防薅圖鑑之一薅羊毛深似海,牢底坐穿後悔晚

頂象技術發表於2022-11-07

薅羊毛這件事,在黑灰產眼裡是永無盡頭的。

不久前熱播的以網路安全為主題的網劇《你安全嗎》便提到了一起薅羊毛的事例。

劇中的羊毛黨領導者在與男主的對話中曾透露,作為專業的羊毛黨,沒有他們薅不到的羊毛,只有他們不想薅的羊毛,並且羊毛黨組織人數不在少數。

防薅圖鑑之一薅羊毛深似海,牢底坐穿後悔晚

儘管劇中的羊毛黨們最終受到了法律的懲處,但現實中的羊毛黨們卻依舊充斥在各個角落不為人知。

資料顯示,截至2021年我國“羊毛黨”灰色產業市場規模逾1000億元。當然,這個數字還在增長。

羊毛黨不可不防

廣義的薅羊毛,是指一切佔商家便宜的行為,小到排隊搶購打折雞蛋,大到遊走於法律邊緣鑽漏洞,都可以稱之為薅羊毛。因此,對於羊毛黨來說,上至P2P平臺的註冊返現金,下至淘寶店鋪滿減折惠券,都是他們的目標。“薅羊毛”活動中的組織者——“羊頭”的任務就是“帶貨”:蒐羅電商平臺的優惠資訊,甚至以掌握的“羊毛黨”資源為籌碼與電商博弈,以薄利而求多銷,從而為“羊毛黨”獲得更多的優惠,“羊頭”藉此從電商方拿到額外的獎勵或者佣金。

參與“薅羊毛”的人員稱之為“羊毛黨”,根據操作與分工不同,分為多個層級。初級“羊毛黨”稱之為“刷手”,以在校學生、居家無職業人員為主;稍高一級的“羊毛黨”,負責給“刷手”下達具體任務、發放酬勞、接受上級平臺任務,被稱為“包工頭”;再高一級的“羊毛黨”稱之為“小作坊”,一般是在多平臺擁有多個賬號;更高階“羊毛黨”稱之為“專業刷手”,多是幾個人的小團伙或工作室形式存在;再向上一級就是“團長”,多是公司化運作。

那麼羊毛黨又是如何精確的找到“受害者”的?

據頂象安全專家介紹:事實上,在羊毛黨眼中這不過是放個爬蟲監測的事。

產業鏈的上游是卡商,他們用“貓池”養著大量的手機卡。貓池是一種可同時支援多張手機卡的裝置,根據機型不同,插口從 8 到 2048 不等。透過貓池,手機卡可以直接撥號和接收簡訊,而上游卡商就靠售賣卡號和驗證碼賺錢。

中游是卡商平臺,又稱為驗證碼平臺,這個平臺上活躍著兩類人,上游卡商和下游羊毛黨。卡商將手機卡號碼和驗證碼放到平臺售賣,羊毛黨可以在平臺購買,平臺提供軟體支援、業務結算,賺取分成。根據驗證碼屬性不同,平臺與卡商分成比例也不同。

下游數量龐大的羊毛黨一般活躍在貼吧、社群、QQ群等社交媒體,他們提前準備好賬戶和軟體後,會實時關注各類優惠資訊,發起進攻。

一旦羊毛黨們找準目標,後果也是不堪設想的。

來看幾個例子:

2018 年 12 月,某咖啡品牌上線“APP註冊新人禮”營銷活動,遭受羊毛黨大規模攻擊。他們利用大量手機號註冊該APP的虛假賬號,併成功領取活動優惠券,導致該品牌的營銷活動兩天即停止。

2019 年 1 月,羊毛黨利用某電商平臺“無門檻 100 元券”存在的bug薅羊毛,僅支付少量資金即可不限量領取 100 元無門檻券。根據網路上流傳的真真假假的截圖中顯示,有使用者稱熬夜藉助漏洞充值了幾十萬元話費,更有訊息稱該電商平臺一夜之間被薅走數千萬元。

2020年 11 月,淘寶店鋪果小云,因為不熟悉操作,誤將26元4500克的臍橙寫成了4500斤,結果被一群職業羊毛黨一晚上下了幾萬個訂單,一夜之間損失700萬,逼得店主跪下求退單。

而在更多不為人知的角落裡,還有更多受害者。

防薅圖鑑之一薅羊毛深似海,牢底坐穿後悔晚

並且如今的羊毛黨們除了產業鏈規模化專業化,目前“羊毛黨”的攻防技術也演進到較高水平——即透過大資料和人工智慧技術來繞過傳統的防控策略。

那麼,如何有效防範羊毛黨呢?

如何讓羊毛黨們“無羊毛可薅”?

對於羊毛黨而言,不僅要防更要主動出擊,驗證碼和裝置指紋是應對羊毛黨的有效工具。

驗證碼能夠有效防範“薅羊毛”風險,同時防範資訊竊取、刷票刷流量等風險。

防範“薅羊毛”:透過各種優惠促銷活動吸引註冊使用者是平臺和企業主要的拓客手段。如果不能夠有效安全手段防範那些職業的“羊毛黨”,原本屬於新使用者的合法權益很容易被“薅羊毛”。“羊毛黨”不僅破壞了正常的營銷規則,白白消耗大量活動資金,更無法保障新註冊使用者的精準性,導致營銷活動效果功虧一簣。驗證碼能夠實時判斷註冊登入使用者是否異常,及時發現並攔截程式化的批次註冊、惡意登入等欺詐風險,將“羊毛黨”擋在外面,讓營銷更加精準有效。

防止資訊遭竊取:金融資訊資料是銀行重要資產,不法團伙利用網路爬蟲盜取資訊資料,不僅造成使用者隱私資訊洩露,更會使用者和銀行帶來資金損失。驗證碼能夠阻擋惡意爬蟲盜用、盜取資料行為,防止個人資訊、金融資料洩露,有效避免因惡意登入導致的密碼洩露、賬戶暴力破解等風險事件的發生。

防止刷票刷粉刷榜:網路投票是建立在網路投票系統上的,結果完全由程式輸出,無需人工參與。刷榜就是利用的技術或其他手段批次偽造下載數量、好評數量、點贊數量等,提升目標在排行榜中的位置,吸引關注和使用。“刷”出來的數字是一種泡沫,不僅給使用者帶來經濟損失,更破壞了公平的秩序,影響了生態發展,給行業帶來惡劣的示範作用。驗證碼能夠幫助平臺實時發現並攔截刷票刷粉刷量,提升投票平臺的安全,保障業務的公平性。

同時,頂象無感驗證是一個以防禦云為核心,集13種驗證方式,多種防控策略,以智慧驗證碼服務、驗證決策引擎服務、裝置指紋服務、人機模型服務為一體的雲端互動安全驗證系統。其彙集了4380條風險策略、112類風險情報、覆蓋24個行業、118種風險型別,防控精準度>99.9%,1天內便可實現從風險到情報的轉化,行業風險感知能力實力加強,同時支援安全使用者無感透過,實時對抗處置能力更是縮減至60s內。5年來,頂象防禦雲攔截2.7億次薅羊毛行為,保障數百萬商家的營銷安全。

除驗證碼外,裝置指紋也是一個有效的手段。成熟的裝置指紋技術,可以針對性地揪出常見的黑產改機框架、改機軟體、偽裝軟體等,識別出裝置所在的系統環境是否異常。

當然,除了行業與企業加強技術防範外,還需要產品業務層面和制度立法等方面的共同推進。《網路安全法》已經有些拘役和罰款的案例,對羊毛黨也會有些震懾作用。

電商平臺也應當在定價稽核、使用者資質、交易監督等方面投入更多精力,彌補技術漏洞,為消費者和商家營造更加公平的交易環境。

——————
業務安全產品:免費試用


相關文章