顶象学院首页>文章详情

在茅台新App上抢茅台酒 体验线上+线下店业务安全防控

2022-03-31|小象 7634

3月28日,茅台官方宣布电商平台“i茅台”将于3月31日正式上线,自即日起可进行下载。

3月29日,茅台电商平台“i茅台”App登陆苹果App Store当天就冲上免费下载榜第一名,即下载量最高、热度最高。

3月31日,茅台电商平台“i茅台”App正式开始申购。

上午9点至10点,实名认证的账号,可以在“i茅台”App上申购1款商品,在确认申购成功后,将获得一个提货码,然后到指定线下门店提货即可。

目前,“i茅台”上提供申购商品只有4款,分别为:53度500ml贵州茅台酒(壬寅虎年)、53度500ml茅台1935、53度375ml*2(壬寅虎年)、53度500ml贵州茅台酒(珍品)。

不过,“i茅台”不提供53度飞天茅台的申购,消费者可以通过“i茅台”内嵌的页面直接跳转至第三方电商平台进行申购。

社交平台上无数网友表示,准备通过“i茅台”去抢茅台酒。隐藏在黑灰产也在跃跃欲试。消费者是否能抢到商品呢?“i茅台”在防范黑灰产上做了哪些措施呢?

undefined

亲身体验,在“i茅台”买茅台酒

数字化、新零售是茅台营销变革的重要一环。“i茅台”是茅台打造数字化营销平台的重要体现,也非常重视业务安全。

注册环节。消费者需要填写手机号、姓名(与身份证一致)、身份证号码。通过实名认证后,身份证号码不能修改。

“i茅台”未提供账号密码设置,也不提供密码修改,通过手机短信验证码完成登录。

在多重验证成为主流的情形下,“i茅台”将短信验证码作为唯一手段略显单薄。建议增加集行为、环境、设备等识别的网络验证码(如,顶象无感验证),以进一步提升注册、登录安全性,防范机器程序注册登录等。

undefined

账号管理。“i茅台”的账号管理只提供了一个选项“注销账号”,不提供账户名、用户名和手机号的修改。由此可以防止虚假注册、申购后更换身份等情况的发生。

在线申购。申购环节共有五个步骤。

第一步,选择商品。目前“i茅台”提供了53度500ml贵州茅台酒(壬寅虎年)、53度500ml茅台1935、53度375ml*2(壬寅虎年)、53度500ml贵州茅台酒(珍品)4款酒供申购。每天上午9点-10点,通过“i茅台”实名认证的消费者可以直接进行申购,不过,每一场每个品种只能够申购一次。

第二步,开启定位。申购前,“i茅台”首先请求开启手机定位授权,通过地理位置确定商品提货范围,优化配送和供给,同时也防止代理IP、远程操作等异常行为。

第三步,选择门店。基于手机的LBS定位,“i茅台”列出当前市级区域的门店、距离、定位、投放量。申购并不能代表一定能成功,申购失败率比较大。据了解,申购的先后顺序与成功率无关联。

如下截图为某款酒的9点左右申购数量。投放量为个位数,申购量均超过3000和1000,可谓“狼多肉少”,申购成功率比较渺茫。不过,并不影响消费者进行申购,点击“申购”按钮即完成申购。

申购完成系统弹窗提示“申购完成,请于今日18:00查看预约申购结果”。点击“查看详情”按钮,可以看到申购的商品、提货门店地址、门店定位、申购人信息等。

undefined

第四步,结果公示。18点之后,公布今日申购结果。不出所料,三款酒全部申购失败。

点开其中一个申购单的“结果公示”,底部列出申购成功者的部分信息以及选择门店当日投放数量与申购数量:投放6瓶,7232人申购,比率为1:1205,可以说相当火热。

“结果公示”中同时列出该款酒今日全国投放量。全国今日投放3526瓶,有140万2254人通过“i茅台”申购该款酒。

undefined

第五步,支付。有门店支付和线上支付两种,选择线上支付方式后,不能更改为门店支付。不过选择线上支付后,可以更换为不同的线上支付渠道。

通过申购流程的体验发现,“i茅台”的业务安全措施相对严密,不仅使用了大量业务安全技术,还有多轮的线下真人核验,能够有效防范虚假注册、薅羊毛等常见业务风险。当然,业务安全防护上还有更多提升空间。

黑灰产又看到“新商机”

“i茅台”暂不提供53度飞天茅台的申购,但是可以通过“i茅台”内嵌的页面直接跳转至第三方平台。点击相关电商平台后面的“去参与”按钮,自动跳转调用相关电商平台App。如果手机未下载相关电商App,则提示需要下载。

第三方平台的加入让更多消费者购买到茅台酒,减轻“i茅台”业务安全压力,是一种兼顾多重的运营策略。黑灰产却发现一种新的赚钱方式——代抢购。

2020年底,53度飞天茅台在多个电商平台大量上架。同时,某网购平台出现大量“茅台代抢服务”,消费者花几百元就能够参与。

顶象业务安全专家分析发现,“茅台代抢服务”其实是黑灰产团伙用来进行批量薅羊毛的工具。该工具集成破解功能,能破解各电商平台下单协议,绕过图片验证码,自动更换IP地址,伪造设备编号等。 

消费者拍下服务后,需要提交电商平台账户密码。黑灰产将消费者的电商账号密码等信息填写工具里,设置好运行时间,选择和平台和抢购商品,电商平台开售后,软件即自动代替消费者抢购。

电商平台的抢购需要拼速度。人抢购商品靠的是神经反应,而软件自动化运行速度远远超过人的操作,因此抢购成功率高于普通消费者。

顶象保障企业数字业务安全

顶象是国内领先的业务安全公司,旨在帮助企业构建自主可控的业务安全体系,实现业务的可持续增长。自主研发全链路的风控中台产品矩阵和一站式的业务安全防御云,包括设备指纹、智能无感验证、实时决策平台、移动态势感知、业务安全情报、端加固、数据采集保护、工业系统保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,有效保障了企业的业务应用和基础设施安全。

其中,顶象移动态势感知防御系统通过威胁探针、实时计算、风险识别引擎、模型引擎等先进技术,集设备风险分析、运行攻击识别、异常行为检测、安全预警、风险处置为一体,能够对设备、威胁、行为、程序等信息进行多维度的汇总、统计、挖掘、分析,并进行可视化管理,能够实时发现并防控各类恶意行为,提升平台安全能力,保障企业数字业务安全。

顶象无感验证是一个具备智能交互、实时计算、模型分析、决策判断等能力综合性安全系统,集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,基于设备、时间、访问频率、操作轨迹等信息,智能分析与预先判定操作者是合法用户还是仿冒者,进而判断是否需要弹出验证码:对于合法用户,免验证即通过;对于异常用户,根据潜在风险等级进行二次验证或直接拦截。能够有效防范垃圾注册、仿冒登录、盗取信息、刷票刷粉刷流量、账户盗用,保障数字业务安全运营秩序。

顶象App加固基于独有的虚机源码保护技术,将App的应用文件通过隐藏、混淆、加密等操作,进行某种形式的转换,以对App代码和逻辑进行安全保护,可有效侦测对抗动态调试、代码注入、内存dump、root环境、多开环境、模拟器、重打包等威胁,防止遭到入侵破解、核心数据泄漏等风险。顶象App加固自带“蜜罐”功能,可以通过自身的探针感知到环境的变化,实时探测到外界对本环境的调试、注入等非正常执行流程变化,将调试动作引入程序陷阱,并发出警报,进一步提高App的安全强度。

截止2021年底,顶象已为电商、银行、航旅、零售、出行、政企、保险、视频、教育、游戏、互联网、智能制造等10多个行业,2000多家企业提专业服务。

微信扫码
获取方案价格

加入社群

扫码进群领
【业务安全】资料礼包

在线咨询
400-878-6123