每经专访 | 数美黑产研究专家道然揭秘黑产侵袭航司的“套路”？

随着企业数字化转型的深入，黑产气焰日盛。中国信通院《移动数字广告与互联网反欺诈蓝皮报告》显示，2020年，中国黑产从业人员规模达到500万，国内黑产欺诈造成的财产损失达到5150亿元，其中，有70%互联网App因缺乏防御技术能力而遭受黑产欺诈。数美科技在2017年成立了黑产研究院，致力于识别并解决各行业欺诈风险，为各行业提供第一手黑产威胁情报，提供黑产对抗策略和方案。

近期，针对航司黑产的话题，数美科技黑产研究院专家道然接受每日经济新闻的采访，揭秘航司黑产背后的运作模式，并提出对抗黑产的专业建议。

以下内容来源于《每日经济新闻》，记者舒冬妮

“以某航司为例，过去一年，乘机旅客中预留虚拟手机号码的比例高达3%，近百万人次，仅去年4月到5月期间，遭受‘恶意占座’（占座不支付，虚耗座位限额）的攻击数量多达5.8万余次，涉及航线518条，持续时间长、规模大，造成了巨大损失。航司有紧急情况也无法和旅客取得联系，严重侵害旅客隐私、人身、财产安全，侵害航司经营安全，也对国家公共卫生、反恐安全等造成隐患。”今年两会期间，全国政协委员、春秋航空（601021.SH，股价50.91元，市值498.18亿元）董事长王煜曾提出一则提案。

12月4日，文化和旅游部网站发布答复函，就王煜委员《关于建议进一步完善公共交通系统旅客实名制，增加手机实名制校验的提案》表示，已向机票销售市场份额较大的携程、去哪儿、同程、飞猪等在线旅游企业了解情况并进行了业务指导。

答复函中，文旅部还谈到下一步工作计划：第一，指导在线旅游企业认真落实有关要求，选择有资质的机票代理商并加强动态管理，优化机票预订流程，及时人工处理可疑订单，保持旅客和平台、航司、机场信息通畅，切实保障游客合法权益；第二，进一步落实手机号实名制的要求；第三，严格代理商资质审核，强化代理商管理。

日前，针对航空公司遭恶意占座的情况，《每日经济新闻》记者电话采访了与黑产打过深度交道的数美科技黑产研究专家道然，详细还原在旅游航空领域，黑产是如何运作的。

数美科技主攻数字风控领域，致力于用AI技术解决企业在线业务广泛存在的风险问题，设有专门的黑产研究院研究黑产行为路径。

道然表示，这些黑产团伙已经非常成熟，他们通常在10人以内，就像一家小型科技公司，分工明确，还设有产品经理。黑产团伙的运作成本很低，但收益却以百万元计。

以下为经整理后的口述内容：

1. 黑产团伙分工明确，还设有产品经理

黑产不是一个新兴行业，已经比较完善了。黑产也不是某一个人，而是有组织的团队，他们分为很多层级，比如有人专门研究情报、研究基础资源、研究业务工具、专门变现套利，每个黑产可能只做一件事情。

我们接触过的黑产团伙，都比较有整合性，就是一个团伙包揽了很多业务。比如某家航空公司上了特价机票，或者某些节日某些线路比较火的机票，他们首先会专门监控机票上线，然后批量占座，但他们并不会马上付款，只是点击买票后通过延迟付款占座，然后把机票信息放出来，接着会有代理商专门联系顾客，卖掉机票。

一个黑产团伙，会挑中一家航司的某几个航班，一天占上数百张机票。我们注意到，从占座到联系代理、把票卖出去，基本都是一个端口做的，只不过最后的代理可能会有一层、二层，层层加价之后才流转到消费者手中。

这样的黑产团伙基本是10人以内，人很少，架构分工明确，最关键的角色叫产品经理，大概有两三个人，核心管理人员有一个，技术人员一两个，技术也有可能会外包。

产品经理会负责研究有价值的机票。比如，哪些公司、哪些路线、哪些时间、哪些航班会火爆。同时，产品经理还需要搞清楚怎么去抢这个票，如通过优惠活动或者里程卡、会员卡等。总之，他们会想尽办法以最低的成本抢到票，把获利空间最大化。

这个其实很好理解，举个例子，黑产团伙要赚钱，首先他得保证抢到的票能卖出去。比如，暑假去三亚的机票可能不好买；某个城市要开明星演唱会，机票很抢手。他们会先研究哪些航班机票存在非常多的潜在购买者，然后监控这些航班。抢一张没人要的机票是没有意义的，所以他们必须得搞清楚市面上哪些机票容易出手，这是第一点。第二点是航司也会有各种各样的营销活动，无论是发放优惠券还是充值礼品卡，黑产会利用这些营销活动降低自己的成本。

研究机票和航司营销活动，找到最大获利空间是第一步，由产品经理完成。之后是技术人员专门负责监控机票，他们有自己研发的程序工具，破解航司的协议接口，然后批量自动化抢票，这比正常用户抢票快很多。

比如正常用户抢票时，会在航空公司活动开始时打开APP，需要手动登录、输入账号密码、接收验证码、点击查询航班等步骤，而黑产使用自己编写的工具，破解APP端的协议接口，采用伪造数据请求的方式进行业务操作，无需手动操作。

黑产会提前一分钟甚至更早开始轮巡监控接口，通过代码监控接口的参数或返回信息来确定生效时间，所以航司一开始放票，他们就能立马监控到并下单，速度远远超过手动操作。

2.实名制会增加黑产作恶成本

很多航司买票都得实名，不同航司实名的要求也不一样：第一种是两要素——姓名和身份证号；第二种是加上人脸识别，难度会高一点；第三种是需要第三方的认证，比如需要微信或支付宝的授权实名，叫作三方认证。

航司选择不同的实名方式，其实也是考虑到用户操作便捷性的问题，认证做得越严格，可能体验就会相对越差一点，所以既要平衡用户体验，又要保证是真人实名购买。

而黑产只考虑一个问题，即利益最大化。

这几种认证方式整体上增加了黑产成本。从身份证到人脸识别、真人认证，认证流程越复杂成本越高。与黑产的对抗，本意是一场成本的对决，当作恶成本高到一定程度，黑产无利可图便会自动消失。

黑产行为路径的最后环节其实就像是卖货，靠一些社群运营，所有的社交平台都会成为他们卖票的途径，哪里人多他们就会在哪里，他们会发布消息说自己能抢到票，然后有购票需求可以加他。

慢慢他们会有自己的微信社群，然后分级管理，一级代理、二级代理层层分级。他们可能会发朋友圈，然后说有需求直接找他就行。

占座的时间通常是半个小时左右，一个账号锁定30分钟之后，立马会有新的账号接续，不断轮序占座，实时流转，一直到有人买了，就把占的几张订单取消，把票放出来，然后用购买者的账号去买。拿到票之后他们会以最快的速度卖出去，拿到最高的收益。经过他们的研究，他们拿到的票一定不愁卖，最长两天一定会卖出去。

这类黑产团伙的运作成本并不高，就像一家小公司，只有人力成本、服务器成本、场地成本和账号成本，但收益可能以百万元计。然而，这对航司却会造成很多损失。比如，航司用户体验不好、影响航司的声誉、服务器承载量过大等等。

防御黑产不能单点作战，需要层层关卡，一山放过一山拦，最终才能实现全局风险可控。实名制的完善，以及平台黑产识别技术的提升，将进一步提高黑产的作恶门槛，减少黑产带来的风险和损失。