风险标签是检测和标记设备异常风险环境，一般和设备 ID 组合使用，可以预防欺诈风险。设备指纹可以检测很多恶意的风险环境，包括不仅限于ROOT、越狱、模拟器、多开、改机、VPN 等。请根据实际的业务情况充分了解并且使用风险标签。

部分风险标签适用于所有终端设备，有些风险标签仅适用于浏览器、小程序或移动设备。

本机时间异常

Android iOS Web 小程序

标签描述：当前设备时间和请求的服务器时间偏差过大，比如超过24小时以上

场景：用户手动修改设备系统时间会造成时间差异过大

{
  "device_risk_score":6,
  "device_risk_label": [
    "abnormal_time"
  ]
}

设备为模拟器

Android iOS Harmony Web 小程序

标签描述：应用运行的模拟器场景，是在个人计算机（PC）上通过软件模拟出类似其他设备或操作系统的运行环境，并非真机环境

场景：手游爱好者使用模拟器挂游戏、养号、薅羊毛等。挂游戏是为了获取游戏内的资源、经验或奖励，养号则是通过多开小号来获取更多福利，薅羊毛指利用游戏或应用的规则漏洞获取不当利益，这些行为破坏了游戏公平性和应用的正常运营秩序

{
  "device_risk_score":9,
  "device_risk_label": [
    "emulator"
  ]
}

隐身模式

Web

标签描述：浏览器隐身模式，也被称之为无痕浏览模式，是浏览器自带的一种隐私保护功能，这种模式下不会本地存储用户浏览记录、cookie等信息，属于独立的会话窗口，当关闭窗口时，相关数据会被自动清除，达到保护户用隐私的目的。

场景：在促销活动中，领取优惠券场景里，该标签的标记会比较常见。这种模式会试图生成一个新的身份，通过登录多账号来领劵实现薅商家羊毛

{
  "device_risk_score":4,
  "device_risk_label": [
    "incognito_mode"
  ]
}

虚拟浏览器

Web 小程序

标签描述：虚假浏览器是一种没有图形用户界面（GUI）的浏览器，它在后台运行，通过命令行或编程接口来操作和控制。例如，使用 Python 的 Selenium 库可以方便地操作无头浏览器，发送打开网页、点击按钮、填写表单等指令，实现对网页的自动化操作

场景：自动化测试、网页抓取与数据采集分析都会使用到自动化操作，是一种自动化工具，不是普通用户

{
  "device_risk_score":6,
  "device_risk_label": [
    "headless_mode"
  ]
}

UA异常

Web 小程序

标签描述：User Agent 标识不符合规范，User Agent 被手动修改过或者浏览器本身存在问题导致 UA 字符串被篡改或生成错误

场景：网络传输中，UA 被劫持并篡改，窃取伪造数据信息，恶意攻击导致存在盗号或财产诈骗的风险；常规也有通过插件修改UA试图伪造一个新的身份

{
  "device_risk_score":6,
  "device_risk_label": [
    "abnormal_useragent"
  ]
}

检测到调试器

Android iOS Web 小程序（微信）

标签描述：通过检测进程管理和调试的API函数。来判断应用是否处于被调试的状态

场景：开发人员在应用开发过程中使用开发工具的调试器确认程序中的错误。正常用户使用的环境很少存在调试，除非应用本身加固，自行占用了调试端口。除此之外，只有恶意攻击者会使用调试器来分析软件，破解加密算法，篡改程序的运行逻辑，达到作弊行为

{
  "device_risk_score":12,
  "device_risk_label": [
    "debugger_detected"
  ]
}

检测到改机工具

Android iOS Web

标签描述：检测系统函数被 Hook，Hook行为主要对目标进程函数的替换和注入，或者监控。运行时执行的不是原始函数

场景：利用Hook技术篡改设备信息，破坏设备数据的完整性和准确性，为设备生成新的身份

{
  "device_risk_score":9,
  "device_risk_label": [
    "hook_tool_detected"
  ]
}

设备参数被篡改

Android iOS Web 小程序

标签描述：检测通过软件或技术手段篡改设备信息，常见的有品牌、型号、系统版本、mac地址等

场景：使用改机工具或者具有篡改设备参数的软件，伪装成其他设备信息，通过设备信息生成新的身份

{
  "device_risk_score":9,
  "device_risk_label": [
    "device_info_tampered"
  ]
}

群控

Android iOS

标签描述：检测通过特定软件和硬件系统实现向多个设备同时发出指令，从而实现批量控制一个或多个设备的功能

场景：营销推广活动，同时在多个媒体发布产品信息，同时批量点赞，评论，转发，实现盈利。或者批量养号，薅羊毛等

{
  "device_risk_score":12,
  "device_risk_label": [
    "group_control"
  ]
}

未插sim卡

Android iOS Harmony

标签描述：设备没有插 SIM 卡，不支持语音通话、发送短信，无法使用移动数据网络

场景：在群控操作环境中，大量无 SIM 卡同时进行相同行为操作的设备，会被检测为异常行为

{
  "device_risk_score":4,
  "device_risk_label": [
    "no_sim"
  ]
}

设备参数异常

iOS Web 小程序

标签描述：对采集数据进行劫持，拦截请求报文，伪造采集数据，编造虚假报文信息，使其看起来像来自合法数据源

场景：秒杀场景通过对接口的抓包，跳过活动页面的渲染，实现接口化请求，达到快速有效抢票的目的

{
  "device_risk_score":12,
  "device_risk_label": [
    "abnormal_device_attr"
  ]
}

脚本被篡改

Web

标签描述：SDK 源文件被恶意进行了修改

场景：欺诈者通过修改脚本代码，弱化指纹能力，尝试绕过设备风险检测

{
  "device_risk_score":12,
  "device_risk_label": [
    "script_tempered"
  ]
}

设备为虚拟机

Web

标签描述：检查浏览器是在虚拟机上运行的

场景：风险欺诈者通过虚拟机可以创建大量的虚拟环境，实现环境隔离，伪装成真实设备，增加风险检测难度，从而实现风险欺诈。

{
  "device_risk_score":12,
  "device_risk_label": [
    "virtual_machine"
  ]
}

本地调试

Web

标签描述：检测当前浏览页面是本地起的服务非线上服务访问

场景：开发在测试阶段，会以文件的形式访问开发者页面，无需部署服务。欺诈者会通过技术手段抓取活动网页，本地进行页面调试，通过解析代码逻辑寻找漏洞，攻击活动页

{
  "device_risk_score"6:,
  "device_risk_label": [
    "local_debug"
  ]
}

ADB调试

Android

标签描述：检测 Android 设备在开发者模式下，是否处于 ADB 调试状态

场景：开发者环境下，调试设备。通过命令实现应用的安装卸载，以及设备信息的查看；其中群控的一种表现模式：线控，通过ADB 连接，实现批量操作设备行为，是欺诈风险的一种

{
  "device_risk_score":4,
  "device_risk_label": [
    "adb_link"
  ]
}

二次打包

Android iOS

标签描述：检测对已经存在的 APK 文件进行重新打包的过程

场景：开发者反编译 APK，获取应用的资源文件、代码内容，在此基础上加入一些新的功能或修改某些特性；欺诈者会替换功能模块，窃取用户隐私、损失流量、赚取非法的广告收入等

{
  "device_risk_score":9,
  "device_risk_label": [
    "repackaged"
  ]
}

使用代理

Android iOS 小程序（微信、支付宝）

标签描述：检测当前设备是否有使用代理

场景：通过网络代理工具实现HTTP 协议的请求拦截和分析，数据信息会存在泄漏和篡改，常见的代理工具有：Charles、Fiddler 等

{
  "device_risk_score":8,
  "device_risk_label": [
    "proxy_detected"
  ]
}

ROOT

Android

标签描述：检测设备 ROOT 状态，判断应用是否安全

场景：获取设备最高权限，安装恶意软件、危险框架，篡改设备信息，伪造新的设备身份，达到风险欺诈的目的

{
  "device_risk_score":9,
  "device_risk_label": [
    "root"
  ]
}

越狱

iOS

标签描述：检测设备的越狱状态，判断应用是否安全

场景：越狱设备安全系数低，欺诈者可以通过越狱设备篡改设备信息，控制设备在风险环境交易，诱导用户财务损失

{
  "device_risk_score":9,
  "device_risk_label": [
    "jail_break"
  ]
}

使用VPN

Android iOS Web Harmony

标签描述：检测设备使用 VPN 服务

场景：可以突破地域限制获取外部信息，同时可以隐藏用户的真实IP地址。部分营销活动有地域限制，可以通过此风险做业务风控

{
  "device_risk_score"4:,
  "device_risk_label": [
    "vpn_detected"
  ]
}

重放攻击

Android iOS Harmony Web 小程序（不同终端分数有差异，示例仅供参考）

标签描述：检测同一份采集数据重复上报超过两次以上

场景：欺诈者通过网络技术，监听劫持网络传输的数据包，重复发送数据包，试图共用同一份设备信息，绕过风控系统的检测。

{
  "device_risk_score":9,
  "device_risk_label": [
    "replay_attacks"
  ]
}

Cookie被篡改

Android iOS Harmony Web 小程序（不同终端分数有差异，示例仅供参考）

标签描述：检测到指纹的 cookie 被篡改

场景：通过系统存取值函数进行劫持后修改伪造，影响设备身份的稳定性，尝试生成新身份绕过风险检测，刷流量、积分等

{
  "device_risk_score":9,
  "device_risk_label": [
    "cookie_tempered"
  ]
}

爬虫

Web 小程序（微信）

标签描述：检测通过自动化实现大量抓取网页信息的程序或脚本

场景：自动化行为非正常真实用户，一般的刷流量、抢票、秒杀场景会出现这类攻击，存在欺诈风险

{
  "device_risk_score":8,
  "device_risk_label": [
    "crawler"
  ]
}

恶意扩展程序

Web

标签描述：检测浏览器安装恶意扩展程序

场景：浏览器环境下的恶意扩展程序，这类插件可以修改伪造设备信息，影响设备指纹的稳定性，部分会参数异常会同时命中设备参数被篡改。常见的插件有 Canvas Fingerprint Defender、AudioContext Fingerprint Defender等

{
  "device_risk_score":8,
  "device_risk_label": [
    "malicious_crx"
  ]
}

调试工具

Web

标签描述：检测到浏览器有安装调试工具

场景：开发者使用 H5 调试工具检测代码**，**线上页面不会给到用户调试工具，如果存在那就有欺诈风险

{
  "device_risk_score":6,
  "device_risk_label": [
    "debug_tool"
  ]
}

应用多开

Android iOS

标签描述：检查当前应用，来自于软件多开分身出来的克隆应用（同一个应用在一个设备上存在两个或以上）

场景：通过软件，实现在同一个设备上安装两个及以上相同的应用，分别登录不同账号，切换活动页面分享抢劵，完成欺诈行为。

{
  "device_risk_score":6,
  "device_risk_label": [
    "app_multiple_running"
  ]
}

系统多开

Android

标签描述：检查当前应用，来自于系统自带多开功能分身出来的克隆应用

场景：通过系统多开，实现在同一个设备上安装两个及以上相同的应用，分别登录不同账号，切换活动页面分享抢劵，完成欺诈行为。

{
  "device_risk_score":4,
  "device_risk_label": [
    "sys_multiple_running"
  ]
}

虚拟定位

Android iOS 小程序（微信）

标签描述：检查设备地理位置是否存在被伪装，风险标签标记。需要有位置权限

场景：门店活动发放优惠劵，限制使用地区，欺诈者通过修改位置信息，抢劵谋利。

{
  "device_risk_score":8,
  "device_risk_label": [
    "gps_fake"
  ]
}

疑似风险ROM

Android

标签描述：非设备原生出厂的ROM

场景：黑产为了实现设备改机，通过刷入特定的 Rom 包，修改设备信息，创造不同的新身份，进行网络欺诈，恶意刷单。

{
  "device_risk_score":13,
  "device_risk_label": [
    "risk_rom"
  ]
}

摄像头劫持

Android iOS

标签描述：检测通过作弊工具修改摄像头获取的照片流和视频流

场景：信用借贷检测人脸识别绕过，防控非法诈骗

{
  "device_risk_score":8,
  "device_risk_label": [
    "camera_fake"
  ]
}

疑似重置

Android iOS

标签描述：检查设备恢复出厂设置，恢复初始状态

场景：重置设备数据，生成新的设备身份

{
  "device_risk_score":4,
  "device_risk_label": [
    "suspected_reset"
  ]
}

开机时间过短

Android iOS Harmony

标签描述：设备从开机到设备信息的采集时间间隔较短，小于半个小时

场景：模拟器或云手机会频繁的重启服务

{
  "device_risk_score":4,
  "device_risk_label": [
    "short_uptime"
  ]
}

屏幕共享

Android iOS Harmony 小程序（微信）

标签描述：检查设备是否发起了屏幕共享服务

场景：欺诈者通过电话、网络和短信的方式，编造虚假信息诱骗财物

{
  "device_risk_score":6,
  "device_risk_label": [
    "screen_sharing"
  ]
}

云手机

Android iOS 小程序（微信）

标签描述：应用运行在ARM 服务器以及虚拟化技术，构建一个云上安卓应用平台

场景：通过购买多个云手机批量控制多个云设备，实现养号、游戏挂机，活动分享拉新等欺诈行为。

{
  "device_risk_score":9,
  "device_risk_label": [
    "cloud_phone"
  ]
}

通话状态

Android iOS Harmony

标签描述：检测设备是否处于通话状态

场景：银行 APP 若未严格校验通话状态，可能允许用户在通话中完成大额转账，增加盗刷风险。

{
  "device_risk_score":4,
  "device_risk_label": [
    "device_call"
  ]
}

防关联浏览器

Web

标签描述：防关联浏览器是一种专门用于防止用户在多账号操作时被平台检测到账号关联的工具

场景：用户通过隔离浏览器环境、修改浏览器信息等方式，让不同账号在操作时呈现出 “独立设备” 的假象。

{
  "device_risk_score":5,
  "device_risk_label": [
    "anti_association_browser"
  ]
}

脱机攻击

Web Android iOS 小程序（微信）

标签描述：脱离设备本身，本地进行数据分析、伪造的攻击方式

场景：篡改离线存储的数据，再将篡改后的数据导入目标系统，造成逻辑错误或信息泄露。隐藏攻击属性。

{
  "device_risk_score":7,
  "device_risk_label": [
    "offline_attack"
  ]
}