前言:暑期以来,各大热门景区和博物馆访客量持续高涨,热门博物馆门票也出现了一票难求的情况,需求的推动,也让一些不法分子看到了可乘之机,很多热门的免费博物馆门票被“黄牛”炒成了高价。以博物馆为代表的公共文化机构向社会公众免费开放,是国家在公共文化领域一项重要的惠民政策,它可以让不同经济水平的人都可以平等地享受文化资源、接触和了解历史文化,是社会公平和正义的体现,而黄牛党用非法手段囤票又高价倒卖,不仅极大地侵害了普通人的应有权益,对于博物馆方来说也造成了声誉损失。暑期旅游黄金档极大加剧了这种矛盾,让解决黄牛党这个问题变得更加迫在眉睫。近期,央视新闻采访了腾讯安全资深风控安全专家闫阳(以下简称“闫阳”),讨论如何利用技术手段打击黄牛党、保护普通用户权益的问题。
央视新闻:我们发现一些博物馆的官方渠道抢不到票,但是在第三方渠道却有票源(有时候是以预约讲解员免费赠票形式),这种情况是怎么发生的?闫阳:正常用户买票是一个人一台手机,在一个固定的时间点去抢票,要填信息,有时要识别图形验证码,这些操作下来需要3秒到4秒。黑产团伙一般用批量账号加批量设备再加上自动化抢票工具和软件实现大规模的抢票行为:- 第二,它有很多台设备,每台设备运行了批量抢票软件和自动化工具,在0.1秒到1秒内就提交了所有信息,可能它做不到100%,但它胜在账号多。比如它手里有1万个账号,只要确保20%的成功率,就能瞬时抢走2000张门票。
普通个体和专业化团队在抢票过程中处于天然劣势,这就是普通消费者(在官方渠道)买不到票,但在某些外部渠道又能预购到的核心原因。央视新闻:现在多数博物馆要求实名,这些黄牛是怎么绕过实名制的呢?闫阳:以我们对抗的实际经验来讲,比如某个博物馆提前7天开始放票,但我们在某些第三方平台却可以提前一个月提交订单,这是因为它预先把我的信息提交到了平台里,等到放票时间会拿着我的信息用批量设备和自动化软件去抢票,实现代买的目的。也有的情况是提前7天已经放票了,用户提前3天在第三方平台去买票也依然可以买到。这是因为:- 第一,很多博物馆分散客票和团体票,散客票满了,但在团体通道里还有票,它可以抢;
- 第二,有些博物馆的票是释放之后,立马回到购票室。黄牛先用已有的身份信息先提前预占了一些票囤在手上,等你需要买时它会退票,这个票回到池子以后,它通过技术手段可能1秒之内又能把票抢回来,也能实现帮用户实名抢到票的目的。
所以还是实名制,只是用了更先进的手段帮用户抢了票。央视新闻:怎么防御这种情况,我们现在的手段有哪些呢?闫阳:我们对以博物馆和景区为代表的机构,首先是建议对放票规则进行完善,例如退票不立即释放回池子,比如在用户爽约退票以后,这个票预留在当天现场给早到的游客现场预约进馆,这是一种方式,能堵上一部分的规则漏洞。从技术对抗来讲,我们建议使用专业的风控手段和策略,比如以腾讯安全的经验来讲,有三种方法和黄牛进行对抗:- 第一,黄牛怎么做到批量生产账号的?它有可能用了协议破解伪造了账号,也就是有很多“假账号”,用这些“假账号”去提交抢票请求,我们通过对通信协议的加密和健全,能够确保这种事情不会发生;
- 第二,黄牛用很多设备去抢票,这个在安全圈的专业术语叫“设备农场”,设备农场是一排机器架上挂了上百台、上千台手机。我们可以基于环境监测判断去发现设备端的异常,比如它是一些虚假的设备,比如设备存在一定程度的IP的聚集、地理位置的聚集,或设备端存在异常表现等,从而发现作恶轨迹;
- 第三,通过专业的风控引擎做判断。比如他需要做批量提交和快速提交,在他的操作行为和操作时序上可能存在异常,比如正常人从最开始的点开到订单提交需要3到4秒,但通过外挂软件1秒之内就提交了;或者这个账号过去30天内,有频繁提交和退票的行为异常。我们通过多种维度的判断,能够抓到这些风险的蛛丝马迹,尽早把这些风险操作和异常拦截掉,把票留给正常的消费者。
当然在实操过程中没有这么粗暴和直接,因为隐私保护的法规和政策,我们不可能获取到手机的所有状态,我们会在可授权的范围内去检测可能存在的异常点,去判断他当前的环境和设备是否存在问题。央视新闻:博物馆采用了腾讯安全的防御技术,在放票的时候就能实时发现异常并且干预吗,还是说有一定的延时?第一种,专业的风控策略的系统是实时判断的,我们目前提供的技术,在0.2秒之内就会做出判断,正常人是感觉不到这个时延的。也就是用户的抢票请求到了我这里,我在0.2秒之内就会判断本次请求的风险有多高,决定这次请求是好的,还是存在风险,就会做出决策,有些(风险请求)就会直接拦截掉。有没有一定的延迟或者T+1,也就是隔一两天再去处理?有的。因为所有的技术对抗很难做到100%,也就是在对抗过程中难免有一些遗漏情况,或者说我们故意留了一些缺口。我们对抗的过程有的时候会故意留一些破绽,在专业术语里这叫“蜜罐策略”,一旦黄牛党钻进来以后,我就会对他们进行染色和监控,过个三天或七天再通过策略去打击,通过叠加去做安全策略。央视新闻:采用技术对抗可以解决多少问题,效果如何评估?闫阳:能解决90%的问题。我们目前碰到的文旅案例,一轮下来,解决率非常高。除了数字之外,也有别的指标可以衡量我们的打击效果。比如我们跟一个知名博物馆合作后,我们发现所有第三方平台下架了付费带用户进去的购买链接。这说明黑产也判断出来它现有的手段很难再抢到票了;第二点,购票时长从最开始的十几秒结束,延长到20分钟到30分钟还有票,这些情况可以从侧面验证出安全对抗的效果是真实有效的。我们跟故宫博物院合作了两年时间,在北京合作的主要是故宫博物院和环球影城,其他城市的有三星堆、南京博物院、上海科技馆、自然馆、天文馆。闫阳:从我们网络安全从业者角度,我呼吁所有的景区和馆方能够把放票规则设计得更严谨、更缜密;第二点,我们希望遇到问题的馆方和景区能够积极采用第三方或专业的风控策略进行对抗,保护好广大消费者的权益。