第七期 | 网约车司机的“捞偏门”手段：作弊抢单、空跑刷单

顶象防御云业务安全情报中心监测到，多个网约车出行平台存在作弊软件抢单、空跑刷单等欺诈行为，不仅损害乘客利益，更严重影响平台正常运营。

据顶象防御云业务安全情报BSL-2022-a3c7号显示，部分网约车平台上的司机与黑灰产勾结，通过作弊工具，截取长距离的订单，造成大量短路线的订单无人接。同时部分车主利用软件模拟行程“空跑刷单”，骗取平台的任务完成奖励，获取虚假订单的评分。

网约车飞速发展的10年

网约车是绿色出行的模式，提供专车、快车、出租车、顺风车四类服务模式。在为人们提供了便捷高效的本地交通服务，有效提升城市服务服务水平，有效减少碳排放，符合碳达峰、碳中和远景目标。

网约车伴随移动互联网和云计算普及而生。2013年第一家网约车公司在杭州出现后，网约车进入粗放式发展阶段，从遍地开花到补贴大战，快速完成了对用户的普及。2018年后，网约车进入深度竞争阶段。通过一系列市场化的并购、倒闭出清，网约车形成了全国运营商和区域运营商并存的多方格局。

截至2022年6月，全国共有277家网约车平台企业取得网约车平台营业执照，各个地区累计发放网约车驾照453万张，车辆运输证183.7万张。主要有滴滴、T3、神州、首汽、曹操等品牌服务商。同时，还有美团打车、哈啰出行、高德地图、携程打车等多个聚合平台，先后对接了多个网约车品牌。

作弊工具抢单、模拟行程刷单

网约车的蓬勃发展为带来了便利的同时，也滋生了诸多安全隐患。顶象防御云业务安全情报中心监测到，多个网约车出行平台出现司机刷单、订单作弊等风险，不仅损害消费者利益，更严重影响平台正常运营。

据顶象防御云业务安全情报BSL-2022-a3c7号显示，部分网约车平台上的司机与黑灰产勾结，通过作弊工具，截取长距离的订单，造成大量短路线的订单无人接。同时部分车主利用软件模拟行程“空跑刷单”，骗取平台的任务完成奖励，获取虚假订单的评分。

第一种，利用作弊工具抢单

部分网约车平台是以抢单的形式，将“立刻出行订单”或者“次日预约订单”分发给网约车司机。当乘客通过App上发起出行需求后，订单会流入订单大厅，订单大厅自动匹配出乘客行程始发地所在地区周围的网约司机。网约车司机在收到网约车平台的订单推送后，点击司机端App就能够获取到此订单。

当非高峰时段，部分地区会出现“僧多肉少”的情况，此时手速慢的司机往往抢不到订单。而在上下班高峰时段，也会出现获得的订单是前往拥堵路段，很多司机内心会比较抗拒。

通过黑灰产提供的抢单作弊工具，网约车司机能够根据喜好设置筛选订单，并可以实现自动化的快速抢单。例如，部分网约车司机会屏蔽短距离、小额度的订单，专抢长距离订单；部分网约车司机会设定路线范围，屏蔽高峰时段的拥堵路段订单；部分网约车司机会设置为只抢企业订单，因为企业用户对于路程、费用不敏感，司机可以通过绕路、延长服务时间赚取更多车费。

此外，通过黑灰产提供的行程作弊工具，网约车司机能快速更改司机的实际GPS定位，将地理位置更改在机场、火车站等附近，结合网约车平台的订单推荐逻辑，帮助司机快速抢到长距离的大额订单。

这样作弊的抢单方式不仅干扰了平台的正常运营，同时严重影响了乘客的使用体验。时常会出现短途距离长时间没有司机接单，接长途距离单的司机并不在乘客周围，造成乘客长时间等待的情况。

第二种，利用模拟工具刷单

网约车平台为了保障乘客的出行体验，通常会对司机的服务质量进行考评，乘客的评价分是重要的衡量标准，会直接影响后续平台的派单和司机的接单。乘客一次“中评”或者“差评”，往往需要若干个“好评”才能弥补，因此司机非常重视。

同时，平台为了激发司机接单的积极性，从而完成更多的订单，会对每日接单数量进行任务要求。按要求每日完成一定数量的接单任务后，平台会发放一定金额的奖励金给到网约车司机。网约车司机因为一些原因导致服务分下降，或者没有按规定完成当日的接单任务导致无法拿到奖励金的，会尝试通过购买黑产的刷单服务来提升接单数量和服务质量分。

通过黑灰产提供模拟器工具，网约车司机可以篡改手机GPS的地理位置，伪造乘客订单，并伪造行驶路线，包含直线、转弯轨迹、运行速度自由调节、动态速度行驶、行驶速度等。如果网约车司机有多个账号和手机，结合抢单作弊工具，就可以坐在家中能实现订单自发自抢、空驶刷单。

模拟行程的虚假订单，不仅帮助网约车司机完成平台考核任务，轻松获取平台奖励，更可以获得虚假的好评。

黑灰产不仅非法牟利，还给乘客带来出行风险

顶象防御云业务安全情报中心追踪发现，为了吸引网约车司机购买作弊工具，黑灰产会在论坛、社群、电商平台进行推广。在明确需求后，发送购买链接，并提供完整的安装使用教程。

黑灰产的售卖方式主要有两种，一种是以按月充值。购买者在指定卡券交易平台购买作弊工具的激活码，输入激活码就可以使用1个月，到期后可以继续购买激活码。

另一种是永久授权的形式：购买者一次付费，可以免费使用一生。不过，很多购买者在使用一段时间后，相关作弊工具会突然终止服务，导致无法继续使用。由于购买者已对作弊工具产生依赖性，只能再次重新购买。

为了突破网约车平台的业务安全防控，黑灰产还会建立购买者社群，相互交流使用心得，以不断升级作弊工具。

除了售卖作弊的工具牟利，黑灰产也会亲自下场抢网约车订单。利用抢单作弊工具，可以用抢到大量的次日出发的预约单，然后在社交群中将订单卖给其他网约车司机，中间赚取差价。

除了非法牟利，黑灰产的作弊工具还带来社会影响。由于为作弊工具提供推广、售卖的网站，大多经营着不合规的网约车相关服务。不合规的司机和车辆通过黑产提供的服务加入网约车队伍，给乘客的出行安全带来极大的安全隐患。

顶象防控建议及措施

基于黑灰产欺诈方式和作弊手段，顶象防御云业务安全情报中心建议网约车平台在客户端、通讯传输环节进行防范，同时在业务侧进行防控，进一步防范黑灰产的欺诈行为。

安全保障建议

终端风险环境监测。针对抢单、刷单类的作弊软件，客户端可集成安全SDK，使其定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、代理、V**、root、越狱等风险能够做到有效监控和拦截。

通信传输安全保障。黑灰产在业务通信传输的环节，可能会尝试篡改报文数据。通过对通讯链路的加密，可防止终端安全检测模块的数据被篡改和冒用。

业务安全策略防控。针对作弊工具抢单、模型行程刷单的风险特征，可将其请求接入实时决策引擎。将终端采集的设备指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的安全防控策略，有效地对风险进行识别和拦截。

风控维度建议

设备终端环境检测。识别客户端的设备指纹是否合法，是否存在注入、hook、模拟器等风险。

用户行为检测。基于用户行为进行策略布控，针对同设备切换大量账号进行订单发起的账号进行布控，对当日订单价格只在某一范围内或订单只在某一区域内的司机账号进行监控。

名单库维护。基于业务安全防控历史数据，对于存在异常行为的司机账号和乘客账号进行标注，沉淀到相应的名单库，在后续的策略中进行重点排查。

外部数据服务。对接外部手机号风险评分数据服务。

风控模型。线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对乘客下单行为、司机抢单行为进行建模，模型的输出可以直接在风控策略中使用。

处置建议及解决方案

基于网约车业务特征，顶象防御云业务安全情报中心提供两种处置建议。

静默数据监测。识别到风险后不即刻实时反馈结果给到用户，由后台统一收集沉淀，并进行用户的标签标注。后续对于存在异常的司机或乘客，对后续的接单和下单进行策略干预。

线上实时反馈。对抢单时识别为风险的请求进行实时拦截，直接反馈抢单失败等。

在产品防控防控上，顶象防御云业务安全情报中心建议网约车平台可以选择如下两种组合方式。

设备指纹+决策引擎。设备指纹可以针对端上风险进行识别，例如注入、hook、模拟器等，配合决策引擎使用，可以实时发现风险并给予处置。

业务安全感知防御平台（移动版）。业务安全感知防御平台可以识别发现移动端风险，不仅可以覆盖设备指纹产品发现的风险，而且无需决策引擎，可以直接对移动端风险进行处置。