【周二晨報】拼多多是如何被“薅羊毛”的？

1月20日，微博大V @互聯網那些事爆料，拼多多百元通用優惠券的營銷推廣出現重大漏洞，無論新老用戶，都可以領取100元無門檻券，注意是領取，不是搶購。有網友通過接碼平臺充值了54萬的Q幣和64萬的話費。

據網上流傳拼多多這次損失超過200億。有的網友表示，拼多多估計要倒閉了。而錯過這場“薅羊毛”的網友戲稱，一覺醒來錯過一個億。

1月20日，微博大V @互聯網那些事爆料，拼多多百元通用優惠券的營銷推廣出現重大漏洞，無論新老用戶，都可以領取100元無門檻券，注意是領取，不是搶購。有網友通過接碼平臺充值了54萬的Q幣和64萬的話費。

據說專職羊毛黨發現了這個大Bug，半夜打電話喊人薅羊毛!有的大牛已經領了上千張100元無門檻券，怕被抓進去于是把領券方式公布于眾，于是大批用戶開啟了薅羊毛節奏。

事情發生后，拼多多也發表官方聲明，1月20日晨，有黑灰產團伙通過一個過期的優惠券漏洞取數千萬元平臺優惠券，進行不正當牟利。針對此行為，平臺已第一時間修復漏銅，并正對涉事釘釘進行溯源追蹤。同時，我們已向公安機關報案，并將積極配合相關部門對涉黑灰團伙予以打擊。

對于此事，i黑馬&數字觀察采訪到了頂象技術反欺詐專家，向他詢問了此事發生的原因，帶來的影響，以及褥羊毛以及黑灰產的出現對整個互聯網企業帶來的危害。

01

內控不嚴和防護體系不規范

雖然媒體報道和拼多多聲明中未提到風險發生的原因，頂象技術反欺詐專家分析，造成此問題可能有兩個原因：首先可能是個內控不嚴格，導致過期活動的優惠券未下架，也就是流程沒控制好。其次，可能是未做好多層風控體防護，“反欺詐就跟塔防游戲一樣，需要層層設防，才能有效防范”。

他認為，營銷活動應該從多個方面防范：首先，電商平臺必須建立營銷反欺詐體系：有營銷活動時候，業務營銷活動要與營銷反欺詐體系聯動，將業務納入到營銷反欺詐體系的保護之下。

其次，部署專業做風控解決方案：頂象互聯網營銷反作弊解決方案有效防范營銷作弊、刷紅包、薅羊毛、推廣作弊等欺詐風險。其App加固和專有虛機源碼保護有效防范電商客戶端、H5、Web被破解入侵，防止攻擊者通過端口漏洞進行批量注冊、批量登錄、批量搶單等。

安全SDK保障電商客戶端、存儲數據以及數據傳輸的加密。Dinsight實施決策引擎及時發現各類風險操作，并通過智能無感驗證進行有效攔截。此外，Xintell智能模型平臺平臺根據業務場景和需求建立更貼切的風險模型，進一步提升風控效果。

最后，通過技術手段做異常風險的核驗與阻斷：如果有超出以上預案的風險或bug，可以通過頂象設備指紋技術能夠有效偵測模擬器、刷機改機、團伙作弊等欺詐行為，再借助無感驗證工具，能夠有效識別機器行為，提供多層次的身份核驗，發現超出規則的異常行為，進行二次驗證、自動阻斷，以降低損失。

02

利用平臺漏洞，羊毛黨獲取大量利益

隨著互聯網的發展，越來越多的企業需要把業務從線下逐漸搬到線上，通過互聯網化的運營，改變傳統的運營模式，實現精細化運營，驅動業績增長。像很多P2P平臺、電商、銀行等企業都希望通過線上渠道促銷業務，吸引用戶提升產品活躍。

這些平臺每天都會產生海量的數據，數據除了被主流互聯網平臺使用之外，也在被一些不法分子所利用。再加上移動設備應用廣泛、交易速度和頻率提高、檢測技術不完善，促使企業風控和反欺詐難度不斷加大。

所以，在互聯網蓬勃的發展背后，已經衍生出一條龐大的、成熟的“黑灰色產業鏈”。這條產業鏈可以覆蓋金融、社交、電商、游戲等行業。“褥羊毛”及“羊毛黨”就在這樣的背景下出現了。

頂象表示，薅羊毛是根據互聯網的營銷活動、以低成本甚至零成本換取高額獎勵、高收益的一種方式。羊毛黨們對搜集各大網貸、電子商城、銀行、實體店等各渠道的優惠促銷活動、免費業務之類的信息，通過各種手段搶走這些優惠，然后以相對較低成本甚至零成本換取物質上的實惠。

換一個角度說，薅羊毛是市場經濟環境下、唯利是圖的本能驅動的行為，科技手段的進步讓這一行為更加輕而易舉。隨著互聯網市場進入用戶存量博弈時代，加強用戶挖掘，提升用戶體驗尤其關鍵。

針對用戶的營銷、促銷活動會越來越頻繁，這不僅將運營崗位提升到重要位置，也讓羊毛黨有了更多賺錢的機會。

根據頂象2018年第三季度業務風險監測數據顯示，各平臺遭遇到薅羊毛風險是在所有業務風險中比例達5.6%。由于操作簡單、參與門檻低，薅羊毛已成為電商領域最大的業務風險之一。

i黑馬&數字觀察了解到，羊毛黨有兩類，一類是指積極參與各種營銷活動，包括但不限于滿減、返現、抽獎、優惠券等活動，但并不能給平臺帶來實際的活躍用戶增長的行為。另一類是，羊毛黨把薅羊毛當做職業，利用商家或者平臺的漏洞，攫取大量利益，更有甚者會進行詐騙。

無論是哪類羊毛黨，這些欺詐手段都嚴重影響到企業的正常運轉，影響用戶的體驗，給企業帶來了巨大的經濟損失，同時也加重了社會問題。

“黑灰產會一般通過技術和電腦操控，大批量的注冊虛假賬號，以備薅羊毛、詐騙等牟利使用。而注冊賬號用的信息，大多來自各個平臺泄露的信息泄露。

2018年發生了數起大規模的賬號泄密事件，包括華住集團、AcFun彈幕視頻網等，涉及賬號密碼數億條，這些泄露的信息很大一部分通過地下黑市流入到了黑灰產手中。

黑灰產拿到泄漏的用戶和賬戶信息，進行洗庫、“撞庫”后，除了網絡詐騙、電信詐騙，還會轉走賬戶內的余額、積分等，更會操縱賬號進行薅羊毛、刷單、刷票、刷粉等。”

03

“薅羊毛”是否犯法

那么，“薅羊毛”是否違法?

拼多多的聲明中提到已經報警。頂象技術反欺詐專家認為，黑灰產的行為在法律主要涉及四部分：

1、通過假冒身份、虛假注冊、修改軟件等手段獲利，都以非法占有為目的，則可能構成盜竊或詐騙。

2、虛構事實、假冒身份、使商家產生錯誤的認識而主動把錢打給”毛黨羊是詐騙行為。

3、購買和冒用他人的身份信息涉及違法;

4、涉嫌濫用公民信息。

以上違法行為的懲罰措施，在《網絡安全法》、《刑法》、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等有明文規定。

頂象介紹到，針對用戶信息的保護，去年6月1日實施《網絡安全法》第四十二條有明文規定，網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。

在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施。所以，網絡運營者有保護個人信息的義務和責任。盜用他人身份證注冊虛假賬號涉嫌違反《中華人民共和國居民身份證法》第十七條。

廣告

針對用戶個人信息泄露或被竊取的問題，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中規定，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;應當認定為刑法第二百五十三條之一規定的“情節嚴重”。

“刑法第二百五十三條之一規定”是這樣寫的：違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

據網上流傳拼多多這次損失超過200億。有的網友表示，拼多多估計要倒閉了。而錯過這場“薅羊毛”的網友戲稱，一覺醒來錯過一個億。

由此可見，對于平臺來說，如何做好風險控制、基礎運維、預警，杜絕羊毛黨等黑產已經越來越重要。你覺得最好的解決方案是怎樣的?【責任編輯/李小可】

(原標題：拼多多是如何被“薅羊毛”的?)

來源：i黑馬

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

傳稱拼多多開啟蘋果iPhone 12預約 號稱9月16日見

拼多多賣菜，醉翁之意不在酒？

【觀點】從拼多多到海底撈 看“窮人經濟”蛋糕有多大

用戶數逼近阿里，拼多多的下一步怎么走？