一键认证

有相当一部分人在登录不同APP的过程中还是一条密码走天下,虽然方便好记忆,但也极大地增加了设备安全隐患,让APP在登陆前便面临着羊毛党、黑产工具的威胁。在激烈的APP竞争市场上,为用户创造良好的体验是APP开发者始终要关注的问题。而为用户提供安全、快速的登录体验则是开发者们首先要面临的挑战。本文将从设备异常判断、黑产设备的常见攻击场景、防范黑产的解决措施三方面进行展开,并结合个推实践,为大家解析了个推新一代风控解决方案——“ 一键认证”SDK。该产品在帮助APP开发者实现免密登录的同时,还能有效提升反欺诈能力、保障业务安全。


一、设备异常判断

一般而言,开发者可以通过检查设备所处的环境来判断设备是否处于异常的状态。如果设备信息被篡改过、被root过、系统被修改过、Xposed框架被安装过,则设备很可能已经处于黑产工具的控制下。常见的黑产工具包括“手机卡商与接码平台”、改机工具、打码平台以及群控系统。


二、黑产的攻击场景

黑产的攻击场景主要有以下四种:渠道推广、登录注册、营销活动、社区互动。在渠道推广环节,APP开发者可能会遇到自动化批量刷量的黑产设备。它们会伪造虚假激活,让APP推广的钱白白浪费。在登录注册之时,黑产方会对APP进行撞库攻击,并提供大量的垃圾账号进行注册。到了营销活动环节,攻击者可以针对APP优惠活动,提供大量的账号薅羊毛。社区互动过程中,直播刷榜、发送垃圾广告都是黑产攻击的常见形式。


三、黑产防范措施

要如何防范黑产攻击?APP开发者首先可以对手机上的设备信息进行全方面的检查。检查维度包括设备信息有无被篡改、手机是否处于root环境、有无安装一个Xposed的框架、系统是否被修改过、是否处于虚拟机的环境、部分地理位置异常是否频繁。检查后对这些风控数据予以记录,并把这些数据提交给风控引擎进行多维度的分析,比如可以对它进行IP风险评分、IP画像以及判断手机号是否在黑名单。开发者可以通过多维度的模型标识高风险的用户、风险等级并告知客户端,以此进行一些防护。


以薅羊毛场景为例,APP开发者可以这样进行防护:一般薅羊毛的流程是从批量获取账号开始,再批量登录,然后开始薅羊毛。而薅羊毛的过程中,应用极有可能储有大批量的分身场景。开发者可以结合这些特点标识出高风险的用户,并对此采取防护措施。


四、个推 “ 一键认证”SDK

黑产攻击造成资产或声誉损失的现场此起彼伏,设备风险控制任重道远。为帮助APP开发者智能识别安全风险,个推在移动安全领域也推出了相应的解决方案-“个验”。个验是个推面向开发者推出的“一键认证”SDK,旨在帮助开发者为用户打造颠覆式的登录体验,用户无需输入密码,却能很安全地实现秒级登录的效果。此外,一键认证还能为APP开发者提供风险识别和风险防护的系列方案,帮助APP开发者有效识别风险设备、保障业务安全。


1、反欺诈能力

个推服务着数十万APP、数十亿设备,这帮助其产品“一键认证”积累了丰富的可信数据。依托数据优势, “一键认证SDK” 围绕设备、网络、账号、行为,创建了四维反欺诈防护体系并设置了数千个指标、数百个风控规则,旨在帮助APP开发者全面提升大数据风控能力,准确识别黑产设备。


2、动画验证码

个推“ 一键认证”SDK还研制出了风控防护利器:动画验证码。动画展现形式丰富,可通过图层叠加、控制播放速度等措施迷惑攻击者。此外,动画验证码还能实时监控黑产设备,定期变更验证码策略,提升黑产破解成本。目前市面上的黑产工具暂无完备的破解方案,这大幅保障了设备的安全性。


用户的设备是否安全将直接影响到APP的口碑及市场,这也是APP开发者需要持续予以关注的问题。个推“ 一键认证” SDK在大数据的加持下,不仅能快速实现一键免密登录,还能降低账户安全风险、提升反欺诈能力,有效防范薅羊毛党及黑产,为APP运营提供前提保障。相信在未来,这种革新性的产品将会成为主流趋势,成为APP防范账户风险,提升大数据风控能力的有效利器。