作为提振经济的重要把手，城市消费券的作用不言而喻。揭露数据显现，2022 年全国各地发布的消费券累计超 100 万亿，在撬动各地消费的过程中起到了无足轻重的作用。

但是，仔细剖析各地的核销率就会发现，有很大一部分消费券或许落入到了不法分子的口袋中。

依据顶象近日发布的《城市消费券安全调研陈述》（以下简称《调研陈述》）显现，各地消费券核销状况不一。

6 月 24 日，杭州发放 2022 年第二期数字消费券。4 天之后，核销率不到一半，为 49.1%。核销率同样在 50%上下徜徉的，还有 6 月湖北第一批“惠购湖北”消费券。

此外，郑州5月发放的餐饮消费券，核销率只要45%。

全体来看，各地的平均核销率超越80%。但从现在发布的各地核销率状况来看，核销率却不甚抱负。

《调研陈述》显现，15 个区域中，核销率在90%以上的仅有深圳、成都和宁波三个城市，其他城市核销率都徜徉在 50%~70%之间。不难猜测，未核销的消费券很大程度上或许已经成为不法团伙牟利的东西。

与此一起，因为消费券发放的渠道首要在付出宝、微信、云闪付及建行生活 App 等各个大渠道发放。各大渠道本身有较强的事务安全及风控才能，各地的消费券发放规矩上，获取消费券的用户基 本都需求完结实人认证，且需求敞开相应的线上付出功能，已经有较好的风控才能。

显然，惯例的批量注册、软件哄抢关于黑灰产而言已经不适用了，那么，黑灰产们又是怎么批量盗取消费券的呢？

运用机器爬取获取大量消费券信息

《调研陈述》显现，为了绕过消费券的发放规矩，黑灰产经过大量招募真实身份、真实账户的的“刷手” ，然后经过社群，下达使命，组织进行一致操作和套现。从现在搜集的情报来看，现阶段黑灰产在整个消费券套现的链路中扮演中介的人物，赚取相应的佣钱，首要采用人工抢和机器抢两类方法进行。

其间，人工抢券则运用爬虫抓取大量信息。

详细流程如下：

第一步，人员招募。

黑灰产在国内外各个交际渠道建立消费券组群，发布隐晦的广告信息，招揽“刷手”入群。另一方面，有套现需求的顾客也能够各个交际渠道，经过关键词查找的方法快速找到相应的消费券套现群。

第二步，搜集信息。

在招募一定数量级的参与者后，黑灰产经过人肉线上查找或机器爬虫的方法，抓取线上各地政府发放消费券的发布信息。

第三步，消费券整理及事务缝隙发掘。

针对汇总搜集的消费券信息，黑灰产依据发券时刻、地址、发布 App、消费券金额、运用方法等进行一致分类、整理，并剖析消费券领取和运用中的事务 缝隙，以便于进行哄抢。

第四步，下达使命。

经过社群，黑灰产下达抢券使命，引导刷手在指定的时刻内会集哄抢消费券。

这样的行为不仅破坏了各地发放消费券的初衷，也打乱了市场公正，造成了极坏的影响。

那么，怎么防备城市消费券被歹意爬取呢？

顶象防备歹意爬虫的有用措施

机械工业出版社出版的《攻守道—企业数字事务安全危险与防备》一书中，以为歹意网络爬虫会带来数字资产损失、用户隐私走漏和打乱事务正常运行等三大损害，并将“歹意网络爬虫”列为十大事务诈骗手法之一。

此外，爬虫开发制造门槛比较低。很多技能论坛社区有关于爬虫开发、研讨、运用介绍，市面上也有很多专业的爬虫书本。只要把握Python编程语言，依照论坛、社区和书本上提供的爬虫教程和实操事例，一起依据爬虫技能爱好者共享出来的渠道、网站、App的API接口信息，就能够快速搭建出一套专门的爬虫东西。

依据城市消费券背面的爬虫，顶象以为可从以下几方面入手：

加强渠道危险环境监测。

定时对App的运行环境进行检测，关于存在代码注入、hook、模拟器、云手机、root、越狱等危险能够做到有用监控和阻拦。

保证客户端安全。

App和网页，能够分别部署H5混杂防护及端安全加固，以保证客户端安全。

通讯链路强加密。

Web端的JS、移动端的SDK均需求经过加固保护，进步攻击者逆向的难度。

战略层面建设依据场景的反爬战略。

比好像设备相关的IP数反常、爬虫IP黑名单封禁、爬虫危险设备辨认等等。

处置层进行危险分层，并下发不同的处置指令。

比如体系判定为无危险/低危险时，则放行；体系判定为中危险是，则需进行人机验证；体系判断为高危险时，则当即阻断。

数据的剖析总结层面，

依据数据报表进行监控回溯，查看历史触发状况，进而对反爬战略进行优化升级。

在事务侧，

针对批量爬虫的危险特征，可接入事务安全风控体系**。**

一起将终端采集的设备指纹信息、用户行为数据等传输给风控体系，经过在风控体系配置相应的安全防控战略，有用地对危险进行辨认和阻拦。

1）设备终端环境检测。

辨认客户端（或浏览器）的设备指纹是否合法，是否存在注入、hook、模拟器等危险。一般批量作弊软件大多都存在以上危险特征。

2）行为检测。

依据设备行为进行战略布控。针对同设备高频查询，同IP高频查询，相同IP段反复高频查询的请求进行监控。

3）名单库保护。

计算依据风控历史数据，关于存在反常行为的账号、IP段进行标注，沉淀到相应的名单库。关于名单表内的数据在做战略时进行分层，适当加严管控。

4）外部数据服务。

考虑对接手机号危险评分、IP危险库、署理邮箱检测等数据服务，关于危险进行有用辨认和阻拦。

一起，验证码和设备指纹也是反爬的重要手法。

验证码

能够阻挡歹意爬虫盗用、盗取数据行为，防止个人信息、渠道数据走漏。当某一设备或账户拜访次数过多后，就主动让请求跳转到一个验证码页面，只要在输入正确的验证码之后才能继续拜访网站。但是设置杂乱的验证码会影响用户操作，带来负面的体会感受。

设备指纹及时辨认注入、hook、模拟器等危险，风控引擎对注册、登录、领取等操作进行危险实时辨认判定；智能模型渠道帮助交际媒体构建专属风控模型，由此构建多维度防护体系，有用阻拦各种歹意爬虫危险，且不影响正常用户体会。

——————

事务安全产品：免费试用

调研陈述：免费下载