深度揭密：十万羊毛党围猎拼多多，电商巨头如何反击？ ...

yzr369963

9.9元的跑步机，9.9元的冰箱，9.9元的平衡车，

在各大APP晃来晃去的广告上，拼多多浑身都散发着诱惑的气息，

如果你被这些广告吸引进去，9.9元的跑步机就变成了概率极低的抽奖。

在猛薅用户羊毛之后，拼多多也被“灰黑产”薅了一把。（之所以“灰黑产”加引号，是因为在拼多多所称的灰黑产中，有不少是看到撸羊毛攻略的真实用户）

自20日凌晨起，拼多多的一个神级bug被羊毛党探测到：无门槛100元券，而且这个券全场通用。



全场鼎沸都不足以形容，羊毛党们在微信群、赚客网站呼朋唤友，甚至直接打电话相互通知。他们的矛头对准了最容易变成现金流的话费和Q币。


在黑奇士（id hqssima）所在的羊毛群中，不少人撸了几百元的话费。也有人头脑灵活，把手头未实名的QQ冲入Q币，然后打包销售，赚了一把快钱。

早上九点多，当“拼多多百元券攻略”在赚客网站和微信群发酵的时候，羊毛党的先行者们已经在QQ群中交流着心得：

“你撸的话费到账了没？”

“现在领券都开始卡了，估计拼多多马上要关接口”

“出9位QQ带200 Q币，懂的带价来”

活跃在网上上万QQ群和微信群、几十个赚客网站、以及数十万羊毛党的微信朋友圈，构成了羊毛党的地下江湖。


他们如同一群饿狼，发现漏洞就一拥而上，把对手撕得粉碎。在过去几年里，阿里、京东、苏宁、唯品会这样的巨头都会成为目标。


拼多多，是放在祭台上最新的那只羔羊。

砍单：在断臂止损和为名誉认亏之间的权衡

根据拼多多的最新公告，“黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪，同时已向公安机关报案。”

用羊毛党的行话说，拼多多砍单了。实物商品被锁定不许发货，话费被追索，充Q币的QQ号被锁定无法登陆。

此前，还没有同等量级的电商巨头做的这么绝。

2017年双十一，天猫出现优惠规则的设计漏洞，黄金品类在使用优惠券叠加之后，可以做到6折左右的低价，每克黄金有30-50元左右的利润空间，消息在QQ群爆出后，开始有用户大量下单，甚至有的收货地址买了十多条项链。




于是，天猫悍然砍单，甚至有些已经发出的快递也被追回，这种做法在当时也引起网民的巨大争议。


拼多多发布公告称：此次优惠券为线下券，从未在线上发布，是黑产团伙通过技术手段获得，涉嫌欺诈。事件发生后，公司迅速向公安机关报案。目前公安机关正在调查过程中，因涉案金额巨大，预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。

这种做法比天猫的砍单更进一步。如果没有合理解释的话，预计将引起更大争议。

羊毛党有专用软件：京东抢单软件高达20多种，支持数万账户

在古龙的小说中，有“七种武器”的说法。在羊毛界，也早就实现了工具的升级换代。从注册账号到抢货打码，都可以用软件来自动完成。

黑奇士在某赚客网站上看到，仅仅针对京东，就有天启、神马哥、大黄蜂等二十多种专用软件，功能包括抢券、批量下单、价格监控等。某抢货软件专门录制了功能视频，视频中表示该软件技术最好，不但打码不延迟、价格监控最有力，关键是可以支持最多5万个账号同时下单。

天猫、苏宁、唯品会、拼多多也各有各专用的抢货客户端，各种软件林林总总有五六十种之多。


这些软件可以自动采集网上的线报，探测电商们的神级优惠券，发现某个网店的bug价。一旦出现漏洞，则蜂拥而上，十分钟内可以下几万单，不少网店因为设置错了优惠券规则，被这些软件背后的羊毛党撸到关店。

羊毛党是怎么发现神级优惠券的？

在拼多多最新的公告中说，这些百元券本来是用于线下活动，在江苏卫视的现场活动中由现场嘉宾领取，从来没开放过线上投放。只是黑产团伙不知道通过什么手段获得了优惠券的发放接口，生成二维码在微信群、QQ群中传播。

黑奇士请教了风控领域的专家，像这种仅限线下领取的优惠券，通常会进行多维度的限制，比如一台设备仅限领取一张，领取时间仅限活动举办时，领取设备需处于某个IP段之内，领取的账号需符合事先约定的规则等等。

发现这种优惠券可能有两种途径：要么是羊毛党通过软件脚本（比如上文所说的监控软件）探测到了优惠券的发放接口，从而获取并生成了有效的优惠券；要么就是拼多多和江苏卫视合作的过程中，相关工作人员获取相关线索，再找到专业羊毛党突破了技术限制。

如果是软件探测到的，可以解释为什么凌晨出现漏洞，直到早上八九点钟才大规模扩散。因为这些软件基本都掌握在专业羊毛党手里，他们发现之后会动用猫池、接码平台等专业工具，注册大量新账户（或买来符合规则的老帐户）来领券。



无论是注册新账户，还是成千上万个账户自动领券，都可以通过服务器、软件和手机集群来自动完成。只有他们薅足了油水之后，才会把线索放到赚客网站和羊毛群，由中小羊毛党来喝汤。


如果是内鬼，或活动相关人士外泄的优惠券接口，那此次活动很可能是经过了周密策划，专门选定了凌晨这个时段来完成。综合多种因素来推测，这种可能性相对较低，但仍然有一定的可能性。

但无论是那种途径，都意味着拼多多的风控、安全系统出现了大问题，这个在下面我会详细写。

高端黑产：AI被用于羊毛党对抗 地产富二代月入70万

黑奇士采访的资深业内人士表示，在本次拼多多羊毛事件中，那些薅了几百元话费还美滋滋的，都是底层小羊毛党，他们冒着最大的风险，赚的却是最微薄的利润。真正赚大钱的是开发撸羊毛软件的公司，以及专门研究电商平台运营策略的“撸客大牛”。

2017年3月，绍兴警方在沈阳破获一个高智商犯罪团伙，该团伙建立的“快啊”打码平台专为网络黑产和灰产识别破解字符型验证码提供技术帮助。所谓打码平台，就是利用机器、或者人工方式识别各大网站为了防止机械刷单，而建立的各种验证码。



警方对“快啊”平台数据分析获知，接入该平台提供验证码识别服务的软件有100多款，从2016年6月到2017年3月，平台资金进账累计达1650万元。

为该平台提供技术支持的是一个34岁的“地产商富二代”，名字叫杨柯。他父亲是当地房地产开发商，他和妻子儿子住在厦门一处140多平方米的豪宅里。

杨柯毕业于某大学计算机专业，研究人工智能十余年。他使用伯克利大学的数据模型，引入大量验证码数据来对验证码识别系统提供训练，把机器识别验证码的能力提高了2000倍。

杨柯的验证码训练库

杨柯在本案中共分得300余万元，多得时候每个月就能分得6、70万元。类似杨柯这样的技术牛人，在整个羊毛党黑产中获取了最大的利益份额，也就是羊毛党顶端，那群赚大钱的人。


防范羊毛党：需要综合性立体化防护

拼多多这种被爆出来巨额损失的羊毛党案例，仅仅是冰山下的一角，像同等量级的阿里、京东等网站，每年至少要遇到成千上万起的羊毛党攻防案例。只不过大量的案例，在羊毛党进行攻击准备的时候已经被发现。

DataVisor中国区总经理、风控专家吴中博士向黑奇士表示，羊毛党攻防是个综合性、立体化的体系，原有单一的规则类防护已经不合时宜。他举例说，要想完成拼多多这样的羊毛案例，首先需要掌握大量的号码资源用于注册新账号（如果是老账号，则需要从暗网购买，或者本身就是养号大户），再用猫池来收发注册短信，并使用手机集群来绕过平台对单一设备的限制。这一系列的工具和软件，至少需要几百万元的投资，资金和技术门槛极高。

从平台端来讲，这么大量的注册账号、异常登陆试探领券、异常的优惠券兑换，如果设置了完备的防护体系，通过机器学习完全可以在攻击发生之前发出警报。

吴中解释了“机器学习防护模型”和“规则类模型”的区别，比如规则类模型，就是在事先规定，一个IP只能领一张券，如果这条规则被羊毛党试探出来，他们就会想办法通过变换IP地址来绕过。


而机器学习会把试探性的账户登陆、试探登陆所处的IP段、试探账户的等级（用于测试的通常是白号）等几百个因素通盘考虑，将其纳入统一的模型之内，机器会通过输入输出的效果，自动学习自动生成规则，从而可以在攻击之前发出警报，提高对羊毛党的防护效率。


反击羊毛党：电商巨头们输不起的战争

这次拼多多被薅羊毛事件，一时之间震惊业界。

让人震惊的地方首先在于损失额可能极大，尽管拼多多自称损失数千万，但有人怀疑损失远不止这个数字。

拼多多损失巨大，不仅是金钱上的损失，用户信任的损失更无法衡量。

毕竟发生问题的是拼多多的优惠券，如果拼多多再做优惠券活动，用户是参加不参加？无论参不参加，都会陷入两难境地。

另外，黑奇士在这里吐槽一下各家的电商对风控的偏见：

从古都今，“安全风控”从来都是一个爹不疼娘不爱的孩子，在领导们眼里，销售能带来销售额，安全部门从来都是麻烦，不但花钱无数，看不到效果，还往往在促销、商业运营的时候提各种建议，这个不安全，那个不安全，严重影响“运营效率”。

像拼多多这种疯狂增长的怪兽级公司，更是把成长效率放在第一位，而安全、风控，目前看来做的并不到位。

如果安全做到位，薅羊毛需要的那么多环节，从注册账户到运营上线，哪就那么容易被薅了？

在对羊毛党的战争中，平台永远处于弱势，而且在可见的未来不会改变。即使是阿里、京东这样的公司，也需要如履薄冰、战战兢兢。
本文前传：
拼多多百元券漏洞，撸了一辆宝马的羊毛大牛要进去过年吗？