产品说明书

一. 产品概述

1.1 风险挑战

当下，大部分的互联网公司面临着业务欺诈的风险，尤其是出行、社交、电商等行业。虚假注册、刷单、薅羊毛、垃圾广告等各类层出不穷的业务欺诈方式，让平台蒙受了巨大的经济和口碑损失。电子邮箱注册是当前国外业务上较为主流的账号注册方式，但由于电子邮箱无需实名，导致企业无法了解用户更多的相关信息，以至于缺失邮箱用户的标签画像。黑产便有了可乘之机，黑产使用大量的临时邮箱注册账号或完成绑定，由此在平台囤积起大量隐患账号，给平台的业务安全带来巨大的威胁。因此，基于邮箱维度的风险检测和识别，可以有效帮助平台降低业务欺诈的风险。

1.2 产品简介

基于威胁猎人特有的蜜罐技术和以黑产资源建模的风险邮箱识别引擎 ，每日发现新增邮箱，并实时同步给企业用于业务场景下的风险识别，准确度超过99%。在注册环节接入风险邮箱情报库，及时识别风险邮箱注册，防止黑产囤积大量账号资源，进行业务恶意行为。

二. 产品功能

2.1 识别邮箱类型

• type1(公共邮箱)：指在邮箱门户网站注册的个人邮箱，使用者多为正常用户。
• type2(临时邮箱)：指无需注册登录且只有几分钟到几小时不等有效性即可收发邮件的邮箱，使用者多为恶意用户。
• type3(企业邮箱)：指通过企业认证的邮箱 ，使用者为企业在职员工
• type4(校园邮箱)：指通过校园认证的邮箱 ，使用者为校园师生。
• type5(无效邮箱)：指不能收发邮件的邮箱，该部分数据包括为用户随意输入的邮箱和过期的临时邮箱。
• type6(自建邮箱)：指私人搭建邮件服务器，所有者可以随意增加或更换邮箱账号。

2.2 识别邮箱风险

• ban1（命中邮箱黑名单库）：此类邮箱是我们在有明确发现在黑产中被应用来做恶意注册，被认定为风险邮箱。

三. 产品优势

3.1高准确率

• 数据来源于黑产所使用的的资源

3.2高覆盖率

• 目前国内最大的邮箱黑名单库
• 覆盖海内外风险邮箱数据

3.3强实时性

• 数据秒级更新
• 支持SaaS查询和离线部署

四. 技术原理

• 基于全球的蜜罐网络恶意流量检测，实时捕获恶意邮箱。
• 监控超过2万+黑灰产开源情报，如对临时邮箱门户网站、黑灰产邮箱账号交易平台的传播渠道在(QQ、TG等)进行监控，能够及时发现主流的临时邮箱门户网站和黑灰产邮箱交易平台，随后对其进行实时监控。
• 通过公网代理IP、秒拨IP的跳板蜜罐，监控黑产攻击的流量，从流量中捕获黑产在使用的邮箱资源。

五. 使用建议

针对不同的邮箱标签以及风险情况，我们梳理成以下分类，并建议客户针对不同类型的邮箱来综合风控系统来关联风控处置方法。

• 临时邮箱：type 返回值为“2”

由于临时邮箱具有一次性、用完即毁的特点，决定了使用该类邮箱的用户绝非对业务有价值的用户。同时由于临时邮箱的创建成本极其低廉，黑灰产很容易就能批量创建大量临时邮箱账号从而进行垃圾注册 。

• 命中邮箱黑名单：ban 返回“1”

该类邮箱是我们明确发现在被黑产持有，而非自然人所持有的电子邮箱，产生的误判概率极低。

综上所述，对 risk 返回值为“1”的用户可以考虑在单一策略下直接拦截。对 risk 返回值为“0”的用户可以使用邮箱类型补充用户的画像。

六. 应用场景

6.1 出行

出行领域的欺诈风险主要表现为邀请作弊、活动套利等。出行行业是强营销运营的行业，高补贴意味着更容易被黑产盯上。通过接入风险邮箱情报库产品后，平台可以有效拦截黑产邮箱虚假注册的账号，防范基于账号维度作恶的邀请作弊、活动套利等欺诈风险。

6.2 电商

电商领域的欺诈风险主要表现为恶意刷单、活动欺诈等。这些黑产行为需要依赖大量的账号资源。通过接入风险邮箱情报库产品，平台能有效识别这些批量虚假注册的邮箱，直接从源头防范欺诈风险，降低平台的资金损失和口碑影响。

6.3社交

社交领域的欺诈风险主要表现为恶意引流、垃圾广告等。由于社交平台拥有大量的用户资源，但却不容易直接变现。黑产就通过大量的账号资源进行批量广告引流间接变现。批量虚假注册就成了黑产作恶的关键环节。通过接入风险邮箱情报库产品，可以提高黑产邮箱的识别率，从而提高欺诈风险的拦截率。

七. 交付方式

7.1在线查询

风险邮箱情报库部署在云端，通过HTTPS的RESTful接口输入加密邮箱进行查询使用。

7.2私有化部署

数据库离线部署在客户本地，通过更新包进行离线数据更新，支持分钟级别的更新。