freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

中奖绝缘体?可能不是你体质原因,而是抽奖系统问题
2018-11-19 13:50:36

前言

最近啊,国内刮起了一股“锦鲤”妖风:支付宝选出全球锦鲤“信小呆”;招商银行“锦鲤活动”引数十万人转发;各大高校也纷纷寻找“锦鲤”;IG获胜王思聪抽奖送出113万……

这股抽奖的“圆梦”之风越刮越大,广大网民每次都在嘴上说我是“中奖绝缘体”,但身体很诚实必定会转发参加。

王思聪

高达两千多万人的转发,实在是可以评为“微博年度盛事” 之一。

上天眷顾的那些人?

首先,你得是个女人!!! 

上面说到的那些抽奖活动,不说百分之百,百分之九十九都是女人啊! 

苏宁手机抽奖15人,15为皆为女生;

支付宝校园清空购物车,抽中7位女生,0名男生;

天猫从7500万人中抽中一位女孩“派大星星”;

IG夺冠,王思聪发出113万给113位幸运粉丝,最终抽中112位女生,1位男生;

支付宝抽中中国锦鲤,一周时间参与转发的人数超过300万,最终抽中一位北漂追星女孩“信小呆”;

……

上天眷顾的那些人

都说“爱笑的女孩运气不会太差”,改口吧!

是女孩运气都不会太差!!

其次,你要住在沿海或者一二线城市。

沿海或者一二线城市

沿海或者一二线城市

蜜汁尴尬加迷之微笑……

再者,你还得拥有广泛的兴趣爱好。

爱美食,爱旅游,爱时尚,爱音乐……吃喝玩乐一样不能落下。

广泛的兴趣爱好

最后,你得是中国互联网的中坚力量——90后。

90后

通过注册年份来看,大部分“锦鲤”都是90后呢~

虽然上述统计的样本中部分用户信息缺失,但是我们不妨总结一个中奖几率最高的锦鲤附身公式:

性别女+(新)一线城市居住+90后+爱美食、旅游、时尚 = 锦鲤本鲤

可是这好像也没啥特别的啊,这就是我本我啊!为啥中奖的不是我呢????

现在翻到我转发的几十条抽奖微博,都觉得非常耻辱,删掉都花了两个小时……

几十条抽奖微博

得知被过滤后,网友炸开了锅

网友自嘲说自己是“中奖绝缘体”,没想到真的是“绝缘”,这不被当做“机器人”过滤掉了嘛。

得知被过滤后

网友对此也提出了一些异议,而新浪微博CEO王高飞(@来去自如)也做出了回复,这样做是为了防机器号!防机器号

就拿我们常用的微博为例,一个千万粉丝的大号里僵尸粉、营销号的占比并不少。之前就有大V(@韩路-),经过主动清理之后粉丝数从120w直接掉到79w,中间过滤大量僵尸粉。

面对大量的营销号、僵尸粉,市场上也出现很多相关交易,比如目前市面上黑产通过群控养号,从按照活跃度等级以10-220元不定售出这些僵尸粉。而除了给大V号凑粉丝之外,还有很多僵尸号参与抽奖,在早期出现了一些僵尸粉抽奖成功,用户投诉的事件…

用户投诉的事件

所以发展到今天,抽奖系统算法不断改进,很重要的一点就是防止机器作弊。

抽奖防作弊

前面聊了这么多,现在我们站在从业者的角度来说说抽奖防作弊。

防作弊

目前的抽奖形式主要分为两种,一种是常见的通过点击转盘等形式直接参与抽奖,第二种是在社交平台衍生出的通过评论、转发等形式参与抽奖系统。

第一种转盘及其类似形式。

这种情况下,我们的反作弊一般有以下几种手段:

1. 加验证码;

2. 对于异常账号、浏览器cookie、IP等进行查封;

3. 提高参与门槛,增加更多规则。

还有一些非通用的办法,比如mac地址、身份证号、安全控件、兑奖码等。但是,限制条件越多,参与人数肯定越少,活动价值就低,所以需要在体验和安全之间找到一个平衡点。

第二种,在社交平台上的转发抽奖,主要分为两种情况。

首先,对于该类抽奖活动有没有必要过滤机器账号呢?

过滤机器账号

微博已经上线由博主自选是否过滤垃圾账户。

其实我觉得过滤垃圾账户还是有必要的,因为有利可图,就会有人作弊,前面大V清理僵尸粉的例子就可以知道,随便一个营销机构就可能掌握着动辄几十万、上百万的机器账号,一旦涌入参与抽奖,普通用户也是只能靠边站的。

如何过滤机器账号呢?

比较简单粗暴的手段就是乱棍打死。从正面设置规则,规定只有哪些人可以参与抽奖。

比如说,设置只有年龄20-30岁,每天都发原创,粉丝数量达到多少,建号时间等等限制条件。这样,可以将机器账号一刀切。但是,这种方式误伤的情况会比较严重,这种方法不太可取。

还有一种从反面建立模型。目前的一些技术手段是可以对机器账号进行建模的,机器账号和正常用户之间肯定存在着模式差异,包括从IP、设备指纹、注册手机号、邮箱、账号名称、用户资料等比较客观的维度以及日常内容、互动、活跃系数等比较主观的维度。

当然,误伤是一定存在的,但是我们可以不断的优化模型,以提高对机器账号的识别率,减少误伤。

比如上文中,不太活跃的用户会被误判为机器账号,那么我们可以将活跃度的权重降低,提高客观风险因素的权重。很多IP异常、注册手机号异常的账户是垃圾账户的可能性比不太活跃的用户是垃圾账号的可能性高。

第二种思路是建立名单库。

黑名单是长久以来都在使用的一种方法。对于经常性从事营销活动、登录异常、不良行为记录、遭遇投诉举报的账户可以标记黑名单。

黑名单相较于对机器账号建模是一种比较滞后的方式,但也是一种不可或缺的手段。实时更新黑名单可以减少垃圾账号参与,二来可以为模型训练提供数据。

当然,我们上面介绍的是较为简单的反作弊思路,实际处理起来,可能会更加复杂。这些运用在实际反作弊系统中的方法,在平台算法侧重点不同的情况下会出现不同结果,发生“误伤”是不可避免的。但是要不断地改进技术,减少“误伤”,这也是每一个安全人、风控人孜孜以求的。相信随着异常检测技术的发展,我们可以在误伤和放任之间找到一个尽可能好的平衡点。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# 抽奖 # 锦鲤
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者