連續註冊觸發風控?行為模式分析與人工幹預節奏控制
出海業務或高價值帳號業務(如簡訊驗證碼業務、AI模式服務等),「大量註冊」是黑產「入侵」的第一關,單純依靠靜態規則(如封IP)容易傷害純正常用戶。本文將從行為、評估、人工干預節拍這3個方面作詳細討論。
一、 行為模式辨識:辨識「機器魂」與「真人影」
黑產在做連續註冊時,雖然用的代理IP,或者有些祛除指紋工具,但其實其邏輯流都高度的相似。
1. 毫秒級觸達與節奏的一致性
異態模式:正常用戶註冊時都會存在一定的時間拖動視野,填表被打字存在的間隙以及閱讀並填寫協議文本所需的時間。黑產的腳本毫秒級都完成了填寫表單的動作,且被註冊過的多個帳號之間註冊時間間隔都可能出現「等差數列」、「常態分佈」等分佈特徵。收錄點:前端埋點返回 time_from input_focus to submit 的時間,低於 2 秒的中值直接滿分權值。
2. 環境指紋的「孤島」特徵
異常模式:使用了 Canvas 指紋隨機化,但是一個 IP 流入了很多「新設備」(沒有 cache,沒有 past cookie,設備版本分佈異常單一等),這些就是設備牧場模式的直觀指標。關聯性分析:取得 WebGL rendering info、fontlist、current screen size 構成設備畫像。
二、 核心案例:某跨國驗證平台的「零點風控」遭遇戰
1. 背景
2026 年 3 月,一家簡訊驗證網站發現零點後註冊量增加了 400%,然而不久其用戶活躍程度比較低。
2. 模式分析
通過聚類分析,這個批次流量的特徵為:IP 分佈:都來自於某家東南亞機房段的 IP,而且每個 IP 僅被使用過一次;信箱指紋:[email protected],格式;各個信箱有效期都是近 24 小時內註冊的;行為軌跡:從首頁 -> 註冊 -> 結果是一致的,從來沒有點擊過頁面中的「關於我們的文字」、「我們的價格」等輔助頁面。
3. 處理方案
系統並沒有直接堵截,而是繞行「層層干預」:L1 水平:強行彈回滑動或有效驗證碼(機器軌跡)。L2 水平:驗證滑動或有效驗證碼,但此刻每次只能以高價號碼測試這批 IP。L3 水平:引入行為設備手指紋黑名單群組,完全繞開重合度高的設備 ...
三、 人工干預的風險控制:不要「一刀切」
風控的藝術在於「慢即是快」。極端的攔截很容易造成漏斗轉換率的潰敗。
1. 軟攔截(Soft Block)
不要直接返回「您的帳戶已被封鎖」,會讓黑產去迭代腳本;控時:返回「本web伺服器繁忙,請60秒後再試」或者「驗證碼獲取失敗」;目的:增加黑產的攻擊成本(時間成本、簡訊數量成本),讓他們自動放棄;
2. 人工審計閾值
當風控引擎發現是疑似風險,卻置信度在60% ~ 80%的情況下進入人工審核池。介入策略:低高峰期:全部人工審核,再向異常帳戶發送「完善帳號資訊」郵件。高高峰期:採用AI代理做意圖對話的AI驗證(Vibe Coding思路),試探對手是否為人。
3. 動態冷卻期(Cool-down Period)
對同一子網或者具有類似的設備特徵的異常,採用加倍增長的冷卻時間。第一次異常:冷卻 5 分鐘。第二次異常:冷卻 1 小時。第三次異常:冷卻 24 小時。按此加速節拍能使自動腳本活動週而復始被打斷,而不可能出現大範圍並發情形下便利處的問題。
四、 總結:從規則驅動轉向意圖驅動
未來的風控絕對不是簡單的兩個 code 比較,而是意圖的博弈。研究一個用戶的首次行為(是搜索漏洞還是正常瀏覽),從而反向修正它的註冊階段的分數。核心建議:做好基線:清楚、正常用戶的「打字速度」、「停留頁面」的基線。預設 traps(Honeypot):在表單中設置某些特有的、用戶看不到、但是腳本可以自動填寫的 unknown input,一旦填寫進去便是 Bot 的識別。介入留痕跡:介入一定要留痕,溯源等業界的 SEO 數據波動或起波瀾,免傷員流數據。
📌 為了進一步討論「連續註冊」的風控思路,我們得下到黑產和反黑產遊戲的黑屏。
高段的風控系統也不會出現使用者剛點一下「註冊」就被彈出視窗封掉,會用「無形漏斗」逐年擊潰攻擊者的行為。這是對連續註冊行為的真實解構,具體介入方案:
一、 異常行為「微觀辨識」
黑產腳本無論如何模擬人類的行為,數據上也會留下「半機械的」痕跡。
1. 字段輸入的「非線性」特徵
正常用戶:輸入手機和密碼的過程中都會出現消除重打、切換大小寫的情況,甚至輸入一半就會停下來(去確認簡訊)。黑產腳本:通常是用 value ="…"直接賦值或者用恆定的速率(比如每 50 ms 一個字元)模擬打字。辨識點:統計 keydown 到 keyup 的間隔抖動幅度。如果間隔幅度 \( \sigma \approx 0 \)(均方差接近 0)即完全相同就是腳本。
2. 軌跡的「邏輯孤島」
異常模式:正常模式用戶的註冊流程都是首頁 -> 介紹功能 -> 帳單頁 -> 註冊。黑產很可能是註冊頁 -> 註冊 -> 提交這個「孤島」形式的訪客。環境噪聲:真實設備上的瀏覽器通常帶有大量的歷史記錄、Cookie、默認設置(如暗色模式、一定的默認縮放比例等)。一個「一摸就是白紙」的瀏覽器指紋本身就是反常的。
二、 具體的實戰案例:批量註冊攔截
背景:這個網站在一個小時內被瘋狂地註冊了500次,攻擊方採用了全球動態住宅IP來規避IP的封禁。策略實施:
📍 第一階段:安靜評分(Silent Scoring)
風控引擎並不阻止註冊,只是給每一次請求一個評分。加分項:IP地域與瀏覽器語言不一致(加20分);Canvas指紋1小時之內出現過(加40分);WebRTC洩露真實IP(加50分)。結果:評分如果大於60,則進入「攔擊隊列」。
⏱️ 第二階段:軟攔擊——「消耗戰」
直接攔擊會令攻擊者立馬換腳本。我們採取「延遲響應」的策略。操作:界面顯示「正在發送…」、後台故意延遲5~10秒後再返回驗證碼結果。結果:攻擊者的併發程式停在那兒「喝湯」,被「佔用資源」,單位時間的註冊效率降低80%。
🍯 第三階段:蜜罐(Honeypot)
在註冊表單裡增加一個 display:none 的隱藏的輸入框 email_confirm。邏輯:對正常的用戶來看看不見,不用填寫。但是,捕蟲腳本能從 DOM 中抓出來,就自行填寫一個亂碼的字串。折騰:只要這個框的內容不為空,系統直接返回「註冊成功」,但註冊的用戶帳號在數據庫中卻是狀態 status: zombie(殭屍狀態),接收簡訊失敗,無法登陸。
⚙️ 人工干預需要一定時間,在系統流量大的時候,可設置閾值或時間窗進行控制:1) 以 QPS 為依據設定警戒值,當某台子網(如 /24)的 QPS 超過一定值(可設為 10次/分)時發出報警信號;2) 當系統某個時刻某些請求出錯的機率(如簡訊發送失敗率、驗證碼輸入錯誤率等,下文簡稱失敗率)超過 3個標準差時,也要採取措施,以保證不因用戶激增而導致大量請求失敗。
對各類帳號的風險等級進行粗粒度劃分,針對不同等級的行為採取不同的應對措施:低風險的帳號特徵如 IP 位址較為分散重複,可以通過加圖片驗證碼防止該類帳戶的濫用,但在帳戶驗證通過後給其一個較短的時間釋放(例如 24 h);中風險的帳號指紋較為相似,可以加驗證語音與生成語音的必要成本,打擊此類腳本攻擊;針對已採取防範措施但確實被 APT 駭客盯上的帳號,可以將這類帳號加入帳戶灰色名單,儘管用戶可以註冊,但其以後下發的驗證碼永遠失效;甚至對於因普通攻擊造成系統掃庫的帳號,除了暫時屏蔽之外,還可以做人為判斷是否為惡意註冊,對高風險目標禁一段時間(例如 15 min)進行審計。可通過加密接口參數、加反簽名(使用非對稱加密技術)以及對註冊後數分鐘的可疑操作自動分析等方式來抵禦黑產的批量註冊。
如果流量從餘額查詢或轉出進入,應該及時進行二次驗證,以提高風控成功率。從這個意義上說,與其為風控設置各種條條框框,倒不如在產品設計時讓風控系統具備一定的「感性認識」,比如學習正常用戶打開帳戶各項功能的分佈特徵,這或許比機械地設置各種閾值更為有效。如果能夠設計出好的風控系統,既能減少被黑產利用的空間,也能降低實施風控的成本,使風控真正成為對成本的必要消耗。