CDNetworks 推出 10 Tbps 容量升级,以增强南亚和东南亚网络性能 - 了解更多

什么是剥头皮机器人以及如何阻止它们?

2022年9月7日
剥头皮机器人缩略图博客横幅 - CDNetworks

内容

免费试用 CDNetworks

我们的大多数产品都有 14 天的免费试用期。无需信用卡。

免费试用我们
分享这个帖子

虽然过去几十年的快速数字化使我们可以轻松购买和消费产品和服务,但它也带来了意想不到的后果。例如,从食品到家具,甚至购买娱乐活动的门票,都可以在网上轻松购物。 

但与此同时,恶意行为者正在改进他们的黑客技术,并转向软件和机器人来自动执行任务,从而以不道德的方式为他们赚取巨额利润。倒卖是一种在数字购买门票和其他娱乐产品中很常见的技术。 

什么是剥头皮?

倒卖是一个术语,用于描述购买需求量大但供应有限的物品并以更高的价格转售以产生利润的做法。那些从事倒卖的人,被称为“黄牛”,以正常零售价购买商品,然后在二级市场上以更高的价格迅速转售。由于他们可以在二级市场设定新的价格,黄牛可以赚取巨额利润,有时甚至是零售价的 10 倍。

在互联网上,剥头皮交易可以通过自动化流程的软件来完成,这可以进一步提高利润。  

剥头皮的目标

Scalper 机器人旨在自动扫描以检查产品可用性并在结帐过程中填写购买详细信息。例如,在结账时输入账单地址和信用卡详细信息等用户数据,这对于人类用户来说通常需要花费一些时间,但在自动化时可以很快完成。一些机器人被编程为直接进入结账流程,绕过购物车流程。 

哪些类型的企业最容易受到影响?

剥头皮可能会影响任何依赖于销售需求量大但可用性有限的商品的企业。它尤其受到票务行业的关注,无论是娱乐活动、体育比赛还是音乐会。 

当限量版商品开始销售时,例如运动鞋、奢侈服装领域的复古或复古商品,以及新推出的电子产品,也会看到这一点。

什么是剥头皮机器人?

Scalper 机器人是一种软件程序,可以自动完成批量购买商品的过程,并在商品开始销售后立即快速完成结账。这些机器人完成了数千张门票的购买和结账——比人类顾客快得多,创造了一种稀缺性,可以提高价格以获取利润。

剥头皮机器人是如何工作的?

黄牛机器人通过几个步骤工作。首先,攻击者创建多个虚假的新帐户或接管现有用户帐户以搜索产品。这些机器人使用脚本进行编程,一旦在线销售开始,这些脚本就会开始在队列的前面进行搜索。 

自动化还允许攻击者将最大数量的产品添加到购物车,远远超过任何一个人的能力。然后,机器人使用之前被入侵帐户的信用卡详细信息来完成结帐,确保真实用户无法使用这些产品。所有这些都是在快速的时间内完成的,比人类用户的反应更快。 

黄牛机器人是非法的吗?

剥头皮是一种在合法性方面发现自己处于灰色地带的技术。黄牛机器人在一些国家被宣布为非法,因为它们妨碍了消费者公平获取商品。 

例如,在英国,黄牛机器人已被禁止,违反法律可能导致“无限”罚款。在美国,Better Online Sales (BOTS) 可防止组织和个人尝试使用票务机器人自动完成大量购票过程。然而在新加坡,这并不违法,但如果被骗,消费者可以向警方报案。

剥头皮机器人的类型

剥头皮机器人可以有不同的类型,具体取决于它们的具体任务和操作方式。它们可用于填写在线表格、抓取 API 或自动刷新网页以检查门票销售情况。以下是一些类型的剥头皮机器人。

预灌木

pre-bot 是一种用于在重大活动的正式销售日期之前设置帐户的机器人。它包含在运行时自动同时访问多个站点的脚本。由于在活动开始前已经设置了帐户,机器人将准备好信用卡信息,以便在活动开始后立即获得门票。 

自动填表

表单填充器是一种剥头皮机器人,它们会抓取带有注册表单的页面并保存用户输入的数据。这些表格可以要求用户提供他们的姓名、地址和信用卡号码,这些数据由机器人保存,以备将来用于快速结帐。

自动刷新器

自动刷新器是编写脚本以自动调用和刷新网站以检查门票是否已开始销售的机器人。一旦检测到门票正在销售,它将使用填表机器人获得的信用卡详细信息,在真实用户之前快速购买。

API 抓取工具

API 抓取器是从 API 中抓取数据以自动执行各种任务(例如发送垃圾邮件、登录帐户和购买商品)的机器人。 

如何监控您的网站是否存在黄牛机器人?

如果您在未来的特定时间从事门票或其他产品的销售业务,则需要提防黄牛机器人。监控此类机器人可能是一项具有挑战性的任务,因为它们的工作速度非常快,但在尝试监控时有一些迹象需要寻找 检测机器人

  • 交易步骤之间异常长的延迟  
  • 购票后网速立即变慢 
  • 在线购买期间鼠标活动变慢甚至光标冻结

如何阻止黄牛机器人?

与许多网络安全威胁一样,没有单一的方法可以阻止黄牛机器人,而是可以协同工作的几种不同技术。其中一些包括:

实施验证码

CAPTCHA 是一种熟悉的技术,通过要求执行复杂的操作来检查机器人,例如检测字母或在照片上发现项目。

设定限制

根据定义,机器人依赖于快速向 Web 服务器运行大量请求的自动化流程。因此,阻止它们的一种方法是对 Web 服务器的请求数量和传入连接速率设置限制。这些可以在移动应用程序、网站甚至 API 上设置。

手动阻止托管服务提供商

对抗黄牛机器人的一种蛮力方法是阻止黄牛依赖的托管提供商和代理。 Digital Ocean、OVH 和 Choopa 是黄牛最常用的一些。

浏览器验证

浏览器验证是一种确认每个用户浏览器是否如其所声称的那样的方法。这可以对抗假装运行一个浏览器但随后循环通过不同的用户代理以逃避检测的机器人。它可以通过检查预期的 JavaScript 代理并确保浏览器的调用行为符合人类用户的预期来工作。

机器人防护与管理 

阻止黄牛机器人的最全面的方法可能是使用 机器人管理 解决方案。这些能够监控机器人活动并防止机器人访问您的网站,同时允许合法用户继续与您的业务互动。 

CDNetworks 优惠 Bot Shield(机器人防护与管理),一种基于云的机器人程序管理解决方案,它通过区分人类和机器人程序流量以及良好和恶意机器人程序来实现这一点。它可用于多个行业,以识别和阻止攻击和滥用行为,包括票据倒卖、内容抓取、库存拒绝、暴力破解和帐户接管等等。 

探索更多