顶象防御云业务安全情报BSL-2022-a3c11号显示，某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票，严重影响其他用户参与的积极性，给平台的带来大额的资产损失和大量虚假用户，不仅严重破坏了平台生态，而且使得刷票风气盛行，平台活动公平性被质疑，信誉受损。

野蛮生长的短视频行业

不可否认，短视频相对于文字、图片来说，更具感染力也更容易获得用户自发地传播，也更符合年轻人充分利用碎片化时间了解社会和全民娱乐的心理，因此才能在社会文化中扮演越来越重要的角色。

近年来，随着国内移动互联网产业的发展与网络通讯技术的迭代，信息媒介载体由文字、图片一步步发展至今已全面进入视频时代，而短视频作为视频时代发展出的更适应移动通信设备的产品形态，在近2-3年来经历了爆发性的增长发展。根据CNNIC发布的第49次《中国互联网络发展状况统计报告》数据显示，我国网民规模大10.32亿，互联网普及率达73%。截至2021年，我国短视频用户为9.34亿人，我国短视频渗透率为90%。

需要注意的是，短视频行业主要是信息流模式，平台本身对信息流具有极强的控制能力，基于此，部分平台开始上线广告推广业务，需要推广的用户选择与平台合作，平台可以在信息流中投放广告推广。

但暴利的广告变现模式下，也让黑灰产盯上了短视频平台的生意。从基本的刷赞、刷粉、刷流量，到销售工具软件，再到与短视频平台相关的牟利方式，几乎都有黑灰产的参与，甚至已经形成了完整的黑灰产产业链。

刷票工具作弊，批量套现

那么，黑灰产是如何通过作弊实现批量刷票的。

据顶象防御云业务安全情报BSL-2022-a3c11号显示，黑灰产通过设备牧场、代理IP、虚拟号、自动化工具来实现垃圾注册、批量养号、自动化完成积分任务，并通过提供刷榜服务收取服务费。

一般流程是：

1、基础资源获取：黑灰产从“卡商”手上获取大量的手机卡用于注册，通过接码平台提供的服务批量获取手机号验证码完成注册。平台攻击使用的黑卡主要是物联网卡和虚拟卡，这两种卡使用成本和获取门槛都极低，比较受黑产欢迎；

2、获取线报，了解平台规则：事先了解平台的积分获取、红包兑换规则，关注羊头发布任务和活动情况，等待时机：

3、注册养号：黑灰产通过一系列的黑产作弊工具如秒拨IP、设备牧场等工具对平台进行自动化攻击；

4、批量变现：黑灰产通过现金奖励提现、积分、优惠券等实物商品、积分等经二手平台进行售卖。

黑产作弊工具：机器刷票+人工刷票

其黑产作弊工具主要有两种：

一种是机器刷票。

机器刷票，可以给指定投票活动自动循环投票的票辅助刷票工具，主要是通过编程模拟手工网页投票然后进行自动投票的过程。搭配秒拨IP使用可实现突破IP限制，自动输入验证码，自动投票，快速增加票数的功能，轻松实现短时间上万票。

另一种就是人工刷票。

相较机器刷票，人工刷票成本更高，进而也发展出了两种刷票模式。

一是通过 “账号托管平台”获取大量真人账号，可以托管的账号包括微信、微博、抖音等，用户只要将小号托管到平台，平台使用用户小号“干活”获取收益，而用户将获得分成。二是发布众包悬赏、积分墙任务。

其变现链路主要分三步。

第一步：通过百度、论坛、电商平台等发布刷票服务信息，增加服务曝光；

第二步：将有需求用户引流至QQ群、微信群，在微信群完成需求沟通及交易，机刷价格一般在几分钱1票左右，人工价格一般2元1票左右；机刷一般会要求1000票起刷，人工刷票100票起刷；

第三步实施刷票，完成交易。

顶象防控建议及措施

针对短视频平台的黑灰产作弊手段，顶象防御云业务安全情报中心建议在终端、通信传输端进行防范，同时在业务侧进行防范，多场景全链路防控。

具体防控建议如下：

终端加固

从客户端安全考虑，App需要加终端加固。通过加固技术，实现端安全防护，如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件保护及程序运行保护；通过对APP中可执行文件进行深度混淆、加固保护，让黑产无法直接对App进行逆向、破解；

通信传输安全保障

在终端增加环境检测等模块后，环境检测模块产生的数据往往没有和业务数据进行绑定，这就造成黑产有可能会篡改报文中的一些数据，所以本方案里运用了一些安全手段，防止终端安全检测模块的数据被篡改和冒用。

终端风险环境检测

黑产会使用模拟器、注入等技术，结合秒拨IP池、自动化程序的方式进行批量攻击；所以终端集成安全SDK以后，会对App运行环境进行检测，检查是否有代码注入、hook、模拟器、云手机、注入、调试、代理、VPN、root、越狱等风险；

业务安全策略防控

道高一尺魔高一丈，经过多次的攻防对抗，有些黑产会不惜提高成本继续接攻击，当黑产攻击方式升级后，防控方案也要对应的升级；建议多场景接入业务安全风控，将注册、登录、积分任务、提现、投票等关联场景业务数据一同发送给风控系统，通过风控系统配置安全策略规则进行完整链路营销作弊风险识别，只传投票一个场景的业务数据进行单场景防控，防控力度远没有多场景全链路防控力度强。

风控维度建议

设备终端运行环境检测，校验运行环境是否正常，如识别指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征，通常营销作弊设备大多具备以上特征；

多场景行为检测，设备使用限制，如限制多账号使用同一设备注册，多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测；

维护本地黑白名单，基于风控数据、历史投票数据，沉淀并维护对应黑白名单数据，包括用户ID，IP地址，设备黑名单等；

外部数据服务，建议对接IP黑库，投票场景黑产为了规避IP风险，经常会结合IP代理池一起组合使用，一票一IP的刷票方式，导致IP行为策略无法覆盖，通过IP黑库可以覆盖此类代理、秒拨、机房及历史黑产行为风险IP模型，线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对用户行为进行建模，模型的输出可以直接在风控策略中使用。

防控产品组合建议

设备指纹+决策引擎：设备指纹可以针对端上风险进行识别，例如注入、模拟器、调试等，配合决策引擎使用，可以实时发现风险并给予处置；

行为验证码：据黑产作弊手段分析，该黑产主要还是以低成本的机刷作弊方式进行恶意攻击，对于机刷，轻部署且最简单的识别工具就是行为验证码，在批量注册、批量养号、刷票、刷积分等业务场景，行为验证码可对请求进行人机校验，可有效拦截此类黑产攻击；

风险IP名单库：机刷为了规避IP风险，经常会结合IP代理池一起组合使用，IP黑库可以覆盖此类风险IP。