Question

2017 年共享单车行业的两大巨头的“红包大战”事件中，A 公司宣布推出“红包车”吸引用户之后，B 公司也推出了“骑单车，给红包”的全新活动。活动规定在 B 公司单车系统显示的红包范围内开锁，只要骑行超过 500 米、10 分钟的用户，就能够在骑行结束之后领取最高 5000 元的红包奖励。

结果活动没推出几天，网上就出现了“利用 B 公司漏洞赚红包”的技巧分享文章，用户可以通过在手机上安装虚拟 GPS 的方式来进行红包区域与共享单车的定位，然后通过正常的 APP 软件来完成共享单车的租借，最终获得红包奖励。普通人利用规则一天顶多有近 80 元收入，而羊毛党则利用手上掌握的大量账号批量刷，一天就能赚上千元。

通过上面这个案例，我们可以看到，黑客不需要像以往一样需要入侵对方服务器拿到数据去卖而赚钱了，只需要通过业务层面的漏洞就能获利。这只是业务安全场景中的一小部分，行话叫“薅羊毛”，除此外，还有撞库、盗刷、骗保骗贷、黄牛刷单、交易欺诈、刷单炒信、数据爬取等。业务安全显然是非常重要的，业务安全要保护业务系统免受安全威胁。

笔者结合金融行业特点以及工作经验，从以下几个方面来分析业务安全：账号安全、爬虫与反爬、钓鱼与反制、大数据风控。