2018年初,腾讯安全平台发现腾讯一款产品的帐号处罚量上升,这些帐号在刷阅读、加粉、色情、赌博等方面有异常行为。通过分析,发现这批帐号主要来自越南和缅甸。
注册是所有恶意的源头,腾讯安全部门的李徽民和他的团队把精力集中在溯源上,希望通过控制源头来控制恶意。
很快,他们通过自己的情报系统,拿到了黑产的注册软件工具,加上对软件特征分析,结合腾讯相关团队能力,挖出了注册软件的团伙。该团伙以李某和王某夫妇为核心,通过旗下四家公司来注册账号、卖号和刷单,上下游接近3000人。
挖出注册团伙后,不能就此罢休,考虑到手机资源的重要性,他们顺藤摸瓜,挖出了其背后的卖卡团伙。他们发现,由于东南亚地区运营商不规范,黑灰产从当地大批量购买预付费卡,价格小于1块钱,只用来接收短信,可以用半年以上。
再顺着这条线索,他们又挖出了该产业链中的其他团伙,比如代理IP、打码平台。就这样,整个链条的团伙被全部挖出。
事儿还没完,他们对挖出来的核心团伙进行分析,发现注册团伙和游戏团伙、营销刷量团伙、卡商团伙和电商羊毛党团伙均有互动。
根据这些互动信息,同时结合卧底在黑产中的情报信息。他们对游戏、电商等平台进行了预测和提前的防控。
李徽民在腾讯安全部门工作,长期研究黑产经济,对这种情况已经司空见惯了,
“新时代独立妈妈”刷文章阅读量10万+成为母婴圈KOL;
某知名自媒体榜单TOP500账号中,有300多个账号在生活、资讯、娱乐、情感等领域存在刷量行为;
从“个人品牌”到“商业机器”,信息数据虚空,对自我影响力造假,社会公共资讯体系造腐蚀。内容行业从比拼内容的高地滑向了比拼流量投入的澡泽中。
李徽民看不惯流量作假行为,由于工作的缘故,他和团队时刻与之抗争,“我们想解决这个问题,我们至少得知己知彼,这样做目标性才比较强。”
排行榜TOP 500名单中,
约300个账号存在刷量行为
詹咏是一家乙方公司的运营人员,承接一家消费类巨头公司的营销业务。他很忙,每天都要盯着手机看微信,一会儿要修改内容格式,一会儿要协调资源补给,一个人干着很多活儿。
但他鲜能从中获得成就感。在乙方,大多是求人干事,哪怕是在公司内部,与同事交流业务时,也是带着“求”的态度,“他们也忙嘛,老是去打扰人家也不好”。但实际上,他们都在各自逐利,勾心斗角。
唯一让詹咏骄傲说出口的牛逼事儿,是每当同事做一个活动到结尾时,都会乞求他在微博和微信上帮忙刷量,让数据好看一点。但他从来不把他的资源告诉别人,在全平台打击账号刷量行为那段时间,他和他手中的资源更成为了稀罕玩意儿。
“渠道特别重要,掌握了渠道,相当于在某个环节掌握了最大的权力。”即便詹咏深谙其道,但最后还是离开了那家公司,“没意思,老是刷量刷量,一点真实的东西都没有,也没有挑战性。”
与詹咏不同,腾讯安全方面提供的一个案例显示,一个“新时代独立妈妈”赵蓓正沉迷于此,她在三百天内,就晋升母婴圈里的KOL,从一介网民到网络达人,用了不到一年。
一天晚上8点05分,一篇母婴用品种草文在赵蓓的公众号上被推送,40分钟内,阅读量2.4万,236个“在看”,一小时后,阅读量一下子窜到了6万多。陡然上升的数据在赵蓓眼里已经习以为常了。
但这些数据都是刷来的。
腾讯安全方面的一组数据显示,赵蓓的十篇公众号文章均超过30万+,在午高峰和晚高峰时段刷量,次数从29次到165次不等。其中,一篇文章从2018年3月27日,刷到了2019年4月19日,期间刷了163次,阅读量为226万+,平均下来,一次刷1.4万。
部分母婴类KOL,图片来自腾讯安全
赵蓓对刷量上瘾了,在过去一年时间里,刷了数百篇文章,刷量总量超过1500万次,这让她长期成为母婴类产品广告主的座上宾,月入40万广告佣金不成问题。
据腾讯安全方面监测统计,像赵蓓这种有流量作弊行为的KOL,在以接广告为生的KOL群体中占了13%。这个数字在头部KOL群体中只增不减。
以业内某知名自媒体榜单平台为例,该平台评选出的总榜TOP 500的KOL账号中,经腾讯安全方面验证,有300多个账号有(过)刷量作弊行为。
这就意味着,每10个头部KOL账号中,有将近7个是注水KOL。
腾讯安全方面梳理了一份流量作弊黑名单,在那份名单上,我们熟知的一些大V也赫然在列。
这些大V与靠刷量续命的大V不同,他们很讲究节奏、频率与比例,他们通常在当日文章数据低于其他时间时,才会选择下单刷量,一般人很少能从中看出猫腻。
按照内容类型划分,生活、资讯、娱乐、情感、旅行、汽车、职场等垂直领域中KOL作弊现象泛滥成灾。
“我和你说,很多媒体都是靠汽车厂商活着的,之前不是有一家汽车品牌的负面新闻出来了嘛,看不到继续跟进的新闻,特别是汽车自媒体,他敢写负面吗?”一位业在媒体行业的内人士对刺猬公社称,大家都习以为常了。
他向刺猬公社给出的原因是,汽车行业对广告营销投入大,新媒体人群众多,各大厂商之间也存在着竞争,产品软文、测评视频、活动通稿、文案推广……都需要第三方服务公司介入,一方面大家想要好看的数据;一方面内容不行,渠道一般,穷途末路找到了黑产,刷!
广告主们可能不知道,与高额的投入不同,刷量费用很低廉,一百块钱买一万个微博粉丝,两千块买十万阅读量。据腾讯方面估算,当前作弊KOL的年收入规模高达一百亿,也就是说,每年有一百亿推广费是打水漂的。
“真人+群控+挂机”的模式比较高级
在某一个业务场景下,春节期间,红包总请求数次数达到十亿量级,其中恶意刷红包占比近20%。腾讯安全方面的分析称,平均每10个春节红包,就可能有两个被羊毛党刷走。
今年春节的红包大战盛况空前,八大互联网厂商加入混战,共同用营销资本堆砌起了一个高达40亿元的红包蛋糕。
今日头条、微视、快手、支付宝等巨头都参与其中,但他们不是被羊毛党薅得最惨的,百度才是。有分析称,百度红包由于金额较大,自动化薅羊毛成本低,成为职业羊毛党最爱刷取的目标。
春节期间各大厂商的红包热度指数对比
当时,腾讯安全部门的李徽民正在位于广东深圳的后方作战,时刻盯着后台羊毛党动态数据。
“某视频的红包活动提前了,被人搞得不行,当天早上发现,我们立马反馈给他们,下午就把身份证和人脸识别技术用上了。”启用人脸识别和身份证,只为了一件事:你得证明你是你自己,且是真人。
道高一尺,魔高一丈。李徽民和他的团队在提高安全风控的门槛,坏人也在提高他们的破坏手段,双方都在提高等级,这是一个相互攻防的过程,也是一个平台公司与行业病态抗争的过程。
很多人认为单纯靠机器刷量是黑产领域最高级的行为,但在李徽民眼里,人头流量才是最高阶的流量造假术,最低级的造假术反而是单纯靠机器刷量的黑产行为,稍微高级一点,会采用机器+人工的模式挖掘流量。
后两者被放在低级流量造假术行列,是因为容易被风控团队侦查、监测出来,用户是否活跃、IP是否正常、设备是否正常……都能在后台显示出来。人肉流量则不一样,它剔除了机器带来的非自然访问数据,一些黑产大鳄制造的刷量平台能模拟正常用户行为逻辑,爬取平台利益。
赵鎏在网上搜兼职时,一位老乡向他推荐了一个叫“挂机”的活儿,只要把用户账号授权登录在一些挂机平台上,供平台方用于刷阅读、刷投票、刷点赞等刷量任务,就可以赚取佣金,一个月两百块。
刚开始尝到甜头后,赵鎏连着用家人的身份信息注册了账号,拉人头也赚了不少钱。每个月就这样挂着,只要平台不倒,他们就没事儿。
像赵鎏这样的网络挂机用户已达到百万量级,且集中在近年来不断被开拓的下沉市场中。他们获知的游戏规则是注册账号,挂着赚钱。背地里,平台用他们的个人信息去做什么,他们并不知道,他们的一个小举动,极可能影响着互联网时代的大流量浪潮。
操控账号的地方叫挂机平台。想要搭建一个挂机平台不难。
2017年,何聪在技术交流群里接触到群控和一些刷量渠道,从中嗅到了商机,辞掉工作,开始亲手搭建。
他陆陆续续购置了一百多万份实名身份信息,用于注册和解封账号。平台扩张,用户增长,他又收购了约一万部二手手机,用来养号,手机大多是iPhone低配版,利于刷手机系统,重复使用。
挂机平台的基本资源结构,图片来自腾讯安全部门
一年的时间,就有一百多万用户涌入他的平台,设备信息超过120万条,亿级流量频频出现。
据腾讯安全方面追踪分析,该挂机平台发展至今,平均每个月为需求方“贡献”单一平台阅读量1亿+次,增粉500万+个,投票630万+票。
何聪的挂机平台属于比较高级行列,采用“真人+群控+挂机”的模式,连接广告主和平台方,承担着“中台”角色。
这个模式的含金量之所以高,是因为真人身份难以被反监控系统检测出来,何聪可以直接以佣金方式招揽像赵鎏那样的人拿到真人账号,在平台上养着。群控和挂机则解决了人工刷量效率低的问题,何聪可通过系统自动化集成的技术,实现一台电脑操控多台手机、多个账号批量操作的行为。
腾讯安全方面调查发现,人工流量有两种模式,一种依附在聊天群里,派单员在专门的群里说,“单子来了”,发一个红包,投手抢红包并完成任务。
单笔营收不高,“他们主要做量,量大收入就多。”腾讯安全平台一位工作人员称。
另一种模式依附在网站、App或自媒体账号里,一些平台第三方服务机构为了给甲方公司展示亮眼数据,会将任务发布到这些平台,刷量人员或者挂机平台接到任务后,可自主选择任务,并截图上传。
这类模式的报酬方式不采用佣金发放,而是以点券下发的形式获得“信任”。
模式不同,但他们都是活生生的“人”,只要这一点,就够了。
刷量产业的人员规模达到了300万,都是真人
何聪的挂机平台就像一个信息集散地,广告主、挂机者、商业平台……各方动态都能在这里瞥见,前方需求不断,后方加大力度持续刷量,每月用约100万的佣金打发赵鎏们,200多万收入自己的口袋,年收入2000多万不是问题。
你可能想象不到,操控这一切的人,只有两个。
何聪亲自维护平台,另外一人是客服,负责资金提现和账号托管的咨询售后工作。
如果赵鎏的野心足够大,商业头脑足够灵光,他可能会成为像郑霍那样的“号商”。郑霍手里有无数个账号。腾讯安全方面透露,郑霍以倒卖账号资源为生,何聪是他的合作对象,郑霍已经在何聪的平台上挂了五万多个账号,高则收入破五万,少也能入账一万元。
这些坐享其成的大佬一般不会直接参与刷量,只要有利可图,自然有人趋之若鹜。腾讯安全方面还曾原过一个人工刷量团队内部结构关系,共分为五个等级:头部接单员、高级派单员、一般派单员、前线派单员和投手。
各个级别代理关系结构图,图片来自腾讯安全部门
马洲是一个自媒体大V,月入百万。他的收入可不是来自内容创作,而是刷量。他混迹自媒体圈,积累下众多人脉,要帮得帮,要收钱得收钱,源源不断的单子就上手了。
20岁出头的赵鹏是马洲的下线,也就是高级派单员,自己手底下也有人,在抖音、微博、知乎等业务线上,都对接一个专业的刷量服务商。
去年6月,他用5天时间,帮一家头部视频网站的一部古装网剧,刷了五千万的播放量,最后拿到了13亿的总播放量。
腾讯安全方面调查发现,在赵鹏之下,是一个叫方璐的孕妇,月入8万,号称掌握百万水军,一呼百应。她专注于投票注册和推广业务,想要让她接广告任务,你必须是她的熟人,否则一概不碰。
冲在最前线的派单员叫杨芷,脾气火爆,管理着多个接单群,制定20多条群规,禁止交谈、禁止发布和任务无关的信息,严格管理每一个成员。一旦有违规者,先破口大骂,后踢人。
在她的严格管理下,所有接单群井井有条,群成员犹如铁军,所有人只为金钱服务,哪里有单子,就往哪里冲。他们被称为投手,干着最穷最累的活儿。
腾讯方面的数据显示,我国刷量产业的人员规模达到了300万,其中,以网站、App、自媒体账号为根据地的从业者约200万;以聊天群为阵地的人员超过了100万。
“这些都是人肉的,后面都是真人,不是死账号。”李徽民说,他们有专门的人去做黑产大数据挖掘和分析,在实际业务场景上验证后,得出了300万的结果。
刷量从业者中,年龄集中在18岁~40岁之间,本科学历人群占到了60.43%。网赚群体中,国内多分布在广东、山东、河北和河南,海外主要分布在马来西亚、美国和韩国。
除了人工之外,还有更为高级的做法,腾讯安全部门的工作人员赵明说,一些第三方合作商会借着和主流App厂商合作的机会,嵌入恶性SDK。
他们是这样做的:先以正当理由拿下这个单子,当项目正常开展后,再把镶嵌在一个App里的恶性SDK启动,比如自动下载App、自动接收黄色广告。
很多手持安卓机的人,都不知道怎么回事儿,自己的手机莫名其妙多了好些App。原因就在于此。
“一二线城市容易被发现,那些厂商就不会去触发恶性SDK,还有一些机型他们也不会投放,比较新的手机,系统也比较新,安全性能做得比较好。”赵明说,那些厂商会投配置比较老、性能比较低的设备,容易侵入。
“我们现在讨论如何对抗黑产的网络技术其实是干好事,但黑产也在用大数据等各种手段干坏事,技术本身没有善恶,是用技术的人出了问题。”赵明说。
“你做安全,你的人品得正,你得要有正义感”
黑产中,也有黑吃黑的情况发生。
根据腾讯安全方面的调查,一个自媒体账号在一个刷量平台下重本刷8万+的阅读量,到头来只刷了2万+,哑巴吃黄连,有苦说不出,毕竟这事也不光彩。
但也有不愿意忍气吞声说出来的人。
常钊在2017年8月11日至9月14日,与王鹏达成了一个“流量暗刷”的协议,常钊给王鹏刷量,双方合同签订三次结算。
常钊最后一次给王鹏刷完量后,王鹏耍赖,拒绝付款。常钊吞不下这口气,便把王鹏告到北京互联网法院,请求法院判令被告支付服务费30743元及利息。
二人对话截图,图片来自北京互联网法院公众号
王鹏黑吃黑没吃成,被告上法院,但法律也不会支持常钊。
5月23日,此案在北京开庭,法院依法驳回原告全部诉讼请求,并对合同履行过程中的获利全部予以收缴。理由是,上述二人通过“暗刷流量”交易,获取非法经营利益,损害社会公共利益。
此案给出了很多值得参考的信息。
法院认定,“流量”是附带经济价值的“虚拟财产。
判决书写到:“虚假流量会阻碍创新价值的实现,降低诚实劳动者的信心,扭曲决策过程,干扰投资者对网络产品价值及市场前景的判断,影响网络用户的真实选择,扰乱公平有序的网络营商环境。”
不属于真实的、基于用户对网络产品的喜好自愿产生的点击行为,属于欺诈性点击。判决书还写道,“长此以往,会造成网络市场‘劣币驱逐良币’的不良后果,最终减损广大网络用户的福祉。”
很多挂机平台做的生意不仅刷量,还有诈骗,像腾讯这样的大型互联网公司,一般会成立自己的安全团队与之抗衡。
从2004年起,由于腾讯业务需要,腾讯安全团队就投身于黑产对抗之战中。从起抵御初盗号到后来诈骗、红包,他们经历了太多。后来他们直接给自己的一个安全部门取了一个叫“天御”的名字,先后在与东鹏特饮、蒙牛、济宁银行等巨头的合作中施展身手。
李徽民印象深刻的是东鹏特饮“开盖赢红包”活动。流程可以这么看,首先要买一瓶“东鹏特饮”,打开瓶盖用微信扫码获取活动链接;之后,输入瓶身上的批号,摇一摇就能获得红包。
就是这第二步,输入瓶身批号的过程被羊毛党盯上了。
饮料不止一瓶,批号不止一个。羊毛党利用一些手段,随机生成批号,随即输入在兑奖页面,赌命中率,实现媷羊毛。
这就是为什么有的消费者在扫码输入批号以后,会出现奖品已兑换的原因。腾讯安全部门调取黑产大数据样本查看,发现了这批羊毛党迹象,进行风险判定,拦截了这批羊毛党。
安全风控逻辑,图片来自腾讯安全部门
这套逻辑还挺复杂的,据腾讯方面介绍,他们这一技术依托腾讯安全天御独有的AI 营销风控模型,以及腾讯安全平台部防水墙的底层技术支持,腾讯优码可以在营销活动中提供事前、事中、事后全方位安全服务,快速精准识别出黄牛党和羊毛党,避免企业被刷造成巨大经济损失,以实现营销效果最大化。
很多刷量账号被腾讯安全方面根据具体情况分级处理,比如有账号刷量行为会作为无效处理(不计算不显示等),警告,封号(可解封)等。这些账号会被列入腾讯安全内部情报系统统一监测。
这份工作还挺考验人的。
“你做安全,你的人品得很正,你得要有正义感。”李徽民补充道,还要抵得住诱惑。
说这番话时,他坐在腾讯深圳的一栋办公大楼会议室里,眼里泛着泪光。时至今日,李徽民都忘不了八年前的一个场景。2011年的一天,李徽民在腾讯飞亚达大厦电梯间遇到一对母女,母亲50多岁,女儿30多岁。
女儿问李徽民,某某办公室在哪里?
“你有什么事情?”李徽民反问。
“我中了笔记本,我给对方付了3000块钱,来腾讯领奖。”
李徽民一听,母女肯定被骗了。
那时,QQ还处于黄金时期,也是PC的黄金时代,诈骗者经常以腾讯的名义诈骗,一会儿是中了三星笔记本电脑,一会儿是马化腾过生日充Q币送超级会员。
李徽民告诉那对母女,是假的。
她们听到后,有些绝望,不愿相信。李徽花了点时间才跟她们讲清楚,并建议她们去报警。
两人比较瘦小,穿得一般,相互搀扶着,看着走出大厅的那一刻,李徽民觉得很无助,但他更坚定了做安全的信心,“我们可能无法一下子全部打尽,但我们还是帮了很多人,每天把几百万上千万的诈骗和盗号行为拦截了。”
作者:石灿
来源:刺猬公社(ID:ciweigongshe)