1 、收集客户端指纹; web 端的浏览器环境 [document.all 、webrtc 等等这种 node 环境下很难补(烦琐);安卓、IOS 可以直接用 webview ,当然也可以在 native 收集更多的指纹 [http.proxyHost 、XposedBridge 、getProperty 、重要的文件目录 hash(/data/system 、/vendor/firmware)、frida 检测...] ,接入数美之类的专业安全产品效果更佳]
2 、客户端根据收集到的客户端指纹标记用户环境是否可信,对于有风险的客户端拒绝下发奖品(后端风控)
3 、更多的"蜜罐",在客户端每个请求之后添加一个 log 请求,大数据统计只请求业务接口没日志接口记录的用户
4 、用户注册、邀请码接口 ja3 判断是否为单客户端批量注册
以上都是在一定程度上增加黑灰产的逆向难度,国内大厂给出了更低成本的解决办法:+86 实卡注册 + 人面实名
https://i.imgur.com/6DMydmQ.png