vivo 遊戲黑產反作弊實踐

作者：vivo 互聯網安全團隊 - Cai Yifan

在數字化、移動化的浪潮下，遊戲產業迅速發展，尤其疫情過後許多遊戲公司業務迎來新的增長點。

遊戲行業從端遊開始一直是黑灰產活躍的重要場景。近年來，隨着互聯網的發展和手機市場的不斷壯大，手遊的用戶規模不斷增長，黑產在手遊市場的活躍程度不斷提升。

遊戲行業的黑產問題一般指的是遊戲開發者關注的遊戲內的黑產問題，而 vivo 作爲手機廠商，或者更準確地講，作爲遊戲分發平臺，我們所關注的黑產問題與遊戲開發者又有何不同呢？在黑產對抗上，vivo 與遊戲開發者相比，又有哪些優劣勢？

本文將探討 vivo 遊戲黑產的作弊動機和特徵，並分享 vivo 互聯網安全團隊與黑產對抗的方案和案例。

一、vivo 渠道服遊戲黑產獲利點分析

1.1 黑灰產定義和分工

一般來說，黑色產業指的是從事具有違法性的活動且以此來牟取利潤的產業。

而灰色產業則指的是不明顯觸犯法律和違背道德，遊走於法律和道德邊緣，爲 “黑產” 提供輔助的爭議行爲。

黑灰產按照分工不同，大致可以分爲 4 類：

（1）源頭類黑產

掌握號源信息或身份信息等的黑產。常見的有手機號、身份證、工商信息等信息，通過販賣用戶信息獲利。

（2）平臺類黑產

用於非法交易、交流的平臺類黑灰產。如惡意網站、惡意論壇和惡意羣組，以及類似提供接碼、打碼的平臺。

（3）技術類黑產

爲中下游技術性不強的黑灰產從業人員製作並提供各類軟、硬件設備和服務，如木馬植入、釣魚網站及各類惡意軟件。

（4） 實施類黑產

實施各類違法犯罪行爲的黑灰產，基於中下游鏈路，黑灰產在實施環節常常表現爲惡意行爲、詐騙等形式。

1.2 遊戲行業常見的黑灰產問題

遊戲行業常見的黑灰產問題主要包含：網絡攻擊、外掛、盜號、羊毛黨、內容違規等。

1.2.1 網絡攻擊

網絡攻擊主要以 DDoS 攻擊爲主，就是利用大量合法的分佈式服務器對目標發送請求，從而導致正常合法用戶無法獲得服務。

遊戲行業的網絡攻擊主要來源於競爭者，通過網絡攻擊使攻擊對象的用戶無法正常進行遊戲，影響用戶體驗，並造成用戶流失，從而使攻擊者自身的利益不受威脅。

如 2021 年 8 月，一款合成類遊戲在首發期間就遭受黑客 DDoS 攻擊，造成遊戲玩家無法登錄和遊戲內卡頓等問題，引起大量用戶投訴。

1.2.2 外掛

遊戲外掛讓大部分玩家、遊戲公司深惡痛絕，卻因有着源源不斷的市場需求，外掛黑色產業鏈屢禁不止。遊戲外掛通常指的是通過篡改遊戲客戶端代碼，讀取或者修改遊戲運行過程中的數據來實現作弊功能的插件。

外掛的獲利方式有多種：直接出售外掛獲利、外掛內分發廣告獲利、使用外掛刷遊戲資產交易獲利、外掛代練、外掛 “帶老闆坐飛機”、外掛養號等。

外掛氾濫的原因主要有三：一是外掛開發的工業化不斷拉低開發的門檻；二是國內成熟的外掛分銷體系使外掛銷售更加便捷；三是外掛廣告行爲等行爲缺乏規制，助推了外掛消費和產業對接。

在上述三個因素的加持之下，伴隨遊戲行業的火爆，遊戲外掛的規模越來越大。

1.2.3 盜號

盜號，是從端遊時代起就存在於遊戲業內的老問題了。一方面，賬號的安全問題關係到遊戲能否長期穩定運營，另一方面，賬號被盜導致虛擬財產流失，給玩家帶來慘痛損失的同時，也損害了遊戲廠商的品牌形象。

盜取遊戲賬號信息，用行內黑話來說，又叫作 “出信”。所謂“信”，指的就是遊戲賬號密碼等信息。這個領域又涉及到撞庫、拖庫、釣魚、種馬(木馬) 等等手段。

盜號主要通過出售用戶信息、售賣遊戲帳號資產、詐騙等方式獲利。

1.2.4 羊毛黨

羊毛黨大都採取以量取勝的策略，比如養號、刷量、薅羊毛等。使用這種策略的黑灰產從業者，充分利用 “長尾效應”，本着“蒼蠅腿上也是肉” 的原則，把蛋糕做大。

羊毛黨通過批量註冊帳號參與遊戲廠商或者第三方平臺的活動，領取禮包 CDKey、充值禮券等，再通過交易平臺出售給遊戲玩家獲利。

如某網遊在交易貓上的交易價格爲 1 元≈14 金幣，遊戲內售價爲 1 元 = 10 金幣，若不計算其他成本，如果黑產能夠獲取低於七折的禮券，則能夠實現交易獲利。

1.2.5 內容違規

內容違規主要涉及到遊戲內發帖、發消息等文本內容灌水、涉黃、涉政、涉暴等違規風險。

內容違規的獲利點比較多，直接獲利點通過接單刷帖獲利，間接獲利則是引流至三方網站或 app，通過賭博、詐騙等手段獲利。

不同類型的遊戲所面臨的黑產問題不同，具體可參考《2021 遊戲安全白皮書》，因篇幅有限，本文不再贅述。

圖片來源：《2021 遊戲安全白皮書》

1.3 vivo 遊戲關注的黑產問題

vivo 遊戲作爲遊戲渠道或者分發平臺，關注的黑產問題和遊戲開發者有所不同，遊戲外掛等具體遊戲內的黑產問題和平臺無關，但遊戲開發者和平臺之間的利益分配就會成爲開發者作弊的動機，同時 vivo 平臺爲了增加渠道的用戶黏性，也會爲用戶開展一系列活動，發放遊戲禮包、禮券等福利禮品等，這也可能成爲黑產的獲利點。

我們需要關注的黑產問題主要分爲兩類：遊戲開發者相關的黑產問題和用戶相關的黑產問題。

1.3.1 遊戲開發者相關的黑產問題

顧名思義，遊戲開發者相關的黑產問題即以遊戲開發者爲主體發起的黑產行爲，常見的黑產問題有分發刷量和自充值問題。

分發刷量指通過如刷預約、下載、評論、榜單、啓動、時長、廣告等方式幫助遊戲開發者在 vivo 平臺獲得用戶流量或者廣告收益；

自充值則是指遊戲開發者通過自充值的方式提升其在 vivo 平臺的 “流水”，以在融資、商業合作、流量獲取等方面獲取有利條件。

1.3.2 用戶相關的黑產問題

用戶相關的黑產問題，主要指的是黑產利用批量註冊的方式掌握大量的 vivo 帳號，在遊戲禮包、遊戲禮券、營銷活動等場景刷量獲利。

二、vivo 遊戲黑產作弊特徵識別和打擊

黑產危害之大，不得不引起平臺的重視，對黑產問題予以打擊，將其對平臺的影響降低在可控的範圍內。

首先介紹黑產刷量方式及優缺點。

2.1 黑產刷量方式及優缺點

黑產刷量方式大致可分爲三類：模擬真人刷、接口刷、真人刷。

2.1.1 模擬真人刷量

模擬真人刷量，也稱機刷，通常是使用羣控設備，結合改機工具（修改設備參數）、秒撥機（切換 ip）等來達到刷量的目的。

• 模擬刷量：Xposed 模塊導入手機，打開相應 app，即開始 hook 設備信息，隨後用自動化腳本實現下載、安裝、卸載。

• Hook：手機安裝 xposed 框架，分析 apk 包，編寫 xposed 模塊。

• 自動化腳本：安裝 appium，編寫自動化腳本模擬進行打開、點擊、滑動等操作。

• 木馬：通過 “感染” 真實設備，自動執行程序下載或者調起應用，達到下載的目的。

• 模擬器：在設備有限的情況下，可以通過模擬器模擬簡單的設備參數進行刷量。

2.1.2 接口刷

接口刷，即通過協議刷量，通常是通過破解請求中的加密算法從而來自由構造請求，結合 http 代理等來達到刷量的目的。

2.1.3 真人刷

真人刷量，即通過真人真機刷量，常見的真人刷量方式包含積分牆，App 領域的試玩（激勵）平臺，通過獎勵玩家現金或者禮物的方式激勵玩家到各種分發平臺（主要是應用市場）去做任務：

下載任務（目的：衝榜），或者是去搜索 - 下載 - 打開任務（目的：提升關鍵詞排名），或者是去五星好評（目的：提升產品綜合權重）。

2.1.4 各刷量方式的優缺點

不同的刷量方式各有優缺點，黑產一般根據場景的刷量量級和作弊難度進行選擇。

2.2 vivo 遊戲反作弊方案

“敵暗我明”，黑產作弊往往防不勝防。而 vivo 作爲遊戲渠道，又有哪些反作弊的難點呢？

2.2.1 vivo 遊戲反作弊難點

（1）帳號全渠道通用的 “木桶效應”

不同於遊戲廠商自身的帳號體系，vivo 遊戲與其他業務的帳號是通用的，甚至不同國家和地區註冊的帳號也可跨地區登錄和使用。

比如，vivo 內銷註冊必須通過手機號註冊，而外銷則可以通過郵箱註冊，作弊成本更低。且數據合規禁止數據跨境傳輸，風控無法獲取帳號相關信息，打擊難度進一步提升。

帳號通用同時意味着帳號價值的提升，黑產批量註冊的帳號，不僅可以在遊戲場景刷量，也可以在官網、積分、會員、活動等業務場景使用，在一定程度上降低了黑產註冊帳號的成本。

（2）聯運低版本的風險問題

由於 vivo 聯運的遊戲衆多，一些遊戲廠商並沒有持續地維護和更新，這就導致 vivo 聯運 apk 升級時不能夠同步更新。而低版本 apk 往往存在一些漏洞，考慮到低版本升級可能導致遊戲適配的問題，聯運側一般不會強制用戶升級至高版本。

（3）可交易遊戲的刷量問題

一些遊戲內自帶交易系統，爲黑產刷量交易獲利提供了極大的便利，這些遊戲往往也是 vivo 遊戲禮券刷量的 “重災區”。

2.2.2 vivo 遊戲業務安全防控體系

目前風控側已建設事前風險感知 -> 事中風險識別 -> 事後打擊的業務安全防控體系。

（1）事前風險感知：

通過安全評審、安全攻防、情報調研、安全態勢感知等事項，來前置 / 及時發現業務場景存在的風險。

好的業務安全防護一定不能脫離業務。業務安全方案的制定，既需要系統的安全能力建設，也需要風控人員深入業務，根據業務特性制定完善的安全方案，這樣才能夠保證既能夠打擊黑產作弊行爲，又不會誤傷正常用戶請求。

同時，風控側也站在攻擊者的視角，對各業務場景進行攻防演練，對黑產的產業鏈進行調研分析，並對黑產可能攻擊的風險點建設相關指標進行實時和離線監控，力求前置發現業務場景存在的風險，並在黑產攻擊的第一時間同步業務及時作出應對。

（2）事中風險識別：

事中的風險識別指離線風控和實時風控來進行多層級的風險決策，最大限度的識別風險。

事中識別是風控策略的核心，這裏主要介紹幾種常見的規則類型：

• 請求頻繁和參數聚集：如單個設備上大量帳號請求，或大量請求聚集於某個低 app 版本等。

• 設備校驗：主要包含設備真實性校驗和參數合法性校驗，識別僞造設備參數的接口刷或者模擬器刷量請求。

• 風險數據過濾：根據三方數據或者利用歷史數據信息建模分析，生成風險 IP、風險手機號、風險 openid 等名單，限制黑產請求。

• 陌生環境請求：針對帳號換端登錄、新註冊帳號、非 vivo 環境等特徵進行加強校驗，不根據單一特徵直接攔截，但可作爲組合策略的子規則加以利用。

• 行爲鏈路完整性校驗：主要識別單個場景的接口刷，如不安裝遊戲條件下評論、無曝光有點擊等作弊行爲。

（3）事後打擊閉環：

業務安全是一個持續對抗的過程，事後我們一方面需要打擊刷量主體，提高主體的作弊成本；另一方面需要進行案例分析沉澱，對風控策略進行評估和系統告警進行分析，明確風控規則誤傷和漏過情況，不斷優化風控策略。

三、vivo 遊戲黑產反作弊案例分析

3.1 官網會員新購機遊戲禮券刷量事件

3.1.1 事件背景

19 年年末始，會員贈送的新購機遊戲禮券權益頻繁遭遇冒領，用券遊戲主要爲 “捕魚類” 遊戲。

3.1.2 黑產作弊路徑分析

3.1.3 風控打擊方案

• 對用戶請求設備參數進行嚴格校驗，並結合帳號、ip 信息等維度，準確識別用戶身份

• 監控領券成功數據和用券數據，及時發現漏過情況

• 建立禮券交易情報監控體系，關注禮券交易情況

3.2 遊戲禮包刷量問題

當前 vivo 遊戲禮包主要分爲 CDKey 禮包和自動發放禮包，CDKey 禮包由於其交易的便利性，一直得到黑產 “青睞”。

3.2.1 事件背景

2021 年 8 月某遊戲首發，首發禮包豐厚，吸引黑產批量盜刷該禮包

3.2.2 事件原因

• 禮包價值高，外銷帳號註冊和登錄態校驗存在 “低門檻”，吸引黑產攻擊

• 被風控策略識別後，黑產不斷切換作弊特徵，並利用高併發請求繞過風控限制

3.2.3 黑產作弊路徑分析

3.2.4 風控打擊方案

整體思路：各方配合提高黑產在整個刷量鏈路的作弊成本

（1）業務側：

• 登錄票據升級，設置票據有效期

• 聯合遊戲開發者將禮包直接發放至遊戲帳號，切換交易路徑

• 積分任務加密，提高積分刷量門檻

（2）帳號側：

• 凍結惡意外銷帳號

• 上線外銷帳號登錄態失效能力

（3）風控側：

• 加強對外銷帳號的打擊

• 提升驗證碼難度

• 遊戲禮包交易情況定期調研

• 加強對各鏈路指標的異常監控，及時發現漏過情況

（4）遊戲開發者側

• 聯合遊戲開發者失效惡意領取禮包 CDKey，在最後一個環節切斷黑產獲利途徑

四、總結

本文從 vivo 遊戲平臺的角度出發，分析 vivo 遊戲黑產的獲利點和作弊特徵，並結合案例分享 vivo 遊戲識別和打擊黑產的防控體系，希望對遊戲和業務安全的從業者在對抗黑產的問題上有所幫助。同時，對本文內容有任何疑問和建議，歡迎大家批評指正。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/7P36eYxCO6f7hrnx2PKW8g