验证码在风控中的实际应用

前言：在业务场景中，企业的安全团队通常将验证码作为降低业务受损风险的方法，以减少撞库盗号、虚假注册、刷量作弊、信息盗窃、薅羊毛等风险事件发生的可能性。

今天将通过验证码在极验十周年特别活动的实际应用，探讨验证码在业务风控中的意义。

在十月份的极验十周年活动中，我们模拟电商的营销活动营造了业务场景遭受机器攻击的真实事件。此次活动，机器人一共参与了118.39万次抽卡，通过机器作弊累计领取了7811份爱奇艺月会员。若把这笔投入换算到大型的运营活动，企业业务或会因此造成23.43万的金额损失。

机器与人类用户领奖情况

以10月27日在领取奖励场景部署验证码为分界线，我们将整个活动分成第一阶段和第二阶段，在未配置验证码的第一阶段机器人成功领走了6081份奖励；不过在第二阶段，验证码发挥了拦截异常账户的作用，成功识别了风险账号并执行风控策略。根据数据统计，本次活动通过验证码识别到的异常账户有3464个。那么，在这种业务场景下，验证码是如何识别出风险账号的？

此次活动使用的验证码为极验行为式验证码，这种验证码基于生物行为特征利用人工智能深度学习对验证过程中产生的行为数据进行高维分析，发现真实人类用户与机器行为模式与行为特征的差异，精准地区分该场景下的人机。

01

黑产破解思路解析与识别

极验交互安全实验室通过对破解平台的跟踪分析和相关安全产品的逆向研究发现，黑产破解验证码主要依靠模拟器破解和接口破解两种方式。

模拟器破解：通过各种自动化测试工具，例如 Selenium 操作 chromium 内核实现自动化的拖