“薅”垮平台逼停企业 “羊毛党”变“饿狼党”

什么是“薅羊毛”?这一名词远不止在电商平台找优惠券、抢到“0元购”商品那么简单。近日,电商平台“拼多多”出现百元优惠券漏洞被大量“薅羊毛”,敲响了防控大数据黑产业的警钟。组织严密的黑灰产业链条,先进技术手段攻破平台风控防线,百万元级利润收入……“羊毛党”是如何变成有组织的产业并日渐壮大的?他们对互联网产业的健康发展带来了怎样的危害?记者就此进行了调查。

拨开“羊毛圈”:“只有你想不到,没有我薅不到”

记者进入了一个“羊毛群”,发现这里仿佛是另一个世界:一些忙着往群里扔“福利”的“大V”,几百个每日蹲守群里接福利的“羊毛客”,不断被朋友拉进群的“小白”……他们有自己的网站、论坛,平时会交流心得、总结经验、分享“线报”。

从各大网站“BUG价”“秒杀价”,到P2P、区块链、小额借贷等平台的注册金,如今“羊毛客”们又大量回归并专注于电商平台以及微信公众号福利。记者在一个专注某电商平台福利的微信群里看到,群主在5个小时里发布了98条“线报”,主要集中在商品秒杀、领券等优惠信息,同时也有试玩App等花样繁多的“刷单”式羊毛。记者在一位“羊毛客”的指导下尝试下载某App并按要求停留3分钟,果然收到了0.16元的“赏金”。网友“看夕阳落下”称,自己“入行仅1个月,就已经赚了5000-6000元”。

但这只是“薅羊毛”的入门级操作。从蝇头小利中不断累积的“羊毛客”,渐渐发展成拥有大量资源和专业设备的“羊毛大户”。据介绍,“羊毛大户”们大多“积累了大量身份资料,有可靠的关系网络收集线报,有程序员功底”。这从“拼多多”网站在近日凌晨出现优惠券漏洞,随即被迅速领取数千万元的案例中可见一斑。

据群内“羊毛客”介绍,“邮币卡火的时候,某大牛一高兴直接提了宝马3系”“某大牛单每月的理财收益就有8000元以上”,如今“行情不好,很多网络项目也被封杀殆尽,许多大牛的公众号也被封杀”。但“大户”依然存在,并正在借用更高级的科技手段,成为活跃在互联网平台背后的一群“黑色阴影”。

探寻“羊毛头”:手握万号抢优惠 狠钻空子建黑产

在“羊毛党”的圈子内,不少骇人听闻的案例被传为“美谈”:某上市公司用现金激励推广直播软件,但10亿元以上的主播奖励大部分被“羊毛党”以黑卡套走;某电商平台发放“满2000元减50元”优惠券漏设使用门槛,有“羊毛党”一人就狂刷1.7万单……

“羊毛党”何以能短时间内攻击并“薅”垮一家平台?业内人士揭露,“薅羊毛”三字背后是巨大的黑产圈。网易易盾业务安全产品专家刘庆介绍,近几年越来越多的企业开展“撒钱”吸引新用户、拉流量的活动,着实养肥了不少黑产业。黑产业分工也愈发精细,并不断利用新兴技术手段。

“新用户优惠”拦不住“羊毛党”的步伐:黑灰产人员或是拥有多达数十万乃至千万级别的手机黑卡库,或是利用“接码平台”的大量卡号资源,以每条0.1元左右的价格接收验证码,快速并大批量注册。高级的验证码技术有时也难以形成防控机制:“羊毛党”利用“打码平台”的人工智能技术,以机器、人工结合的方式识别各种图片验证码。2017年,绍兴警方就曾通报其破获的“快啊”打码平台案件,该平台3个月内就提供了验证码识别服务259亿次。

《阿里聚安全2016年报》显示,互联网上缺乏安全防控的促销、红包活动中,70%-80%的优惠都会被“羊毛党”薅走。大规模的批量机器下单,甚至能够造成网站瘫痪。

面对“羊毛党”来袭,此前有电商平台紧急召回已发出的货物;有知名咖啡品牌紧急叫停赠饮活动。但经验丰富的“羊毛党”大多掌握专有“洗白”渠道,青睐高流通性的话费、Q币等产品,一旦变现就难以追回,很多平台不得不“吃哑巴亏”。

“饿狼”扑“羊毛”:亟待建立安全网 形成系统化合力

掠夺网络资源、参与流量造假、逼停创业公司,“羊毛党”更像是一群“饿狼党”。事实上,他们的行为已不再只是游离于违法的边缘。

上海明伦律师事务所高级合伙人赵陆一律师表示,通过购买、交换或网络下载等方式获得私人手机号码等个人信息,用以在网络平台注册换取首单优惠等,就构成了侵犯公民个人信息罪;而“羊毛党”通过不正当途径获取大量平台优惠券,则可能面临盗窃罪的处罚,各地量刑标准不同,在上海累计达到1000元就构成盗窃罪。

深探“黑产业”背后,他们抢占优惠的大量手机卡号究竟从何而来?中国信息通信研究院产业与规划研究所副主任杨天一介绍,除了实名注册的国内手机卡、境外手机卡等,根据业内机构的调查,目前流通的手机黑卡中80%以上是物联卡。

杨天一表示,手机黑卡的平台化趋势亟须管控。除了进一步细化对手机实名制管理的规定,还应针对电信运营商号卡建立体系化管控机制,特别是针对物联卡等新类别的号卡,最好采用专门号段,更要加强号卡供应商的资质审核和管理,严禁层层转售。

专家认为,一方面,对于企业来说,升级风控体系成为必要选择。刘庆介绍,由于黑灰产业群体应用的技术手段非常多,因此企业需要使用更多数据维度和指标,构建更复杂的策略、模型进行防御。另一方面,要整合互联网安全企业资源,形成有效的系统化合力。杨天一建议,建立共享的黑卡数据库,并鼓励社会力量参与,为进一步加大对黑卡的精准打击等提供支撑。

(新华网)

观点采撷:是时候向“网络黑灰产”开刀了

程序出现bug是一件无法避免的事。程序员写出编程后,在其正式进入市场前都会进行严格的检查测试,即使出现bug也会在第一时间内进行修复。此次优惠券事件之所以会造成如此大的损失,除了黑灰产团伙故意进行不当牟利外,“拼多多”显然也有一定的责任。从1月20日凌晨1点多出现bug到9点左右才修复完成,中间足足有8个多小时。

事实上,出现过类似bug情况的不止“拼多多”一家。腾讯视频曾出现过“0.2元开通VIP”情况,最后对于异常订单全部兑现,且不再扣费。去年11月,东方航空官网和APP购票系统均出现“价崩”现象,多条国内航线商务舱往返机票,最低只需90元。东方航空对此表示,系统维护时已出“白菜价”机票全部有效,旅客可正常使用。类似的事件并不少见,最终以电商平台自掏腰包、满足用户需求为结尾居多。从这个层面而言,“拼多多”也有责任为自己的失误和成长埋单。对于平台来说,如何做好风险控制、预警,杜绝“羊毛党”等黑灰产已经成为必修的功课。

对于普通网友而言,商家系统出现问题,用户在对抓住漏洞牟利沾沾自喜之外,其实还有更值得警戒的东西。“网络黑灰产”威胁的不仅是商家,更是生活在互联网时代的每个普通人。互联网黑灰产现如今已经有了十分成熟的商业运作模式,产业链复杂、隐蔽、高效,是一个紧密结合的复杂链条。据阿里安全归零实验室统计,2017年4月至12月共监测到电信诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。2018年,活跃的专业技术黑灰产平台多达数百个。骚扰电话、垃圾短信、电信诈骗……这距离我们每个人的生活都并不遥远。

网络安全和个人信息保护需要企业和政府的共同努力来构造,制定完善规则并严格贯彻执行,应是首要之义。数据安全与个人信息保护问题涉及移动互联网的多个环节,需要掌握技术的企业、平台与公安等监管部门协同治理,健全完善行业自律和网络安全协作机制,共筑网络安全防线。

(江帆 浙江新闻)

相关链接:

“羊毛党”别跑!“拼多多”要追回损失

1月20日凌晨,“拼多多”平台出现了巨大漏洞,用户可以随意领取“100元无门槛优惠券”,引来大量网友凌晨上线“薅羊毛”。甚至有网友一晚上用优惠券充值话费百余次,每次为100元,仅花0.4元。

当日中午,“拼多多”发布声明称被盗取了数千万元平台优惠券,并将这次事件的矛头指向了“黑灰产团伙”,表示已经报警。虽然平台漏洞已被封上,但这次“拼多多”损失惨重。“拼多多”在一份情况说明中表示,将坚决打击黑灰产团伙。那么,对于那些“占了便宜”的大量普通用户,需不需要进行偿还呢?

“拼多多”发表声明

去年11月17日凌晨,东方航空官网和APP在进行价格维护时出现参数异常,导致部分网络销售平台出现异常票价,多条国内航线售价低至正常价的一折以下,有的经济舱售价仅仅几十元,而头等舱/公务舱也仅售几百元。随后,航空公司在官方微博中发布声明称,去年11月17日凌晨东航在系统维护时售出的所有机票(支付成功并已出票)全部有效。

但是,“拼多多”认为,1月20日凌晨发生的“优惠券漏洞”事件和东航的异常票价不同。前者为平台错误操作、非正常发放所致的民事问题,此次“拼多多”优惠券事件则为“套券诈骗”的网络诈骗案件。

首先,“拼多多”被盗取的相关优惠券,是此前与江苏卫视《非诚勿扰》节目开展合作时,因节目录制需要特殊生成的优惠券类型,仅供现场嘉宾使用。除此之外,此种类型优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口。

其次,该事件中的相关优惠券,是黑灰产团伙通过非正常途径生成的二维码扫码后获得,该二维码多流传于社交平台相关黑灰产群。“拼多多”从未针对该类型优惠券生成任何二维码,更从未在APP及小程序中展示过此类优惠券相关信息及二维码。不过,该二维码具体的生成及传播过程,正待警方调查后获得最终结论。

通过该非正常途径生成的二维码,原本每个认证信息的用户可以且仅可领取一张无门槛100元优惠券,而非此前网络流传的单个ID可以“无限领取”。因此,有黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。

优惠券将被追回

那么,难道所有钻了空子、用优惠券购物的用户会按黑灰产团伙对待吗?

“拼多多”风控团队负责人表示,黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,期望达成“法不责众”的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,以希望达到逃避刑责、混淆视听的结果。

这类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。“拼多多”强调,此次事件不涉及任何数据安全问题,平台消费者原本正常领取的优惠券使用不会受到影响。那么,对于那些“搭便车”的普通用户,“拼多多”是怎样的态度,需要他们还钱吗?

目前,上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。“拼多多”平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单作出依法依规处理。

“拼多多”公关部相关负责人向记者解释称,“对涉事订单进行批量冻结”意味着,还没有用的优惠券已经被警方冻结了,不能再继续使用。

对于遭裹挟的普通消费者,平台主观意愿上不会进行进一步追责,但“拼多多”不支持此类非正常行为。不过,对于已经用出去的优惠券,已经有用户遇到了被要求退货的情况,用户花的钱也被退了回来。有用户告诉记者:“我买的都是实物,系统就直接关闭了订单,退回了(优惠券之外)多付的钱。”

“拼多多”公关部相关负责人称,这不是平台的行为,是警方的行为。警方为了调查,对案件定性,需要追回已经使用的优惠券。这里分两种情况:不当得利要被追究法律责任;而对于不知情的普通用户,只追回,不追究法律责任。用户收到的系统退款通知,也是警方根据程序进行追回。

用户买的是实物,退款退货好办,但如果是话费、Q币这类虚拟商品怎么追回呢?中国移动、中国联通新闻中心相关人士均向记者表示,如果有需要,肯定会配合警方的调查工作。而中国移动相关人士表示,“拼多多”与中国移动没有直接合作,目前也没有提出这个需求。如果需要,在法律框架内,中国移动会配合警方的调查工作。但是关于追回问题,要看法律如何判定,权威机构需要出具相关内容。因为在中国移动看来,用户的充值流程都是合理合法的。

IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领认为,如果是黑灰产团伙利用“拼多多”的漏洞“薅羊毛”,则主要涉及到非法侵入计算机信息系统的刑事犯罪。如果是普通用户发现“拼多多”的漏洞,然后去领取优惠券并且去使用,这种行为在法律上来讲属于不当得利。

赵占领说,虽然普通用户的行为并没有触犯刑法,但这种行为已经违反了用户和“拼多多”平台之间的用户协议,在法律上,“拼多多”可以要求用户返还优惠券带来的相关利益。

(每日经济新闻 中国经济网)

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源