拼多多不哭,薅羊毛的江湖水太深
拼多多承認自己被薅羊毛了,還嚷嚷著要報警。1 月20 日,據新浪微博“互聯網的那點事”爆料:“從20號凌晨開始,拼多多出現了一個超級大Bug,用戶可以領取100元無門檻券,注意是領取,不是搶購。專職羊毛黨發現了這個大Bug,半夜打電話喊人薅羊毛!有的大牛已經領了上千張100元無門檻券,怕被抓進去於是把領券方式公佈於眾,於是大批用戶開啟了薅羊毛節奏。”
不過,200 億可能是沒有的,在拼多多1月20 日發表的聲明里,這一數額達到了“數千萬元”。
拼多多新浪官方微博聲明:1月20日晨,有黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平台優惠券,進行不正當牟利。針對此行為,平台已第一時間修復漏洞,並正對涉事訂單進行溯源追踪。同時我們已向公安機關報案,並將積極配合相關部門對涉事黑灰產團伙予以打擊。
微信公眾號“黑奇士”稱,羊毛群里大概九點半左右出現線報,但此時這場羊毛黨狂歡已經接近尾聲。在某賺客論壇上,不少羊毛黨紛紛曬出自己的戰績,一半以上都擼了500 元以上的話費或Q幣,其中大部分人擼的虛擬物品已到賬。
[圖片來源:黑奇士(id hqssima)]
1 月20 日凌晨,羊毛黨們開啟了這場集體行動。
在一些報導中,有人評判拼多多的風控能力不足,還有一個待查證的匿名消息在脈脈的爆料平台上稱,這張100 元的無門檻優惠券其實只是一張測試券,因為系統錯誤重新上線才引發了這場羊毛黨的狂歡。
無論真實原因是什麼,拼多多不要哭,薅羊毛在互聯網上是很普遍的現象,比如運營商行業、互聯網及互聯網金融行業經常會見到,相關案例也不在少數。
一般來說,羊毛黨大都是採取群控軟件+改碼軟件的手段,不斷刷新移動設備的Mac 地址,imei 等手段,把原有設備偽造成N 多新的設備,繞過中小平台的風控策略,以薅取電商平台的優惠券或者低價購買平台產品。因此,在很短的時間內,會有重複的IP 地址、Mac地址、imei等信息不斷出現,但中小電商從自身平台看到的上述數據,都是一個個真實的設備。
總而言之,羊毛世界水很深,下面,讓我們复盤下曾經對羊毛江湖的報導,拼多多可以來劃個重點。
羊毛黨的趨勢和羊毛黨的新招數羊毛黨
1、初期是小作坊。
一個人有多個賬號,邀請親朋好友可以拿到一些返現紅包、邀請紅包。這個在電商時代比較典型,也是商家願意看到的一些正常引流方式。
2、包工頭。
一個稍具有規模的羊毛黨的團體,接到單,對某個店鋪進行交易量的刷單,還有一些廣告任務。這個規模主要是以學生、家庭主婦為主,擼個小錢,最典型的可能就是一些註冊賬號,綁定一些身份證賬號或者是銀行卡號,還有是做一些人臉認證,還包括一些下單的刷單交易、點擊廣告。
其實,在這一塊兒有比較多的欺詐產生。之前經常會看到新聞,學生被騙,或者是某某被騙,主要也是在這裡,他刷單自己投入資金,前期他投資會給他一定的返現,隨著後面投的錢多,就會被騙,會遇到直接拿著錢跑路的情況。
3、專業刷手。
這個團體已經是比較專業的了,基本上已經形成了上下游完整的產業鏈。
像專業刷手,是一個團隊,可以直接對活動進行狂擼、狂薅,月入萬元是很輕鬆的,甚至是更多。這個比較典型的場景就像O2O、電商,還有在共享、互聯網、互金等。在互聯網業務全面開花,規模也成型了。
2014年之後,開始出現針對互金的羊毛黨。
主要就是有一些內部平台,因為內部人員也想拉新、募集資金,可能就和羊毛團的團長直接談判,談判一些拉新的返現,還有一些能力不強的團長(羊頭) ,可能還有一些上級的代理,這個代理可能是一些廣告公司或者第三方平台。
隨著政策的收緊,包括平台的跑路,羊毛黨也有風險的,所以這一塊兒相對比2014、2015年,2015年是羊毛黨發展最好的,現在羊毛黨也有一些風險。
產業鏈
產業鏈裡主要是各種活動信息的共享,還有薅羊毛經驗的交流。網上有好多社區、論壇、QQ 群,群裡會有羊頭,他從平台內部或者上級代理拿一些任務,進行任務分發。
職業刷手也會在論壇或群裡發一些作案的手法還有教程出售,由黑客來尋找漏洞,製作一些軟件和工具。比如批量註冊的軟件、刷單的軟件、IP的代理、各種模擬器、群控軟件等。
有了這些工具之後,職業的刷手還需要一些賬號,賬號有卡商和專門出售賬號的團伙,卡商基本上會從運營商內部或者代理處拿一些卡,有專業的設備來養卡。
賬號基本上從地下施工庫,還有一些黑客進行一些脫庫、撞庫包括一些木馬來採集的一些用戶的隱私信息。還有一些釣魚網站,當然還有一部分就是內鬼洩漏一些我們的用戶隱私信息。比如,大家之前經常接到一些廣告電話,包括從房產中介、甚至是物業都會洩露一些用戶信息。還有一些批量的註冊軟件註冊一些賬號。
這些賬號也分等級,不同等級的賬號賣的價格不一樣,有些最初的賬號可能信息有限,還有一批賬號可能綁定了一些身份證、銀行卡,這個賬號可能質量稍微高一些,賣的價錢貴一些。也專門有團伙來進行賬號的清洗,還有對賬號進行養白,養白就是這些白賬號可以正常地參加活動或其它的交易。
接碼平台,主要就是有工具、賬號之後,大家註冊後一般會收到短信驗證或者是用圖文驗證、或是語音說幾句話,這些都有專業的接碼平台,用戶發送的這些信息直接就通過卡上的號碼,直接被電腦提取到一個軟件上,這個軟件後面就有一些人工進行讀碼,讀取到我這個短信是多少,然後再返回給前端的軟件。
最後面的就是一些套現和協助銷贓,比如某一次活動搞的一些充值卡、優惠卡,這個銷贓的時候會折扣收買給代理商、店鋪,比如說充值卡,充值卡搶到的是多少面額的,可能折扣賣給商家,商家再以一定的折扣再賣給用戶,中間就會賺取一些差價。
還有一些實物的二手市場的一些轉賣,這個是信息共享的一些論壇和QQ 群,基本上各種活動信息,包括一些網盤上的工具,還有一些QQ 群,基本上都是信息的共享和任務的分發。
還有群控軟件,基本上通過主控設備做操作,就能同步到所有的設備上,通過這個就可以登錄多個賬號進行一些操作。
新趨勢
電商購物節點促銷活動上遭遇的薅羊毛往往呈現出集群化作弊的現象,成百上千部手機刷同一個APP的新手紅包、優惠券。電商平台推出的幾萬個限量紅包就會在極短的時間內,被羊毛黨薅走,這樣在大促時電商拿出的推廣費用,全都被羊毛黨薅走,並不能達到預期的推廣效果,也不能給平台用戶帶來真正的實惠。
當然,大部分黑產還是老的薅羊毛手法,目前存在的一些新手法,其實技術思路其實都是和以前一樣的,比如去年發現了一些通過投毒一些通用組件,做插入惡意js做引流或者通過惡意js挖礦的案例。
不過,相對前幾年而言,當前薅羊毛有幾個新的關注點:
一些高級的技巧,比如利用主從分離和緩存使用高並發的條件競爭進行優惠券獲取或者刷單。
過去薅羊毛可能僅僅是’錢’,而現在更多的還有可能是數據,比如有做信用評級的公司,很有可能通過接口來獲取信息,而本來這些信息是需要第三方付費才能使用的。
一些開放平台存在漏洞,比如微博這樣的大社交平台,如果存在漏洞可以進行引流,從而變現。
攻防對抗
最開始的就是弱防護,弱防護基本像專業殺手或者是黑灰產就通過模擬器,基本上就可以達到集中式的一些方位,或者做一些薅羊毛的事情。
隨著弱防護加上了,還有一些基礎手段,比如設備識別,識別IMEI 號或者是其它一些信息甄別這個設備。這個也有針對性地出現了一些設備牧場,設備牧場的這種攻擊,基本上在一部分上就繞過了對真機的檢測。
驗證(電話驗證),電話驗證上下形成一些短信,包括一些語音驗證,這是攻的手段,防的手段也有專業的設備,比如說貓池,卡商就會把一些卡放到貓池的設備上,可以簡單理解成虛擬的手機,手機設備可以插多張卡,這個設備連接到電腦,就可以直接讀取上行的短信,並且下行發短信。
後期的一些防範手段又出現了各種驗證碼,像圖文的、文字、問答式的,包括現在出現了一些滑動的行為式的,還有點擊式的。攻的手段也有打碼平台,後台是人工打碼,就是人工來識別驗證碼。所以,攻防對抗是不斷在持續演進。
除了產業鏈這些攻防對抗的手段,還需要做哪些?
1.端上做保護。
比如說針對一些批量刷接口的情況,可以做一些接口協議上的保護,還有業務邏輯上的一些防護,比如一些活動的一些邏輯防護(推理的一些算法,或函數之類的)。
2.完善產品邏輯。
比如剛才的薅樣毛案例一,天貓商城的生日積分,它就是業務規則上有漏洞,包括有些產品邏輯上也有漏洞,比如限制這個活動只能參加一次,或者一天只能參加幾次,這個是業務上的漏洞。還有代碼上有一些漏洞,實際上也是邏輯上的遺漏。
3.防撞庫和脫庫、用戶的信息保護。
主要是進行一些弱密檢測,還有洩露的一些賬號,包括黑灰產拿賬號進行撞庫清洗,這塊兒也要做一些防護。