近日,腾讯安全在北京举办了“文旅行业反黄牛研讨会”,国内知名景区、主题乐园、票务平台公司的三十余位嘉宾,围绕智慧景区门票系统建设、打击黄牛刷票等话题展开深入探讨。
腾讯安全资深风控专家张鸿运在分享中提到,黄牛党一般通过“代抢”、第三方平台的虚拟入口获取游客真人信息,再配合自动化工具进行抢票。
张鸿运表示,一般来说购买门票需要完成填写信息、选择、提交和支付等流程,如果是真人操作,完成整个流程最快需要三四秒,而自动化脚本可以在0.0001秒完成所有流程的自动化填写。“这就是靠手速根本无法抢到票的真正原因。”
(资料图)
真人抢票和自动化工具抢票对比示意图
不仅如此,不法分子还会暴力破解票务平台的API接口,直接到达支付环节。一家知名票务平台公司的信息化负责人在研讨会上表示,“我们对某一次异常的门票销售进行了复盘,通过平台分析发现存在大量无轨迹订单,访问页面数量和用户数量均为0,但是却完成了支付。”
研讨会上,多位景区信息化负责人均表示黄牛党严重扰乱了文旅市场。对游客来说,黄牛损害了真实游客的利益,不少游客只能选择在二手平台购票,花费数倍于正常门票价的价格,给游客的出行造成了很大的不便和经济损失。对景区来说,黄牛扰乱了景区的正常经营秩序,一些热门景区、博物馆的预约平台经常处于无票状态,引发游客投诉和不良社会舆论。对社会来说,加剧了文化资源的稀缺,扰乱了公平、和谐的市场秩序。
“黄牛党都是用第三方平台上获取的游客真人信息抢票,难点就在于我们根本分不清哪些被真实游客买走了,哪些被黄牛买走了。”一家科技馆的信息化负责人称。既要防黄牛,又要减少对正常用户的误伤,这给景区的风控防御带来了极大挑战。
腾讯安全副总经理王旭在研讨会上表示,今年以来,腾讯安全帮助了多个国内知名景区打击黄牛党,在这个过程中发现在新技术的趋势影响下,黑灰产的攻击行为会进一步模拟真人行为,传统采用通用模型强调规则增补方式,需要转变为“动态模型+动态策略”,根据对抗态势实时调整风控策略。
据张鸿运介绍,腾讯安全文旅解决方案可以帮助景区构建起多层防护,在200毫秒内全面检测和拦截黄牛刷票行为,实现快速、实时且无感知的防护。
腾讯天御风控引擎(RCE)
暑假期间,某票务平台遭遇黄牛党攻击,快速部署腾讯天御风控解决方案后,成功拦截了95%以上的恶意刷票流量,门票也从之前的一秒售罄,到半个小时逐渐消耗。在降低票务平台承载压力、保障售票业务稳定流畅运行的同时,让大部分真实的用户都实现原价购票。
平台数据:拦截超95%黄牛流量
除了黄牛党刷票的问题,各大景区的票务系统也面临着高并发、大流量的挑战。同程艺龙首席架构师董春明在演讲中表示,“在五一、暑假这些业务流量高峰期,传统的IT架构下需要购买成倍的服务器才能扛住,但是假期过后服务器就闲置了。所以我们使用腾讯云TKE搭建了混合云架构,实现了弹性扩容、按需使用的高可用架构。”