每經(jīng)記者 莫淑婷    每經(jīng)實習(xí)編輯 梁梟    

DataVisor中國區(qū)總經(jīng)理吳中 圖片來源：DataVisor供圖

“新用戶注冊立減15元”、“首次下載立領(lǐng)紅包”，在日常生活中，我們經(jīng)常能見到這些針對新用戶的APP推廣活動。隨著互聯(lián)網(wǎng)發(fā)展，線上營銷活動越來越多。然而，大量的線上營銷活動在給消費(fèi)者帶來優(yōu)惠的同時，也給依托互聯(lián)網(wǎng)的“羊毛黨”帶來更多“薅羊毛”的機(jī)會。“羊毛黨”通過大批量注冊的方式以較低的成本獲得高額的利潤。

如今，職業(yè)“羊毛黨”已形成群體化、規(guī)?；耐暾a(chǎn)業(yè)鏈，涉及的領(lǐng)域包括金融、電商、社交、游戲，這些職業(yè)“羊毛黨”甚至可以左右一個企業(yè)的發(fā)展方向。事實上，“羊毛黨”僅僅是“黑產(chǎn)”（黑色產(chǎn)業(yè)，即利用非法手段獲利的行為）的一部分。除了“羊毛黨”外，手機(jī)應(yīng)用分發(fā)、APP刷量推廣等各種復(fù)雜的新型欺詐層出不窮。那么企業(yè)應(yīng)該如何防范呢？11月2日下午，《每日經(jīng)濟(jì)新聞》記者專訪了人工智能欺詐檢測公司DataVisor中國區(qū)總經(jīng)理吳中，了解欺詐現(xiàn)象背后的操作軌跡及企業(yè)的反欺詐思路。

欺詐行為主要集中在四個領(lǐng)域

NBD（每日經(jīng)濟(jì)新聞）：欺詐行為主要集中在什么領(lǐng)域？

吳中：主要是四個領(lǐng)域。比如說電商領(lǐng)域，像刷單、薅羊毛等就是欺詐交易；移動應(yīng)用推廣領(lǐng)域的話，主要是欺詐性安裝；社交領(lǐng)域的話，主要是垃圾信息、垃圾廣告；占比較大的則是金融領(lǐng)域，比如說通過虛構(gòu)事實手段進(jìn)行網(wǎng)貸申請，申請完了之后不歸還。

NBD：可以具體講一些案例嗎？

吳中：金融和電商可能比較好理解，現(xiàn)在舉一個游戲領(lǐng)域的例子。由于許多游戲公司每年都在移動應(yīng)用安裝推廣上進(jìn)行數(shù)百萬至上千萬美元的投入，它們已逐漸成為互聯(lián)網(wǎng)欺詐分子的主要獲利對象和途徑之一。隨著一個用戶平均安裝的費(fèi)用逐漸增至1美元至10美元，移動應(yīng)用推廣安裝已成長為超過30億美元的巨大市場?；ヂ?lián)網(wǎng)犯罪團(tuán)伙通過組織大規(guī)模的欺詐安裝活動，在這不斷增長的市場空間進(jìn)行大規(guī)模非法盈利。在一般情況下，廣告推廣安裝活動的欺詐率平均在10%至20%左右，但在一些極端情況中，有超過一半甚至全部的移動游戲安裝都可能是虛假欺詐性安裝。

出現(xiàn)這種情況的背后，是欺詐團(tuán)伙與各路渠道商聯(lián)手策劃的日益復(fù)雜的欺詐手法。為了成功獲取欺詐性移動安裝的推廣費(fèi)用，欺詐團(tuán)伙會模仿真實用戶的行為來進(jìn)行安裝使用。移動游戲公司最初會認(rèn)為他們購買的確實是“真實”用戶，但很快就發(fā)現(xiàn)這些所謂的新“真實”用戶在最初下載游戲后，幾乎很少接著玩新下載的游戲。由于欺詐團(tuán)伙廣泛使用一系列復(fù)雜的偽裝方法，移動游戲公司很難對真實用戶和欺詐用戶進(jìn)行有效識別。

NBD：欺詐團(tuán)伙會采取什么技術(shù)手段來模擬真實用戶的行為？

吳中：具體的攻擊手段有移動設(shè)備模擬器，即在同一個設(shè)備上模擬大量不同的移動設(shè)備；安裝農(nóng)場，即雇傭人力手動安裝應(yīng)用程序；惡意應(yīng)用，即在未獲取用戶許可的情況下，安裝額外的應(yīng)用程序；利用云服務(wù)，即用不同云服務(wù)IP地址來創(chuàng)建大量的虛假用戶；匿名代理機(jī)，即利用匿名代理機(jī)在一個國家安裝應(yīng)用程序，但在另一個國家登陸和玩游戲。

NBD：這些虛假流量會給企業(yè)帶來什么影響？

吳中：以企業(yè)出海為例。近年來很多國產(chǎn)游戲、電商出海，然而2018年因欺詐導(dǎo)致的營銷費(fèi)用浪費(fèi)超過20億美元，這個數(shù)字對于中小型出海企業(yè)而言，可能是致命的打擊。虛假流量帶來的不僅是直接經(jīng)濟(jì)損失，甚至影響企業(yè)現(xiàn)有的用戶流量，對品牌形象產(chǎn)生負(fù)面影響。

不斷更新數(shù)據(jù)模型，與欺詐者動態(tài)斗爭

NBD：對于上述欺詐行為有什么解決方法么？

吳中：現(xiàn)有典型檢測技術(shù)為黑白名單、規(guī)則引擎、有監(jiān)督機(jī)器學(xué)習(xí)和無監(jiān)督學(xué)習(xí)檢測。

前三個檢測技術(shù)都是從歷史案例中發(fā)現(xiàn)欺詐時重復(fù)出現(xiàn)的個體行為模式。此類方法存在一定缺陷，即無法檢測到未在訓(xùn)練數(shù)據(jù)中或未被識別的新型欺詐方式，也不能在損失發(fā)生前檢測到這些孵化賬戶，常常是孵化賬戶發(fā)起惡意活動造成損害后才能被發(fā)現(xiàn)。孤立的賬戶分析也難以發(fā)現(xiàn)協(xié)同有組織的攻擊。

而無監(jiān)督學(xué)習(xí)檢測則無需提供標(biāo)注數(shù)據(jù)，每小時能對新發(fā)生的10億數(shù)量級的事件進(jìn)行分析。它基于對海量用戶帳戶的行為、設(shè)備、IP地址等進(jìn)行高維度用戶畫像及全方位的關(guān)聯(lián)和相似性分析，自動挖掘出潛在的各種群體性（手動操作或基于自動作弊腳本的）隱蔽欺詐行為，并在欺詐性用戶發(fā)動攻擊之前進(jìn)行預(yù)警。

NBD：無監(jiān)督學(xué)習(xí)檢測的話需要不斷更新算法和數(shù)據(jù)嗎？

吳中：欺詐行業(yè)有它的特殊性，特殊性就在于它所面對的是不斷變換的欺詐者，不斷變化的欺詐方式。欺詐與反欺詐是一個相互的博弈狀況。我們的解決方案是以無監(jiān)督機(jī)器學(xué)習(xí)算法為核心，分析賬戶的行為模式和賬戶間的可疑連接。隨著欺詐團(tuán)伙的技術(shù)升級和行為改變，我們無監(jiān)督機(jī)器學(xué)習(xí)解決方案的數(shù)據(jù)模型也會不斷變化，根據(jù)不同行業(yè)、不同欺詐技術(shù)等增加不同的模型模塊，以便靈活應(yīng)用于不同場景或者階段。