大话今天你被刷了吗?
- content {:toc}
互联网发展至今产品层出不穷迭代迅速,产品在运营推广的过程中需要做活动推广业务对外进行引流、注册
热门的活动在运营的过程中总是会发现某些用户每期都参与并且多次获得奖励,此时对活动的历史数据进行查询分析后后背脊一凉,妈蛋,活动被刷了~
这里所提到的用户包括(站内用户、手机号、设备码、IP、微信 UnionID)
前言
大多数公司的产品设计和程序猿对于推广活动业务的防刷意识不强,在业务设计和开发的过程中没有把防刷的功能加入业务中,给那些喜欢刷活动的人创造了很多的空子
等到你发现自己被刷的时候,已经产生了不小的损失,少则几百几千,多则几万,作为有节操的程序猿,看到自己开发的业务被刷是什么感受?
我们要拿起武器(代码)进行自我的防御,风控,加高门槛。
随着利益的诱惑,现在已经浮现了一个新的职业“刷客”,专业刷互联网活动为生,刷到的活动商品进行低价转手处理,开辟了一条新的灰色产业链。
危险信号
举一个栗子:
站外活动推广为了引导新用户下载注册,活动参与需要让用户输入手机号,如果输入手机号是新用户就提示获得奖励并引导用户下载 APP,用户进入 APP 输入参与活动的手机号注册并获得奖励,或者活动在微信推广,引导微信授权注册等
在做这块业务开发的时候普遍认为手机号是对应用户的,而且注册时需要输入验证码,手机必须是本人的,这个业务不会被刷,因此没有对用户进行限制,刷客在参与这个活动业务的时候发现了这个缺陷,然后就肆无忌惮刷走奖励。
这里需要注意手机号,微信都已经不能被表示为是一个用户,我们需要通过多个维度进行是否是同一个用户的判钉(设备码,IP,等),刷客可以自己养 N 张手机卡和 N 个微信,刷完这个活动再刷另一家活动。
赶紧回顾下自己的做过的业务,是不是有这样的危险的问题?
防刷设计
- 风控
- 设定业务中关键数据的多个区间(橙色预警,红色预警,报警),当统计数据越过区间时进行警报通知相关人员,或者自动奖励降级、暂停活动业务。
- 黑名单
- 将检测出刷客的用户加入黑名单,所有业务共享这份名单,全面的封杀刷客。
- 技术防刷
- 接口参数签名
- 合法请求验证(useragent,reference,等)
- 合法操作行为验证(如:微信推广需要先进行微信的授权,如果用户请求参与活动接口上报的微信 UnionId 近期没有授权记录则为非法行为)
- 业务防刷
- 产品在设计业务和程序猿进行需求评审的时候需要对业务中可能出现被刷的需求点进行评估,必要时加入防刷的设计,如:限制用户获取奖励次数,等。
未来设想
在与刷客的较量中,今天你战胜了他,他就会放弃刷你,但是他马上就转身去祸害别人,在互联网的大家庭里我们需要合作共赢,可以成立一个第三方的防刷客联盟,共同的维护这份刷客用户的黑名单,让他们无所遁形。
总结
WEB 开发的过程中,出现接口被刷,业务被刷这是经常会发生的事情,问题出现并不可怕,面对问题就等于解决了一半。
分享此篇博文共勉,希望可以提醒大家防火防盗防刷客,提高防刷的意识,防范于未然。