营销大促活动,不仅是商家吸引用户、冲刺业绩的关键战役,也是一场防御黑灰产入侵的守卫战。一方面,市场对电商平台稳定性和安全防护的要求提升,另一方面,黑灰产技术升级逐渐形成上下游分工、配合密切的产业链,电商风控与安全形势愈加严峻。
第十一期 | 你抢不到的优惠券,背后“元凶”竟是垃圾注册?顶象防御云业务安全情报中心发现,某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号,为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。顶象防御云业务安全情报中心BSL-2022-a3c22号显示,黑产通过非法手段窃取、购买公民个人信息及手机黑卡等,并采用作弊设备模拟设备指纹高频切换IP等方式,对电商平台发起大批量的注册攻击,从而获得大量平台账号,以用于后续在平台大促期间进行一系列的薅羊毛行为,不仅使普通顾客因此失去了获得优惠的机会,而且给平台带来了大额的资产损失和大量的无价值的虚假用户。电商平台为何会被黑灰产盯上?电商平台的每一次大促都是黑灰产“捞金”的最佳时机。近几年,各大电商平台为了拉拢客户尤其是新客户,开展了一系列营销活动:新人折扣券,满减优惠券,拉新返现、砍价助力等等,花费的营销成本高达数亿元。以双十一为例。不久前,顶象在业务安全大讲堂系列直播课《双十一电商行业业务安全解析》中就具体提到双十一电商平台的业务安全风险。就双十一促销活动,电商平台们营销周期从10月中下旬就会开始相应的营销投入。整个双11电商大促活动会持续将近一个月,这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究,为后续的营销欺诈活动做好充分准备。此外,在营销玩法方面,都呈现出了优惠力度加码,玩法多元化的趋势。比如天猫聚焦高质量发展,构建“低碳双11”,首次设立绿色会场,发放1亿元绿色购物券;关注银发群体,上线淘宝长辈版,设置首个长辈会场;京东则设立了首个“不熬夜”的双11,提升消费者体验;升级多种价格保护政策及放心换服务,保障消费者权益;出台绿色低碳、扶贫助农计划等。营销投入的加大意味着黑灰产有更大的动力去进行攻击,因为一旦成功,收益更大。而丰富的营销手段则意味着黑灰产有更多的途径、更多的场景实现攻击,因为一条攻击路径走不通,便可以选择另一条攻击路径。且新的营销手段往往会因为防控经验不成熟,更容易出现业务规则的漏洞,成为黑灰产攻击的突破口。也正是各平台之间的相互竞争,导致这种营销活动愈演愈烈,继而催生了垃圾注册这个行业,并与黄牛、羊毛党、打码平台等团伙形成了完整的产业链。上游:卡商与接码平台所谓垃圾注册就是通过购买大量手机号和用户个人信息,在了解平台的规则后,借助作弊设备(如:代理IP、群控软件等)自动化的进行批量注册。在整个互联网黑色产业链中,批量注册处在产业的中上游位置。其主要目的是为下游进行一些列黑产活动提供账号。因此,批量注册的账号被视为滋生助长网络犯罪的核心利益链条之一。同时,批量注册的账号多数利用不记名的网络黑卡进行注册,为相关的账号使用者提供了便捷的真实身份隐蔽及账号控制主体溯源规避的功能,亦成为了网络诈骗、赌博等相关犯罪所必须的工具。上游为信息和技术的支持方,即为批量注册提供大量身份信息或资料及其所需的技术支持,卡商和接码平台便处于上游位置。中游为账号获取方即号商,即行为人通过从卡商和接码平台处获取的手机号与验证码,使用自动访问平台注册程序的软件或程序,获得大量注册平台账号。下游为账号使用方,行为人通常向号商购买账号,以供网络刷单炒信、发布违禁信息、进行网络攻击等多种用途。顶象防御云业务安全情报中心监测到,其上游端的卡商手握数以万计的电话卡,其黑卡的主要来源有:实名卡、物联网卡、海外卡以及虚拟卡。实名卡:实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份信息,并通过黑卡运营商批量验证得到的。境外手机卡:黑卡运营商直接从海外购得的手机卡,这些卡无需实名认证,花费低,切合黑产利益。物联网卡:运营商基于物联网公共服务网络,面向物联网用户提供的移动通信接入业务。三大运营商采用各自物联网专用号段,通过专用网元设备支持包括短信、无线数据及语音等基础通信服务,提供用户自主的通信连接管理和终端管理等智能连接服务。虚拟卡:由虚拟运营商提供的电话卡。虚拟运营商与传统三大运营商在某项或业务上达成合作关系。他们就像是代理商,从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权,然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。像我们常能看到的170开头的号码,多为虚拟号码。卡商获取黑卡的主要渠道大致分为两个来源:一是从运营商“内鬼”处拿卡。运营商的工作人员每个月都有开卡任务,通过平分利益,运营商“内鬼”月均给卡商供卡上千张,二者达成默契合作,形成“双赢”。二是通过找中介进村“拉人头”。当卡商有需求时,一些所谓的地推团队就会集体“下乡进村”,打着三大运营商的名号,搞免费办手机卡送礼的活动,以50到60元的成本获得一张可以正常使用的实名手机卡。中游:利用多种作弊手段养号卡商在获取到黑卡后,下一步就是要利用作弊手段进行养号。其作弊工具主要有三种:猫池猫池是一种可同时支持多张手机卡的设备,根据机
根据最新研究,调节记忆的大脑回路和调节食欲的大脑回路间的连接中断程度与体重指数(BMI)成正比,这在患有导致肥胖的紊乱或暴饮暴食行为比如暴食症(BED)的患者中关联更显著。该研究指出,肥胖者的背外侧海马体(dlHPC)与外侧下丘脑(LH)之间的连接受损,可能会影响他们在期待奖励食物或款待时控制或调节情绪反应的能力。这项研究来自宾夕法尼亚大学佩尔曼医学院,于2023年8月30日发表在《Nature》(IF2022=64.8)杂志。
来源 / ToB行业头条(ID:wwwqifu)作者 / 海阳 · 编辑 / 瑞雪
近年来,网络安全实战演习受到各大关基单位的高度关注。对于网络安全实战演习的防守方,防火墙、Web应用防火墙、态势感知、EDR、蜜罐等都是较为常见的防守工具,而网页防篡改系统则鲜有露脸的机会——
点击关注公众号,Java干货及时送达 来源:zhihu.com/question/554345647/answer/2681440160 原以为之前虾皮裁员之后会消停一波,没想到才只是拉开了序幕,之后的暴风雨更加强烈,在9月19号,虾皮又开始了新一批的裁员,其中有不少毕业的同学是还没过试用期的应届生。这篇文章是经历了这次事情的一位同学写的,正文如下。 昨天的经历很魔幻,甚至今年的经历都很魔幻。 过年疫情没回家,过了年答辩拿到硕士学位准备休息下入职,结果3月被封在家三个多月,4月被封禁在家线上入职的SHDC
本文根据张伟杰在【第十五届中国系统架构师大会(SACC2022)】线上演讲内容整理而成。
在云上环境进行压测的场景,主要有单链路和全链路压测。其中,单链路压测用于业务添加新的接入模块和单业务架构迁移后稳定性评估;全链路压测则更多是在割接上云前演练,大促前容量评估等几个场景。
互联网高速发展带动电商行业迅速崛起,近年来,随着直播电商等新玩法的兴起,营销大促模式更加丰富、规模日渐壮大,电商行业发展迎来更大机遇。然而,电商快速发展的背后,羊毛党、黑灰产、网络攻击、仿冒流窜等问题也格外突出,做好安全防护成为行业刻不容缓的任务。
今晚八点,各大店家将陆续开启了双十一预售,意味着双十一活动就此打响。用户希望的是网站千万别卡顿,秒杀的时候网速要跟得上,商家则更希望的是网站平稳运行,交易正常,利润源源不断,万一网站崩溃,就会对用户体验和网站收入造成双重伤害。
全链路压测是以全链路业务模型为基础,将前端系统、后端应用、中间适配层、DB等整个系统环境,完整得纳入到压测范围中,以http请求为载体,模拟真实的用户行为,在线上构造出真实的超大规模的访问流量,以全链路压测模型施压,直至达到目标峰值,在压测过程中发现系统瓶颈和验证系统能力。全链路压测自2013年诞生至今,一直稳居大促质量保障核武器地位。
点击上方“芋道源码”,选择“设为星标” 管她前浪,还是后浪? 能浪的浪,才是好浪! 每天 10:33 更新文章,每天掉亿点点头发... 源码精品专栏 原创 | Java 2021 超神之路,很肝~ 中文详细注释的开源项目 RPC 框架 Dubbo 源码解析 网络应用框架 Netty 源码解析 消息中间件 RocketMQ 源码解析 数据库中间件 Sharding-JDBC 和 MyCAT 源码解析 作业调度中间件 Elastic-Job 源码解析 分布式事务中间件 TCC-Transaction
当用户碰到问题时极少会选择反馈,沉默的是大多数,现在不少APP比如知乎都提供了摇一摇弹出用户反馈入口,减少进入功能模块的时间成本,不过遗憾的是,针对同一个问题一百个人有一百种描述方法,用户反馈的语法分析和文本分类是一个大工程。另外通过排查传统基础层的方法很难快速定位到问题,比如运营商光缆被挖断,导致某地区CDN图片异常告警居高不下,由于用户到后端资源的不透明性,问题可能出现在缓存配置可能是因为小运营商非法调度也可能出现在源站,当你排查一圈后突然恢复了,诸如此类问题,通过主动监测可以快速定位到问题
半年时间,从0开始,冷启动,杀入竞争激烈的二手图书市场,在没有进行任何大规模营销(烧钱)活动的情况下,仅仅发表12篇原创文章,斩获了70w+关注,成功杀出了一片市场。
这次我们走访了10家电商,今年618的安全考验7家欢喜3家愁。 为什么而愁? 一些电商早早地就接入防刷,做好了准备,但实战来临时防护效果欠佳。一是高估了自研能力,二是对于刚起步的电商“新选手”,安全能力布局和对抗经验不够。618大促结束后用户开始抱怨没有抢到优惠券,企业管理者也感慨营销资金打了水漂。 那么要打赢这场安全战役,需要干掉哪些痛点? 专业黑灰产瞄准“拼团砍价” 首当其冲的就是要迎战以羊毛党为代表的黑灰大军。黑灰产在今年“618”期间升级了作案手段。薅优惠券这种虚拟物资已经不能让他们满足了,低价
随着互联网渠道的多样化发展,企业在广告投放方面有了更多丰富的选择。在面对成百上千个不同的广告平台、社交渠道、搜索引擎、应用市场等渠道时,采用openinstall进行一站式全渠道拉新促活监测已经成为越来越多客户的首选。
转眼间,2021年已过大半,作为前有618大促,后有中秋佳节,又正值“神兽”放假的暑期,消费者都爱买哪些产品呢?又有哪些产品取得了傲人成绩?
大模型如雨后春笋般涌现,并以惊人的速度和规模,重塑着我们对AI能力的认知。AI应用的多样性和创新性也在这一年达到了新的高度,这些应用不仅提高了效率,降低了成本,更重要的是,它们正在加速改变我们的生产,生活方式。
盈利点:利用公众号流量主平台,选择养老金作为方向,可以通过推广养老金相关内容获取流量,进而实现盈利。
魏艾斯博客最近很关注 Memcached 命中率实时监测的问题,经过查找总结了几种方法实时监测 Memcached 命中率,有单纯的数字和图形化的界面,为了提高 wordpress 和 linux 服务器的运行速度也是相尽了方法。下面说一下实时监测 Memcached 命中率的几种方法及实现过程。 一、telnet 监测 使用 telnet 程序监测 Memcached 命中率,具体操作参考MemcacheD 缓存是否启用成功及命中率检查,里面说的很详细了。 二、安装 MemcacheD Is Your F
WMWS 是 BS 架构开发,服务器上运行有数据接收与管理软件,前台为网站形式,可以使用任意的网页浏览器进行登录访问,包括计算机、手机、平板电脑等。
相信大家对Session-Cookie认证并不陌生,它是一种利用服务端的 Session(会话)和 浏览器(客户端) 的 Cookie 来实现的前后端通信认证模式,长期以来一直处于主流地位。
内部的API可能是由很多种不同的协议实现的,比如HTTP、Dubbo、GRPC等,但对于用户来说其中很多都不是很友好,或者根本没法对外暴露,比如Dubbo服务,因此需要在网关层做一次协议转换,将用户的HTTP协议请求,在网关层转换成底层对应的协议,比如HTTP -> Dubbo, 但这里需要注意很多问题,比如参数类型,如果类型搞错了,导致转换出问题,而日志又不够详细的话,问题会很难定位
近期,某电商小程序举办美食节营销活动,提供高额折扣券,并允许用户进行秒杀。然而,羊毛党团伙利用作弊手段,抢购囤券,然后倒卖变现,严重损害了商家的利益。
(VRPinea 11月4日讯)2022年度双十一大促全面开启,VR品牌PICO在多个电商平台的开门红活动中,实现爆发式增长。其中旗舰新品PICO 4 VR一体机表现亮眼,在天猫、京东、抖音三大平台均夺得VR/AR品类冠军,强势领跑销量、销售额榜单。双十一开门红首战告捷,也意味着软硬件全面升级后的PICO 4,更受新生代消费者的认可与喜爱。
每年的电商大促,平台的卖力吆喝和消费者的积极参与,都让成交额节节高升,这也让不法分子看着“眼馋”想从中分一杯羹。其中不少仿冒“惯犯”看到了敛财的大好机遇,通过文字陷阱、价格诱导、假冒网站等手段,大肆挤占正品市场渠道,不仅为自身谋取了非法收益,也让品牌带来了信任危机。
视图的滚动过程,其实是在不断修改原点坐标。当手指触摸后,ScrollView会暂时拦截触摸事件,使用一个计时器。假如在计时器到点后没有发生手指移动事件,那么ScrollView发送tracking events到被点击的subView;若是在计时器到点后发生了移动事件,那么ScrollView取消tracking自己促发滚动。
相信在甲方公司(大中型)的信息安全从业人员都会有同样的困境-公司的信息系统资产(已知资产/未知资产)不可管理,信息系统资产漏洞百出,安全设备告警无暇研判。要突破这种困境就需要在信息系统上线之前以自查的形式来形成一种上线流程规范,以规范化的流程促进安全管理。
针对电商平台上的作弊行为,阿里巴巴一直秉承着零容忍的态度,在虚假交易的识别防控以及处罚力度上没有最强只有更强。经过多年在全球最大的电商平台大数据上的沉淀和积累,阿里电商反作弊形成了一套监控预警、识别分析和处罚管控的多维度监管机制,特别是对虚假交易的数据监控和算法识别上应用了覆盖全链路大数据的实时分析处理能力以及大规模图搜索技术来鉴别作弊行为。
博文菌今天看到一则新闻说:Malwarebytes 的报告显示,全球勒索软件攻击呈现上升趋势。该研究显示,从 2022 年 7 月到 2023 年 6 月,攻击数量大幅增加,其中美国首当其冲。该组织指出,在收集的 1900 起勒索软件攻击事件中,超过 43% 发生在美国,比去年增加了 75%。
假设你正在开发一个电商网站,那么这里会涉及到很多后端的微服务,比如会员、商品、推荐服务等等。
来源:http://github.com/aCoder2013/blog/issues/35
Tech 导读 本文基于JDV平台在大促中的各种业务场景,讲解过程中使用情况和技术挑战,通过采取相应的技术创新、技术保障确保系统稳定性,推动数据可视化编排能力在大屏业务场景中发挥更大的价值
连接池提供了许多参数,最重要的就是最大连接数,连接池能使用的连接数达到上限后,新来的请求需要等待其他请求释放连接。
想要了解业务存在哪些业务安全风险,首先需要对业务非常熟悉,然而不同的业务将会面临不同的业务安全风险。学习业务安全之前要面对不同的行业,熟悉他们的主要业务,然后针对行业分业务来做风险识别,然后针对性的使用技术或者非技术的手段来保证业务的安全稳定。除了业务不同威胁侧重点不同之外,在企业的发展过程中,不同阶段的威胁侧重也不同,对于互联网行业来说,所做业务几乎都是先从一个点开始,做出特点,积累一定的用户量之后就会扩展其他的业务,最后发现所有互联网公司不仅仅是最初成名的业务,而是一个大而全的组织,比如:视频网站搞电商、招聘网站搞培训等等。
腾讯计费平台是产品端到端在线交易平台,其核心是帮助用户与产品安全、便捷的完成支付和收款,在交易过程中帮助产品盈收最大化。平台承载了公司每天数亿收入大盘,为180+个国家(地区)、万级业务代码、100+W结算商户提供支付渠道、营销、账户托管、风控、结算以及推荐等服务。
这个过程技术可以实现自动抓取、过滤、投放,但需要运营介入的地方有非常多的。因为不一定所有的内容抓过来可以直接使用,首先就要对内容源进行筛选。
很多人都认为,堡垒机指的是一个服务器或者是电脑。但是其实堡垒机是指在特定的环境下,企业搭建起来的一种系统,这种系统可以帮助公司监测到公司员工们的权限,什么人使用了企业的资产等。那么,怎么通过堡垒机连接服务器?为什么要搭建堡垒机?
近年来各种大规模的红蓝对抗赛事方兴未艾,攻防实战受到了更多的重视。红队和蓝队的打法逐渐提升并趋于成熟,已不再是单方面的攻击与防御,而演变为攻防博弈和几乎不限手法的对抗演习。与传统的渗透测试相比,这种高强度的红蓝对抗有着明显不同,甚至较量的不仅仅是技法,而包括战术打法、心态与体力的考验。
近几年来我国在城市基础建设方面投入了巨大的物力和财力,城市排水管网系统是城市最基本的保障设施,直接影响经济发展和人民生活的安定,在城市发展中起着至关重要的作用。我国多数城市污水管道并没有形成完善的系统,有的利用街道、河道排水;有的污水随意排放,影响环境卫生;有的虽然有管道,但是排水能力低,极不适应日益发展的城市建设,对人民的生活、生产带来较大的影响。
韩智 发自 凹非寺 量子位 报道 | 公众号 QbitAI 又是一年618。 电商APP里满眼「限时疯抢好物」「低至5折」,朋友圈地铁广告铺开,各家巨头抱着百亿「子弹」一次杀入战场。 中国基金报数据显示,去年618交易额已经突破万亿,首次超过同年双十一,成就全球最大规模消费盛宴。看今年,618势头自然只热不凉。 穿透现象看本质,你看到的618是营销术语、明星加持、补贴打法—— 这背后是一个牵扯甚广、无比复杂的体系,大量技术应用和科技创业者们撑起了这场万亿狂欢。 对每个关心科技的人,这可比剁手有意思多了。
微信正式上线“微信指数”,但微信指数数据从哪里来?目前官方是这么个说法:1、捕捉热词,看懂趋势;2、监测舆情动向,形成研究结果;3、洞察用户兴趣,助力精准营销。之前张晓龙说过好几次,少就多,所以,微信指数能否作为一个搜索引擎的逻辑概念,从哪里调取数据来源?微信公众号的文章?还是微信嵌入进来的各种第三方网站的内容来源?或者是其他?微信派给出了一个提示:基于微信的大数据分析,微信指数能够帮助大家看到关键词在微信内的热度情况,热度情况有且只限于微信搜索、公众号文章以及朋友圈公开转发文章形成的综合分析。 我们
产品详情中获取产品编号、Mqtt账号、Mqtt密码和产品秘钥,密码通过产品秘钥进行AES加密,传递到后端;后端通过产品秘钥解密进行认证;连接Mqtt消息服务器需要提供唯一的客户端ID、用户名和密码,具体格式如下:
移动推送(TencentPush Notification Service,TPNS)通过稳定、快速、高抵达的推送服务,助力APP与用户之间的连接。仅需快速植入SDK,便可通过设定精准的用户标签,使用有效提升消息抵达率的双Service联合保活通道和每分钟可容纳1800万推送消息的系统,实现终端消息秒级到达,满足App的各项推送需求。
在工作和学习的过程中要善于思考,勤于学习。并做出适当的记录,才能最快速的学习并掌握一项知识。希望在这个平台和大家一起共同成长,和大家分享一个SSM(MYECLIPSE)项目,该项目名称为基于web的java舆情监测系统。采用当前非常流行的B/S体系结构,以JAVA作为开发技术,主要依赖SSM技术框架,mysql数据库建立本系统。
FreeBuf咨询TTSP智库专家 乐信集团信息安全中心总监刘志诚,在2021数据安全与数据治理高峰论坛上分享了议题《从数据安全到业务安全-业务安全进阶之路》。本文对其分享内容进行梳理和展示。
本文为证券市场红周刊约稿,刊发于2023年7月8日《红周刊》杂志,原标题为《“618”销售额增速放缓,实体店正在冲击线上消费?》
领取专属 10元无门槛券
手把手带您无忧上云