備和服務(wù)，如木馬植入、釣魚網(wǎng)站及各類惡意軟件。

（4） 實(shí)施類黑產(chǎn)

實(shí)施各類違法犯罪行為的黑灰產(chǎn)，基于中下游鏈路，黑灰產(chǎn)在實(shí)施環(huán)節(jié)常常表現(xiàn)為惡意行為、詐騙等形式。

1.2 游戲行業(yè)常見的黑灰產(chǎn)問題

游戲行業(yè)常見的黑灰產(chǎn)問題主要包含：網(wǎng)絡(luò)攻擊、外掛、盜號(hào)、羊毛黨、內(nèi)容違規(guī)等。

1.2.1 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊主要以DDoS攻擊為主，就是利用大量合法的分布式服務(wù)器對(duì)目標(biāo)發(fā)送請(qǐng)求，從而導(dǎo)致正常合法用戶無(wú)法獲得服務(wù)。

游戲行業(yè)的網(wǎng)絡(luò)攻擊主要來(lái)源于競(jìng)爭(zhēng)者，通過(guò)網(wǎng)絡(luò)攻擊使攻擊對(duì)象的用戶無(wú)法正常進(jìn)行游戲，影響用戶體驗(yàn)，并造成用戶流失，從而使攻擊者自身的利益不受威脅。

如2021年8月，一款合成類游戲在首發(fā)期間就遭受黑客DDoS攻擊，造成游戲玩家無(wú)法登錄和游戲內(nèi)卡頓等問題，引起大量用戶投訴。

1.2.2 外掛

游戲外掛讓大部分玩家、游戲公司深惡痛絕，卻因有著源源不斷的市場(chǎng)需求，外掛黑色產(chǎn)業(yè)鏈屢禁不止。游戲外掛通常指的是通過(guò)篡改游戲客戶端代碼，讀取或者修改游戲運(yùn)行過(guò)程中的數(shù)據(jù)來(lái)實(shí)現(xiàn)作弊功能的插件。

外掛的獲利方式有多種：直接出售外掛獲利、外掛內(nèi)分發(fā)廣告獲利、使用外掛刷游戲資產(chǎn)交易獲利、外掛代練、外掛“帶老板坐飛機(jī)”、外掛養(yǎng)號(hào)等。

外掛泛濫的原因主要有三：一是外掛開發(fā)的工業(yè)化不斷拉低開發(fā)的門檻；二是國(guó)內(nèi)成熟的外掛分銷體系使外掛銷售更加便捷；三是外掛廣告行為等行為缺乏規(guī)制，助推了外掛消費(fèi)和產(chǎn)業(yè)對(duì)接。

在上述三個(gè)因素的加持之下，伴隨游戲行業(yè)的火爆，游戲外掛的規(guī)模越來(lái)越大。

1.2.3 盜號(hào)

盜號(hào)，是從端游時(shí)代起就存在于游戲業(yè)內(nèi)的老問題了。一方面，賬號(hào)的安全問題關(guān)系到游戲能否長(zhǎng)期穩(wěn)定運(yùn)營(yíng)，另一方面，賬號(hào)被盜導(dǎo)致虛擬財(cái)產(chǎn)流失，給玩家?guī)?lái)慘痛損失的同時(shí)，也損害了游戲廠商的品牌形象。

盜取游戲賬號(hào)信息，用行內(nèi)黑話來(lái)說(shuō)，又叫作“出信”。所謂“信”，指的就是游戲賬號(hào)密碼等信息。這個(gè)領(lǐng)域又涉及到撞庫(kù)、拖庫(kù)、釣魚、種馬(木馬)等等手段。

盜號(hào)主要通過(guò)出售用戶信息、售賣游戲帳號(hào)資產(chǎn)、詐騙等方式獲利。

1.2.4 羊毛黨

羊毛黨大都采取以量取勝的策略，比如養(yǎng)號(hào)、刷量、薅羊毛等。使用這種策略的黑灰產(chǎn)從業(yè)者，充分利用“長(zhǎng)尾效應(yīng)”，本著“蒼蠅腿上也是肉”的原則，把蛋糕做大。

羊毛黨通過(guò)批量注冊(cè)帳號(hào)參與游戲廠商或者第三方平臺(tái)的活動(dòng)，領(lǐng)取禮包CDKey、充值禮券等，再通過(guò)交易平臺(tái)出售給游戲玩家獲利。

如某網(wǎng)游在交易貓上的交易價(jià)格為1元≈14金幣，游戲內(nèi)售價(jià)為1元=10金幣，若不計(jì)算其他成本，如果黑產(chǎn)能夠獲取低于七折的禮券，則能夠?qū)崿F(xiàn)交易獲利。

1.2.5 內(nèi)容違規(guī)

內(nèi)容違規(guī)主要涉及到游戲內(nèi)發(fā)帖、發(fā)消息等文本內(nèi)容灌水、涉黃、涉政、涉暴等違規(guī)風(fēng)險(xiǎn)。

內(nèi)容違規(guī)的獲利點(diǎn)比較多，直接獲利點(diǎn)通過(guò)接單刷帖獲利，間接獲利則是引流至三方網(wǎng)站或app，通過(guò)賭博、詐騙等手段獲利。

不同類型的游戲所面臨的黑產(chǎn)問題不同，具體可參考《2021游戲安全白皮書》，因篇幅有限，本文不再贅述。

圖片來(lái)源：《2021游戲安全白皮書》

1.3 vivo游戲關(guān)注的黑產(chǎn)問題

vivo游戲作為游戲渠道或者分發(fā)平臺(tái)，關(guān)注的黑產(chǎn)問題和游戲開發(fā)者有所不同，游戲外掛等具體游戲內(nèi)的黑產(chǎn)問題和平臺(tái)無(wú)關(guān)，但游戲開發(fā)者和平臺(tái)之間的利益分配就會(huì)成為開發(fā)者作弊的動(dòng)機(jī)，同時(shí)vivo平臺(tái)為了增加渠道的用戶黏性，也會(huì)為用戶開展一系列活動(dòng)，發(fā)放游戲禮包、禮券等福利禮品等，這也可能成為黑產(chǎn)的獲利點(diǎn)。

我們需要關(guān)注的黑產(chǎn)問題主要分為兩類：游戲開發(fā)者相關(guān)的黑產(chǎn)問題和用戶相關(guān)的黑產(chǎn)問題。

1.3.1 游戲開發(fā)者相關(guān)的黑產(chǎn)問題

顧名思義，游戲開發(fā)者相關(guān)的黑產(chǎn)問題即以游戲開發(fā)者為主體發(fā)起的黑產(chǎn)行為，常見的黑產(chǎn)問題有分發(fā)刷量和自充值問題。

分發(fā)刷量指通過(guò)如刷預(yù)約、下載、評(píng)論、榜單、啟動(dòng)、時(shí)長(zhǎng)、廣告等方式幫助游戲開發(fā)者在vivo平臺(tái)獲得用戶流量或者廣告收益；

自充值則是指游戲開發(fā)者通過(guò)自充值的方式提升其在vivo平臺(tái)的“流水”，以在融資、商業(yè)合作、流量獲取等方面獲取有利條件。

1.3.2 用戶相關(guān)的黑產(chǎn)問題

用戶相關(guān)的黑產(chǎn)問題，主要指的是黑產(chǎn)利用批量注冊(cè)的方式掌握大量的vivo帳號(hào)，在游戲禮包、游戲禮券、營(yíng)銷活動(dòng)等場(chǎng)景刷量獲利。

二、vivo游戲黑產(chǎn)作弊特征識(shí)別和打擊

黑產(chǎn)危害之大，不得不引起平臺(tái)的重視，對(duì)黑產(chǎn)問題予以打擊，將其對(duì)平臺(tái)的影響降低在可控的范圍內(nèi)。

首先介紹黑產(chǎn)刷量方式及優(yōu)缺點(diǎn)。

2.1 黑產(chǎn)刷量方式及優(yōu)缺點(diǎn)

黑產(chǎn)刷量方式大致可分為三類：模擬真人刷、接口刷、真人刷。

2.1.1 模擬真人刷量

模擬真人刷量，也稱機(jī)刷，通常是使用群控設(shè)備，結(jié)合改機(jī)工具（修改設(shè)備參數(shù)）、秒撥機(jī)（切換ip）等來(lái)達(dá)到刷量的目的。

• 模擬刷量：Xposed模塊導(dǎo)入手機(jī)，打開相應(yīng)app，即開始hook設(shè)備信息，隨后用自動(dòng)化腳本實(shí)現(xiàn)下載、安裝、卸載。
• Hook：手機(jī)安裝xposed框架，分析apk包，編寫xposed模塊。
• 自動(dòng)化腳本：安裝appium，編寫自動(dòng)化腳本模擬進(jìn)行打開、點(diǎn)擊、滑動(dòng)等操作。
• 木馬：通過(guò)“感染”真實(shí)設(shè)備，自動(dòng)執(zhí)行程序下載或者調(diào)起應(yīng)用，達(dá)到下載的目的。
• 模擬器：在設(shè)備有限的情況下，可以通過(guò)模擬器模擬簡(jiǎn)單的設(shè)備參數(shù)進(jìn)行刷量。

2.1.2 接口刷

接口刷，即通過(guò)協(xié)議刷量，通常是通過(guò)破解請(qǐng)求中的加密算法從而來(lái)自由構(gòu)造請(qǐng)求，結(jié)合http代理等來(lái)達(dá)到刷量的目的。

2.1.3 真人刷

真人刷量，即通過(guò)真人真機(jī)刷量，常見的真人刷量方式包含積分墻，App領(lǐng)域的試玩（激勵(lì)）平臺(tái)，通過(guò)獎(jiǎng)勵(lì)玩家現(xiàn)金或者禮物的方式激勵(lì)玩家到各種分發(fā)平臺(tái)（主要是應(yīng)用市場(chǎng)）去做任務(wù)：

下載任務(wù)（目的：沖榜），或者是去搜索-下載-打開任務(wù)（目的：提升關(guān)鍵詞排名），或者是去五星好評(píng)（目的：提升產(chǎn)品綜合權(quán)重）。

2.1.4 各刷量方式的優(yōu)缺點(diǎn)

不同的刷量方式各有優(yōu)缺點(diǎn)，黑產(chǎn)一般根據(jù)場(chǎng)景的刷量量級(jí)和作弊難度進(jìn)行選擇。

2.2 vivo游戲反作弊方案

“敵暗我明”，黑產(chǎn)作弊往往防不勝防。而vivo作為游戲渠道，又有哪些反作弊的難點(diǎn)呢？

2.2.1 vivo游戲反作弊難點(diǎn)

（1）帳號(hào)全渠道通用的“木桶效應(yīng)”

不同于游戲廠商自身的帳號(hào)體系，vivo游戲與其他業(yè)務(wù)的帳號(hào)是通用的，甚至不同國(guó)家和地區(qū)注冊(cè)的帳號(hào)也可跨地區(qū)登錄和使用。

比如，vivo內(nèi)銷注冊(cè)必須通過(guò)手機(jī)號(hào)注冊(cè)，而外銷則可以通過(guò)郵箱注冊(cè)，作弊成本更低。且數(shù)據(jù)合規(guī)禁止數(shù)據(jù)跨境傳輸，風(fēng)控?zé)o法獲取帳號(hào)相關(guān)信息，打擊難度進(jìn)一步提升。

帳號(hào)通用同時(shí)意味著帳號(hào)價(jià)值的提升，黑產(chǎn)批量注冊(cè)的帳號(hào)，不僅可以在游戲場(chǎng)景刷量，也可以在官網(wǎng)、積分、會(huì)員、活動(dòng)等業(yè)務(wù)場(chǎng)景使用，在一定程度上降低了黑產(chǎn)注冊(cè)帳號(hào)的成本。

（2）聯(lián)運(yùn)低版本的風(fēng)險(xiǎn)問題

由于vivo聯(lián)運(yùn)的游戲眾多，一些游戲廠商并沒有持續(xù)地維護(hù)和更新，這就導(dǎo)致vivo聯(lián)運(yùn)apk升級(jí)時(shí)不能夠同步更新。而低版本apk往往存在一些漏洞，考慮到低版本升級(jí)可能導(dǎo)致游戲適配的問題，聯(lián)運(yùn)側(cè)一般不會(huì)強(qiáng)制用戶升級(jí)至高版本。

（3）可交易游戲的刷量問題

一些游戲內(nèi)自帶交易系統(tǒng)，為黑產(chǎn)刷量交易獲利提供了極大的便利，這些游戲往往也是vivo游戲禮券刷量的“重災(zāi)區(qū)”。

2.2.2 vivo游戲業(yè)務(wù)安全防控體系

目前風(fēng)控側(cè)已建設(shè)事前風(fēng)險(xiǎn)感知->事中風(fēng)險(xiǎn)識(shí)別->事后打擊的業(yè)務(wù)安全防控體系。

（1）事前風(fēng)險(xiǎn)感知：

通過(guò)安全評(píng)審、安全攻防、情報(bào)調(diào)研、安全態(tài)勢(shì)感知等事項(xiàng)，來(lái)前置/及時(shí)發(fā)現(xiàn)業(yè)務(wù)場(chǎng)景存在的風(fēng)險(xiǎn)。

好的業(yè)務(wù)安全防護(hù)一定不能脫離業(yè)務(wù)。業(yè)務(wù)安全方案的制定，既需要系統(tǒng)的安全能力建設(shè)，也需要風(fēng)控人員深入業(yè)務(wù)，根據(jù)業(yè)務(wù)特性制定完善的安全方案，這樣才能夠保證既能夠打擊黑產(chǎn)作弊行為，又不會(huì)誤傷正常用戶請(qǐng)求。

同時(shí)，風(fēng)控側(cè)也站在攻擊者的視角，對(duì)各業(yè)務(wù)場(chǎng)景進(jìn)行攻防演練，對(duì)黑產(chǎn)的產(chǎn)業(yè)鏈進(jìn)行調(diào)研分析，并對(duì)黑產(chǎn)可能攻擊的風(fēng)險(xiǎn)點(diǎn)建設(shè)相關(guān)指標(biāo)進(jìn)行實(shí)時(shí)和離線監(jiān)控，力求前置發(fā)現(xiàn)業(yè)務(wù)場(chǎng)景存在的風(fēng)險(xiǎn)，并在黑產(chǎn)攻擊的第一時(shí)間同步業(yè)務(wù)及時(shí)作出應(yīng)對(duì)。

（2）事中風(fēng)險(xiǎn)識(shí)別：

事中的風(fēng)險(xiǎn)識(shí)別指離線風(fēng)控和實(shí)時(shí)風(fēng)控來(lái)進(jìn)行多層級(jí)的風(fēng)險(xiǎn)決策，最大限度的識(shí)別風(fēng)險(xiǎn)。

事中識(shí)別是風(fēng)控策略的核心，這里主要介紹幾種常見的規(guī)則類型：

• 請(qǐng)求頻繁和參數(shù)聚集：如單個(gè)設(shè)備上大量帳號(hào)請(qǐng)求，或大量請(qǐng)求聚集于某個(gè)低app版本等。
• 設(shè)備校驗(yàn)：主要包含設(shè)備真實(shí)性校驗(yàn)和參數(shù)合法性校驗(yàn)，識(shí)別偽造設(shè)備參數(shù)的接口刷或者模擬器刷量請(qǐng)求。
• 風(fēng)險(xiǎn)數(shù)據(jù)過(guò)濾：根據(jù)三方數(shù)據(jù)或者利用歷史數(shù)據(jù)信息建模分析，生成風(fēng)險(xiǎn)IP、風(fēng)險(xiǎn)手機(jī)號(hào)、風(fēng)險(xiǎn)openid等名單，限制黑產(chǎn)請(qǐng)求。
• 陌生環(huán)境請(qǐng)求：針對(duì)帳號(hào)換端登錄、新注冊(cè)帳號(hào)、非vivo環(huán)境等特征進(jìn)行加強(qiáng)校驗(yàn)，不根據(jù)單一特征直接攔截，但可作為組合策略的子規(guī)則加以利用。
• 行為鏈路完整性校驗(yàn)：主要識(shí)別單個(gè)場(chǎng)景的接口刷，如不安裝游戲條件下評(píng)論、無(wú)曝光有點(diǎn)擊等作弊行為。

（3）事后打擊閉環(huán)：

業(yè)務(wù)安全是一個(gè)持續(xù)對(duì)抗的過(guò)程，事后我們一方面需要打擊刷量主體，提高主體的作弊成本；另一方面需要進(jìn)行案例分析沉淀，對(duì)風(fēng)控策略進(jìn)行評(píng)估和系統(tǒng)告警進(jìn)行分析，明確風(fēng)控規(guī)則誤傷和漏過(guò)情況，不斷優(yōu)化風(fēng)控策略。

三、vivo游戲黑產(chǎn)反作弊案例分析

3.1 官網(wǎng)會(huì)員新購(gòu)機(jī)游戲禮券刷量事件

3.1.1 事件背景

19年年末始，會(huì)員贈(zèng)送的新購(gòu)機(jī)游戲禮券權(quán)益頻繁遭遇冒領(lǐng)，用券游戲主要為“捕魚類”游戲。

3.1.2 黑產(chǎn)作弊路徑分析

3.1.3 風(fēng)控打擊方案

• 對(duì)用戶請(qǐng)求設(shè)備參數(shù)進(jìn)行嚴(yán)格校驗(yàn)，并結(jié)合帳號(hào)、ip信息等維度，準(zhǔn)確識(shí)別用戶身份
• 監(jiān)控領(lǐng)券成功數(shù)據(jù)和用券數(shù)據(jù)，及時(shí)發(fā)現(xiàn)漏過(guò)情況
• 建立禮券交易情報(bào)監(jiān)控體系，關(guān)注禮券交易情況

3.2 游戲禮包刷量問題

當(dāng)前vivo游戲禮包主要分為CDKey禮包和自動(dòng)發(fā)放禮包，CDKey禮包由于其交易的便利性，一直得到黑產(chǎn)“青睞”。

3.2.1 事件背景

2021年8月某游戲首發(fā)，首發(fā)禮包豐厚，吸引黑產(chǎn)批量盜刷該禮包

3.2.2 事件原因

• 禮包價(jià)值高，外銷帳號(hào)注冊(cè)和登錄態(tài)校驗(yàn)存在“低門檻”，吸引黑產(chǎn)攻擊
• 被風(fēng)控策略識(shí)別后，黑產(chǎn)不斷切換作弊特征，并利用高并發(fā)請(qǐng)求繞過(guò)風(fēng)控限制

3.2.3 黑產(chǎn)作弊路徑分析

3.2.4 風(fēng)控打擊方案

整體思路：各方配合提高黑產(chǎn)在整個(gè)刷量鏈路的作弊成本

（1）業(yè)務(wù)側(cè)：

• 登錄票據(jù)升級(jí)，設(shè)置票據(jù)有效期
• 聯(lián)合游戲開發(fā)者將禮包直接發(fā)放至游戲帳號(hào)，切換交易路徑
• 積分任務(wù)加密，提高積分刷量門檻

（2）帳號(hào)側(cè)：

• 凍結(jié)惡意外銷帳號(hào)
• 上線外銷帳號(hào)登錄態(tài)失效能力

（3）風(fēng)控側(cè)：

• 加強(qiáng)對(duì)外銷帳號(hào)的打擊
• 提升驗(yàn)證碼難度
• 游戲禮包交易情況定期調(diào)研
• 加強(qiáng)對(duì)各鏈路指標(biāo)的異常監(jiān)控，及時(shí)發(fā)現(xiàn)漏過(guò)情況

（4）游戲開發(fā)者側(cè)

• 聯(lián)合游戲開發(fā)者失效惡意領(lǐng)取禮包CDKey，在最后一個(gè)環(huán)節(jié)切斷黑產(chǎn)獲利途徑

四、總結(jié)

本文從vivo游戲平臺(tái)的角度出發(fā)，分析vivo游戲黑產(chǎn)的獲利點(diǎn)和作弊特征，并結(jié)合案例分享vivo游戲識(shí)別和打擊黑產(chǎn)的防控體系，希望對(duì)游戲和業(yè)務(wù)安全的從業(yè)者在對(duì)抗黑產(chǎn)的問題上有所幫助。同時(shí)，對(duì)本文內(nèi)容有任何疑問和建議，歡迎大家批評(píng)指正。