上個周末對于拼多多和“羊毛黨”們來說，過得實在不平靜。從20日凌晨至上午10點間，“羊毛黨”利用拼多多Bug薅走大量優(yōu)惠券，網(wǎng)傳損失超200億(拼多多辟謠稱實際損失金額低于千萬元)，一時之間拼多多再次成為風(fēng)口浪尖的輿論焦點。

事件回顧

1月20日凌晨，網(wǎng)友爆料拼多多重大Bug，無限制領(lǐng)取100元無門檻優(yōu)惠券，新賬號無限制領(lǐng)券

1月20日上午9點，網(wǎng)友發(fā)現(xiàn)拼多多已將相關(guān)優(yōu)惠券全部下架

1月20日上午10點左右，該漏洞被拼多多官方修復(fù)

對此，拼多多官方回應(yīng)中指出：

黑灰產(chǎn)團(tuán)伙在拼多多系統(tǒng)不存在數(shù)據(jù)安全漏洞的情況下，利用規(guī)則漏洞薅走總價值數(shù)千萬的優(yōu)惠券。該優(yōu)惠券為拼多多此前與江蘇衛(wèi)視《非誠勿擾》開展合作時特殊生成的優(yōu)惠券類型，僅供現(xiàn)場嘉賓使用。

本次事件中，如果只是網(wǎng)友的偶發(fā)性行為，正常每個用戶僅可領(lǐng)取一張無門檻100元優(yōu)惠券。但黑灰產(chǎn)“羊毛黨”欲以此獲利，通過“養(yǎng)貓池”(用手機(jī)卡蓄養(yǎng)大量虛擬賬號)等不法手段，實現(xiàn)N張手機(jī)黑卡同時作業(yè)，批量盜取優(yōu)惠券，并通過手機(jī)話費、Q幣等虛擬充值的方式，試圖在短時間內(nèi)轉(zhuǎn)移不當(dāng)所得。

“羊毛黨”由最初的“單兵作戰(zhàn)”到如今已發(fā)展出高度分化的產(chǎn)業(yè)鏈，從互聯(lián)網(wǎng)金融到電商、從游戲廠商到在線教育，黑產(chǎn)“羊毛黨”們有如龐大的陰影伴隨著互聯(lián)網(wǎng)行業(yè)的發(fā)展，不止會對平臺造成重大經(jīng)濟(jì)損失，更會嚴(yán)重影響到正常用戶的消費體驗、影響到商家與用戶間的信用體系，關(guān)系到用戶的數(shù)據(jù)安全。

那么，“羊毛黨”是怎么“薅羊毛”的?企業(yè)如何防止“薅羊毛”行為?

對此，聯(lián)通大數(shù)據(jù)安全合規(guī)部劉建國做出分享：

1何謂“羊毛黨”?

“羊毛黨”，一般是指利用自動化程序注冊大量的目標(biāo)網(wǎng)站的賬號，當(dāng)目標(biāo)網(wǎng)站搞促銷、優(yōu)惠等活動的時候，利用這些賬號參與活動刷取較多的優(yōu)惠，最后通過淘寶、虛擬貨幣、實物打折出售等方式獲取經(jīng)濟(jì)利益。

2“薅羊毛”如何分工?

“羊毛黨”內(nèi)部分工明確，各司其職，形成了多個黑產(chǎn)團(tuán)伙，全國據(jù)估計大約有20萬人。“薅羊毛”已經(jīng)發(fā)展成了具有一定規(guī)模的團(tuán)隊，且分工明確;從刷單軟件制作、短信代收發(fā)平臺、電商刷單到變賣套現(xiàn)等環(huán)節(jié)，已經(jīng)形成流程化作業(yè)：

1)自動化工具開發(fā)團(tuán)伙：通過挖掘電商系統(tǒng)的系統(tǒng)漏洞和邏輯缺陷，制作各種自動化的工具，例如自動注冊、自動刷單等工具;這一類團(tuán)伙主要通過出售黑產(chǎn)工具的形式獲取收益。

2)短信接碼平臺：實現(xiàn)手機(jī)短信的自動收發(fā)，主要通過短信的收發(fā)條數(shù)據(jù)進(jìn)行收費。

3)刷單團(tuán)伙：通過到各種平臺進(jìn)行刷單，獲取差額，并且通過第三方平臺實現(xiàn)套現(xiàn)。

3羊毛怎么“薅”?

“羊毛黨”利用不斷更新的“黑產(chǎn)技術(shù)”，通過對技術(shù)和資源的優(yōu)化組合，形成了成熟的“薅羊毛”技術(shù)體系，如圖1所示：

圖1 “薅羊毛”技術(shù)實現(xiàn)

現(xiàn)如今，“薅羊毛”已經(jīng)形成了一個成熟的黑色產(chǎn)業(yè)鏈，各階段都有相應(yīng)的服務(wù)提供商提供服務(wù)，圖2闡述了“羊毛黨”通過接碼平臺注冊賬號的工作的技術(shù)原理：

圖2 接碼平臺的工作原理

4企業(yè)如何防止被“薅羊毛”?

“薅羊毛”事件的發(fā)生，暴露了電商平臺在安全防護(hù)手段、業(yè)務(wù)風(fēng)控、業(yè)務(wù)運營管理、安全維護(hù)和監(jiān)控方面還存在一定不足，主要可從以下三個方面著手預(yù)防：

1.設(shè)置必要的業(yè)務(wù)風(fēng)控策略，如：

1)單人領(lǐng)取金額上限(1個月內(nèi)領(lǐng)券不得超過XXX元)

2)券額限制(無門檻券不得高于單張10元);

3)消費領(lǐng)域限制(不得用于購買Q幣，話費，游戲充值等虛擬物品，只能購買實物)等等;

2.建立必要的運營監(jiān)控和預(yù)警體系

建立完善平臺監(jiān)控及流量監(jiān)控體系，針對促銷活動等的上線過程進(jìn)行監(jiān)控、及時告警并有效熔斷。

針對以上2點內(nèi)容，企業(yè)可通過完善自身管理策略機(jī)制等方面著手以避免損失。而想要從本源解決“薅羊毛”現(xiàn)象，則需要借助大量的數(shù)據(jù)和專業(yè)的數(shù)據(jù)團(tuán)隊：正如本文開頭所述，黑產(chǎn)團(tuán)伙“薅羊毛”需要大量的非正常使用的手機(jī)卡號來參與活動，如何通過大數(shù)據(jù)識別出這些非正常使用的“惡意卡”，同時不影響普通用戶的參與體驗，就成為反“薅羊毛”的關(guān)鍵，也就是第3點：

3.運用有效識別羊毛黨身份的技術(shù)和手段

目前，利用運營商和互聯(lián)網(wǎng)公司的黑產(chǎn)庫和特征庫，已經(jīng)有較成熟的“羊毛黨”識別解決方案，有效區(qū)分普通客戶和“羊毛黨”。通過大數(shù)據(jù)分析技術(shù)，基于海量數(shù)據(jù)建立檢測模型，通過用戶行為畫像(標(biāo)簽化)，從中發(fā)現(xiàn)部分虛假用戶，例如，相同的收貨手機(jī)號、相同的收貨地址、相同的IP請求、相同的設(shè)備ID等異常用戶信息，如圖3所示：

圖3 用戶畫像

以聯(lián)通大數(shù)據(jù)“惡意卡識別”產(chǎn)品為例，該產(chǎn)品是聯(lián)通基于對行業(yè)的理解，利用手機(jī)實名信息、通信信息、網(wǎng)絡(luò)行為、位置軌跡等運營商大數(shù)據(jù)提煉挖掘形成的，可高效識別“羊毛黨”。在剛剛過去的2018年雙十一購物節(jié)活動中，該產(chǎn)品在某知名電商平臺得到應(yīng)用，從實際效果看，被“薅羊毛”的概率相較對接前下降了30個百分點。

此外，為進(jìn)一步提升惡意卡識別能力，聯(lián)通大數(shù)據(jù)與騰訊公司合作，擴(kuò)大數(shù)據(jù)維度，在運營商數(shù)據(jù)基礎(chǔ)上融入騰訊安全營銷反欺詐產(chǎn)品解決方案，基于全球最大的黑產(chǎn)知識圖譜，整合千萬級惡意IP及歷史欺詐IP，以及上億級的異網(wǎng)風(fēng)險手機(jī)號碼的識別能力，并引入社交、游戲、金融、電商、O2O等領(lǐng)域的黑產(chǎn)大數(shù)據(jù)進(jìn)行交叉比對和大數(shù)據(jù)學(xué)習(xí)。目前產(chǎn)品可覆蓋全國90%以上的手機(jī)卡號，羊毛黨識別率高達(dá)99%。在性能方面，產(chǎn)品支持API對接，毫秒級響應(yīng)，支持超高并發(fā)，能夠滿足客戶在不同營銷場景下對產(chǎn)品的應(yīng)用需求。