數美黑產研究院｜揭秘黑產非法盜爬訪問與非法佔座“搶票”行徑

“週四從北京飛鄭州的機票又搶不到了，火車票也沒了。”

無論是過年回家，還是假期探親，每個人都會遇到類似“一票難求”的問題。為什麼每次搶票會這麼難？這些機票和火車票是真的沒有了嗎？隨著假期時間的臨近，搶票卻一直在“加速中”，此時大多數人會開始找黃牛。

而這種結果也正中黃牛的下懷，當我們還掙扎在搶票加速的邊緣時，黃牛卻可以輕輕鬆鬆按照客戶們的需求，搶下指定某時間段下的指定航班/車次，並收穫一筆筆不菲的佣金。

為何黃牛能夠輕鬆搶票？其實這背後反映出黑產非法盜爬訪問和非法佔座等惡劣行徑。近年來，“提直降代”是民航業開展工作的重中之重，此前國資委要求國航、南航、東航等航空公司將機票直銷比例提高至50%。而直銷比例的提高，約可大力改善航企營銷模式並可助其節省高額分銷費用。

但公開資料表明，黑產的非法盜爬訪問和非法佔座行為卻給航空公司直接帶來近10億元的鉅額損失。為了深入瞭解這些鉅額損失背後的黑產“搶票”生態體系，數美黑產研究院的小趙（化名）首先瞄準了國內鐵路交通業，開始了“入敵偵查”。

為什麼你總是搶不到票？

1

、上游非法盜爬

7月10日，小方（黑產化名）先在web端破解12306的簽名演算法，然後註冊登入少量賬號，進行12306頁面內容的非法盜爬和實時監控。主要目的是為了檢視北京到鄭州的各時段列車是否有票，以及具體的出行時間、列車座位。

“北京到鄭州的火車票，12306會在7月13日上午10點放票，小張（黑產化名）記得指令碼設定為10點開始搶票。”小趙看到小方在群裡發了這樣的通知。

2

、中游非法佔座

小張的設定目標是要搶到1萬張票，一個賬號平均可以搶到十張票（一個賬號可錄入10個身份證號），所以小張就會利用1千個賬號進行搶票。而黑產最不缺的就是賬號、IP、身份證號等個人資訊資源。

小張一收到通知，就將昨天透過“訊代理”購買的4千個IP賬號和4萬個身份證號，分成四個組合（組合A、組合B、組合C、組合D）。每個組合有1千個賬號。由於要大批次搶號，小張使用的伺服器延遲極低，然後透過打介面的方式來發包，請求訪問12306的伺服器。

7月13日上午10點，12306準時放票。小張透過組合A搶到1萬張票後，不會立即付款，只會非法佔座。12306的可支付時間為30分鐘，10：30，這1萬張票再次返回系統。隨後，小張開始用組合B的一千個賬號進行二次搶票，重複組合A的佔票步驟，依次迴圈……

3

、下游黃牛倒賣

直到有客戶小美找上黃牛小王，需要代買一張“10月1日下午3點，北京到鄭州的G653次列車，二等座”的票，佣金50元。

小王會登記小美的姓名、身份證號和手機號，然後傳送給小張，小張便將小美的個人資訊新增到他即將要在11：00搶票的組合C中。

幫助小美搶到票後，11：30小張會繼續開始第四波搶票，只要有客戶再次上門買票，小張就會將客戶的個人資訊新增到下一波的搶票賬號裡。

與此同時，小張也會實時監控頁面資訊並盜爬。12306發現上午發的票都被搶完了，很多人沒有買到票，還在候補。就會定時7月14日上午10點繼續放票，而小張會重複7月13日的搶票步驟，在14日上午進行再次操作。

為什麼想買一張回家的票這麼難？因為現在的搶票不再是拼手速、拼網速的問題了。同一張票，你需要搶過人工智慧，很顯然，這是不可能的。火車票是這樣，機票亦是同理，透過黑產“搶票”的例子看，現在的黑產生態鏈已經完善最佳化到令人髮指的地步了。

黑產“搶票”慣性套路

透過上文可知，黑產“搶票”擁有完整的上下游供應鏈。例如上游小方（負責非法盜爬訪問、實時監控頁面資訊）、中游小張（負責大批次搶票、非法佔座）、下游小王（兼職黃牛，對接客戶賺佣金）。同時，黑產“搶票”擁有自己的“優勢”：超低延遲的伺服器，以及取之無盡的他人隱私資料資源。

1

、火車票黑產作惡邏輯

以火車票為例，數美黑產研究院深入挖掘黑產主要的作惡邏輯，總結為以下幾點：

首先，黑產需要在web端破解12306的簽名演算法；然後利用大量代理IP、批次賬號、低延遲的伺服器，透過驗證碼來註冊/登入；先登入少量賬號監控頁面資訊，主要檢視是否有票，以及出行時間；接著就是發包，請求訪問12306的服務端；最後進行大量持續搶票、黃牛開始倒賣。

火車票場景下黑產作惡手段邏輯圖

2

、航空公司黑產作惡路徑

同樣，與火車票的作惡手段類似，以某航空公司為例，數美黑產研究院發現，黑產從事內容盜爬活動，主要目的是藉助程式自動化訪問航空公司網站以獲取需要的資訊。

這些爬蟲主要查詢航司艙位、機票價格資訊、航班動態資訊等。黑產拿到這些資訊後，往往會用於惡意佔座、第三方平臺的資訊展示，甚至進行簡訊詐騙等違法行為。而航司查定比（查詢下單比）高，主要原因也是爬蟲。

細分來看，在航旅行業場景下，黑產的業務路徑主要集中在通用環節和業務環節兩個部分。如下圖所示：

某航空公司黑產作惡手段邏輯圖

顯然，黑產在其中的作惡手段就集中在註冊、登入、頁面資訊內容盜爬、營銷活動欺詐和批次佔座以及黃牛倒賣。同時，這些環節也是航空公司可有力防控黑產的重要途徑。

黑產“搶票”異常行為分析

面對黑產在鐵路交通/航空公司整個消費生態產業鏈的無孔不入，以及嚴重的資料盜爬與非法佔座所造成的鉅額損失，數美黑產研究院對黑產“搶票”的異常行為路徑進行了全面分析。

從黑產作惡路徑上看，主要有以下四個方面：

1。黑產在破解12306/航空公司的驗證碼時，通常採用聯眾打碼和機器學習的方式。而web端的裝置指紋異常不穩定，對於是否偽造的辨識度要求較高。

2。黑產用批次代理IP、賬號等資源進行登入時，會出現大量IP的強聚集性。

3。由於黑產需要實時監控頁面資訊、檢視票價的相關資訊，所以會進行高頻的賬號請求訪問。

4。在黑產開始大量搶票、進行倒賣的時候，會發生IP異常行為、資源離散等違規現象。

因此，對web端採取加固措施，可從“源頭”對黑產進行攔截，不斷提高黑產的成本。同時採用關聯頻度策略也可進行高效防控。

應對黑產“搶票”風控策略

對於航空公司而言，基礎的風控措施必然可以起到一定的防控目的，但是如何精準識別並強有力打擊這類黑產分子最為重要。因此，從技術手段到解決方案的並駕齊驅，服務架構和系統平臺的最佳化迭代更為實用有效。

數美黑產研究院發現，從異常行為的風控策略上看，主要涉及以下幾個層面：

1。在解決方案上，依據基礎風控規則，為了確保資料安全性，可結合私有云架構來支援。如利用深度學習模型來搭建多種智慧網路模型，並利用私有云定期更新黑產影象，從而不斷提高和最佳化黑產異常行為識別率的精準度。

2。在實用價值上，針對特定風控場景，深入挖掘並制定靈活的風險策略。如取消訂單團伙挖掘；惡意賬號、裝置、聯絡人、乘坐人挖掘；機器時序挖掘；事件缺失團伙挖掘；多實體時間間隔/事件序列/實體時序相似團伙挖掘；航司下單場景策略等。

3。在應用成本上，考慮資源預估與彈性擴容，避免風控管理流程冗餘。儘量利用較少伺服器來部署Web介面、接入模組、業務邏輯模組、決策引擎、基礎引擎、統計引擎、元資料資訊等，以此達到資源的充分利用，減少資源浪費。

4。在系統最佳化上，利用私有化的系統監控，來預防、巡檢和預警各類異常風控現象。如主動呼叫API介面報警，及時同步相關業務人員異常資訊的發生；運維人員定期呼叫並進行系統巡檢；直接發現和報警訪問量突增等異常行為。

所以綜合來看，環環相扣，層層把關的AI線上業務風控解決方案是最有力的防控武器，精準防禦和高精度識別技術是最出色的防控手段。

數美科技透過佈局全球SaaS風險網路，利用規則引擎，可實時預防行業競爭資料、高價值內容、隱私資料等被盜爬行為。數美科技的天網——全棧式實時智慧風控引擎，也可對異常賬號進行精準識別和攔截，高效保障航空公司和鐵路交通的平臺利益，為其線上業務運營保駕護航。

當前，針對非法盜爬和非法佔座等問題，數美科技為航旅行業制定了專業AI線上風控解決方案，並和多家大型航空公司達成了深入合作。在未來，數美科技還將繼續解鎖黑產作惡新行徑，不斷最佳化迭代自身技術實力，全方位為客戶提供最精準最優質的服務方案。