近期，某电商小程序举办美食节营销活动，提供高额折扣券，并允许用户进行秒杀。然而，羊毛党团伙利用作弊手段，抢购囤券，然后倒卖变现，严重损害了商家的利益。

八成秒杀账户是羊毛党

根据顶象防御云编号为BSI-2023-rutq业务安全情报发现，某电商平台为吸引人气和促进销售推，推出高额折扣券福利，凡是注册用户均可免费领取。同时，为了进一步拓展影响范围，还一键分享到微信群，吸引更多人参与到领券的活动中。随着越来越多的人加入秒杀和囤券行列，羊毛党也开始利用作弊手段进行囤券，然后将抢到的优惠券低价出售牟利，由此给平台和商家带来巨大经济损失。

顶象防御云业务安全情报中心监测发现，该电商一天有3场秒杀活动。在秒杀活动的15分钟内，羊毛党开始聚集，最高峰时竟然达到95。开始前5分钟内，羊毛党账户最高达84.15%。秒杀活动结束后，羊毛党活动量骤降，风险量占比仅6.84%左右。

综合分析，参加促销抢购的羊毛党具有以下技术特征：

1、同一设备存在多个账号。监测发现，多个设备高频切换账号，其中某设备在10分钟内切换了1096个账号参与抢夺优惠券。

2、同一账号频繁更换设备。监测发现，某个羊毛党高频切换设备信息，其中某账号1分钟内切换了324个设备信息。

3、大量账号来自风险IP。监测发现，大量账号请求来自风险IP，占总请求量的11.07%，此类数据同IP平均关联用户数只有2个，平均下单次数仅5次。

羊毛党风险分析

一个账号对应一台设备，如果发现一台设备存在大量关联用户抢单的情况，就可以高度怀疑账号存在作弊行为，进而采取相应的制措施。同理如果一个账户频繁切换设备信息，就可能存在作弊的可能性。

IP地址是账户所在网络位置，一般是固定的。秒拨IP工具能够频繁更换地址，让攻击者可以伪装地址，规避业务安全规则的限制。通过对IP地址的监测与分析，能够及时发现该类工具的使用情况。

账户指纹token是基于设备信息、登录IP等因素生产的一种唯一标识码，一旦出现异常，表示存在刷接口等异常行为。

基于上安全规则，顶象防御云业务安全情报中心建议业务安全体系做如下调整。

1、快速识别异常风险。有效识别风险IP来源账号，异常token设备、异常行为的操作等。

2、及时拦截羊毛党账号。对异常操作、异常IP来源请求、异常设备请求直接拦截，中风险验证码升级二次验证，防止黑产批量刷。

3、实时优化安全体系。实时沉淀恶意手机号、恶意抢购账号、恶意IP地址等风险数据，及时补充到风控中，并适时调整安全策略。

安全防护及产品组合建议

基于安全规则，顶象防御云业务安全情报中心推荐如下防控产品组合。

1、配置设备指纹+决策引擎。通过配置防秒杀抢单场景策略规则，从黑产设备风险、设备关联多账号行为、IP批量刷任务行为、同设备、同用户、同IP频次限制等维度进行风险防控。

2、进行多链路联合防控。在注册、登录、秒杀这3个场景接入引擎联合防控，并将用户历史消费行为加工统计成离线表，供策略调用。

3、配置验证码。在登录注册等界面部署验证码，进行人机风险防控，识别并拦截机器批量自动刷风险。

4、接入IP地址库。对用户所关联IP进行风险匹配，识别代理、秒拨IP风险。

顶象设备指纹通过用户上网设备的硬件、网络、环境等特征信息生成设备的唯一标识，覆盖安卓、iOS、H5、小程序，可有效识别模拟器、刷机改机、Root、越狱、劫持注入等风险，做到有效监控和拦截。

顶象无感验证集13种验证方式，多种防控策略，以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。汇集了4380条风险策略、112类风险情报、覆盖24个行业、118种风险类型，防控精准度>99.9%，1天内便可实现从风险到情报的转化，行业风险感知能力实力加强，同时支持安全用户无感通过，实时对抗处置能力更是缩减至60s内。

顶象Dinsight实时风控引擎可以在营销活动、支付下单、信贷申请等场景，对业务前端发送的请求进行风险判断，并于毫秒内返回决策结果，以提升业务系统对风险的防控能力。日常风控策略的平均处理速度仅需20毫秒，聚合数据引擎，集成专家策略，支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，支持多方数据的配置化接入与沉淀，能够进行图形化配置，并快速应用于复杂策略与模型；能够基于成熟指标、策略、模型的经验储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于系统+数据接入+指标库+策略体系+专家实施的实战；支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台。