揭秘小程序生态场景下 智能风控攻守之道

2017年1月9日,腾讯微信团队推出了一个划时代的产品“小程序”。经过持续迭代和打磨,目前小程序成功建立了完整的生态体系,拥有超过100万个小程序、150万开发者和5000多个第三方平台,每日人均打开小程序次数达到4次。这里也正成为了中国大部分互联网公司主动参与和竞争的流量战场。 

  据世界经济论坛发布的《TheGlobalRisksReport2018》中,网络安全已经成为除自然灾害以外,最大的风险所在。据统计,2017年黑产从业人员超150万,市场规模更是达到了千亿级别。 

  在互联网上,任何美好的产品都不能回避黑产这个躲在阴暗处的强大对手,小程序也不例外。我们今天就谈谈在小程序生态中,如何对抗黑产。 

  小程序官方平台的安全性

  万丈高楼平地起,小程序官方平台自身的安全性是这个生态体系最基础和最重要的。腾讯目前拥有全球顶级的安全团队,在小程序上线前也对小程序官方平台进行全面的安全规划和测试,覆盖了以下多个方面: 

     小程序开发者工具IDE和网页后台 

  小程序MINAJS引擎和JSAPI调用接口 

  客户端权限管理 

  同时,我们也看到腾讯安全团队在小程序上线当天即发布了“微信小程序安全守护”活动,号召安全社区一期共建小程序安全生态。 

1

  从目前的公开信息来看,小程序官方平台还没有被曝光过严重的安全漏洞,安全性可谓是稳如磐石。 

  开发者如何对抗黑产

  对于小程序开发者来说,所面临的安全风险与普通Web应用基本相同。小程序开发者和运营者需要面对的安全挑战主要包含: 

  1、小程序开发者后端应用的安全防护

  小程序作为用户交互的入口,最终的业务处理往往还是要在开发者后端的服务器上完成。我们以小程序购物的场景为例: 

2

  小程序开发者和运营公司必须要保障自己的后端应用安全、服务器安全、敏感数据和网络传输过程的安全。一旦后端出现安全问题,轻则导致服务不能正常使用,重则导致用户数据被窃取和破坏,对业务造成毁灭性打击。 

  其实这是传统的网络安全防御的问题,稍具规模的互联网企业都已经配备了相应的安全团队并且建立了对应的流程。 

  2、小程序内容安全

  内容安全是小程序开发和运营企业要面对的一个“致命”风险。如果你的小程序具备了内容交互的功能,那么必须确保内容的合法合规,否则随时面临封禁。小程序官方已经为开发者提供了内容安全接口,帮助开发者检测文本、图片是否含有色情、赌博等违法违规或敏感不当内容,提升内容审核效率。 

3

4

  3、小程序的代码保护

  小程序的开发是基于JS的,同时平台又不支持做很强的混淆保护(防止开发者暗藏玄机),很容易被攻击者逆向分析。在电商等场景下,建议开发者把敏感的逻辑尽量写在处理业务的后台,而不是写在小程序前端。 

  4、小程序营销场景的反“薅羊毛”

  任何有互联网营销活动地方,“羊毛党”都不会缺席。鉴于小程序形态的特殊性,大多互联网企业积累的Web和APP生态下的风控措施并不能很好的直接拿来使用,所以“羊毛党”可能是小程序生态中要面对的最大毒瘤。 

  我们看这样一个电商营销活动场景: 

5

  在传统的Web和APP环境下,因为整个体系是在企业内部闭环的,可以通过各种维度的数据(如IP、注册手机号、用户设备环境等)结合算法发现羊毛党,确保大部分优惠券能够发送到合法的用户手中,达到促销的效果。而在小程序场景下,大部分互联网开发者还没有足够的能力利用小程序的特性建立起有效的风控策略。“羊毛党”通过自己养或着批量购买的大量微信号能够成功的扫荡营销活动的优惠券或着企业红包进而谋取大量利润。 

  我们从黑产市场上监控到的数据来看,微信账号的价格是远高于所有其他同类账号的价格的,在这个业务体量下能将账号安全做到如此水平,绝非易事。

文章来源:金融界网站

1536126369.jpg