拼多多不哭,薅羊毛的江湖水太深
http://www.5ipr.cn   2019-01-21 09:16:31   雷锋网   

拼多多承认自己被薅羊毛了,还嚷嚷着要报警。
  拼多多承认自己被薅羊毛了,还嚷嚷着要报警。

  1 月 20 日,据新浪微博“互联网的那点事”爆料:“从20号凌晨开始,拼多多出现了一个超级大Bug,用户可以领取100元无门槛券,注意是领取,不是抢购。专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。”

  不过,200 亿可能是没有的,在拼多多1月 20 日发表的声明里,这一数额达到了“数千万元”。

  拼多多新浪官方微博声明:1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。

  微信公众号“黑奇士”称,羊毛群里大概九点半左右出现线报,但此时这场羊毛党狂欢已经接近尾声。在某赚客论坛上,不少羊毛党纷纷晒出自己的战绩,一半以上都撸了 500 元以上的话费或Q币,其中大部分人撸的虚拟物品已到账。

  一知情人士对雷锋网编辑确认,1 月 20 日凌晨,羊毛党们开启了这场集体行动。

  在一些报道中,有人评判拼多多的风控能力不足,还有一个待查证的匿名消息在脉脉的爆料平台上称,这张 100 元的无门槛优惠券其实只是一张测试券,因为系统错误重新上线才引发了这场羊毛党的狂欢(雷锋网注:1月20日下午6点左右,拼多多已经辟谣,称在“脉脉”网站上署名“鹿杖客”发表所谓“整个部门年终奖被扣”一事,并不属实,且“鹿杖客”并非拼多多员工)。

  无论真实原因是什么,拼多多不要哭,薅羊毛在互联网上是很普遍的现象,比如运营商行业、互联网及互联网金融行业经常会见到,相关案例也不在少数,雷锋网就曾报道过多起。

  一般来说,羊毛党大都是采取群控软件+改码软件的手段,不断刷新移动设备的 Mac 地址,imei 等手段,把原有设备伪造成 N 多新的设备,绕过中小平台的风控策略,以薅取电商平台的优惠券或者低价购买平台产品。因此,在很短的时间内,会有重复的 IP 地址、Mac地址、imei等信息不断出现,但中小电商从自身平台看到的上述数据,都是一个个真实的设备。

  总而言之,羊毛世界水很深,下面,让我们复盘下雷锋网曾经对羊毛江湖的报道,拼多多可以来划个重点。

  羊毛党的趋势和羊毛党的新招数

  羊毛党

  1、初期是小作坊。

  一个人有多个账号,邀请亲朋好友可以拿到一些返现红包、邀请红包。这个在电商时代比较典型,也是商家愿意看到的一些正常引流方式。

  2、包工头。

  一个稍具有规模的羊毛党的团体,接到单,对某个店铺进行交易量的刷单,还有一些广告任务。这个规模主要是以学生、家庭主妇为主,撸个小钱,最典型的可能就是一些注册账号,绑定一些身份证账号或者是银行卡号,还有是做一些人脸认证,还包括一些下单的刷单交易、点击广告。

  其实,在这一块儿有比较多的欺诈产生。之前经常会看到新闻,学生被骗,或者是某某被骗,主要也是在这里,他刷单自己投入资金,前期他投资会给他一定的返现,随着后面投的钱多,就会被骗,会遇到直接拿着钱跑路的情况。

  3、专业刷手。

  这个团体已经是比较专业的了,基本上已经形成了上下游完整的产业链。

  像专业刷手,是一个团队,可以直接对活动进行狂撸、狂薅,月入万元是很轻松的,甚至是更多。这个比较典型的场景就像 O2O、电商,还有在共享、互联网、互金等。在互联网业务全面开花,规模也成型了。

  2014年之后,开始出现针对互金的羊毛党。

  主要就是有一些内部平台,因为内部人员也想拉新、募集资金,可能就和羊毛团的团长直接谈判,谈判一些拉新的返现,还有一些能力不强的团长(羊头),可能还有一些上级的代理,这个代理可能是一些广告公司或者第三方平台。

  随着政策的收紧,包括网站平台的跑路,羊毛党也有风险的,所以这一块儿相对比 2014、2015年,2015 年是羊毛党发展最好的,现在羊毛党也有一些风险。

  产业链

  产业链里主要是各种活动信息的共享,还有薅羊毛经验的交流。网上有好多社区、论坛、QQ 群,群里会有羊头,他从平台内部或者上级代理拿一些任务,进行任务分发。

  职业刷手也会在论坛或群里发一些作案的手法还有教程出售,由黑客来寻找漏洞,制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。

  有了这些工具之后,职业的刷手还需要一些账号,账号有卡商和专门出售账号的团伙,卡商基本上会从运营商内部或者代理处拿一些卡,有专业的设备来养卡。

  账号基本上从地下施工库,还有一些黑客进行一些脱库、撞库包括一些木马来采集的一些用户的隐私信息。还有一些钓鱼网站,当然还有一部分就是内鬼泄漏一些我们的用户隐私信息。比如,大家之前经常接到一些广告电话,包括从房产中介、甚至是物业都会泄露一些用户信息。还有一些批量的注册软件注册一些账号。

  这些账号也分等级,不同等级的账号卖的价格不一样,有些最初的账号可能信息有限,还有一批账号可能绑定了一些身份证、银行卡,这个账号可能质量稍微高一些,卖的价钱贵一些。也专门有团伙来进行账号的清洗,还有对账号进行养白,养白就是这些白账号可以正常地参加活动或其它的交易。

  接码平台,主要就是有工具、账号之后,大家注册后一般会收到短信验证或者是用图文验证、或是语音说几句话,这些都有专业的接码平台,用户发送的这些信息直接就通过卡上的号码,直接被电脑提取到一个软件上,这个软件后面就有一些人工进行读码,读取到我这个短信是多少,然后再返回给前端的软件。

  最后面的就是一些套现和协助销赃,比如某一次活动搞的一些充值卡、优惠卡,这个销赃的时候会折扣收买给代理商、店铺,比如说充值卡,充值卡抢到的是多少面额的,可能折扣卖给商家,商家再以一定的折扣再卖给用户,中间就会赚取一些差价。

  还有一些实物的二手市场的一些转卖,这个是信息共享的一些论坛和 QQ 群,基本上各种活动信息,包括一些网盘上的工具,还有一些 QQ 群,基本上都是信息的共享和任务的分发。

  还有群控软件,基本上通过主控设备做操作,就能同步到所有的设备上,通过这个就可以登录多个账号进行一些操作。

  新趋势

  电商购物节点促销活动上遭遇的薅羊毛往往呈现出集群化作弊的现象,成百上千部手机刷同一个APP的新手红包、优惠券。电商平台推出的几万个限量红包就会在极短的时间内,被羊毛党薅走,这样在大促时电商拿出的推广费用,全都被羊毛党薅走,并不能达到预期的推广效果,也不能给平台用户带来真正的实惠。

  当然,大部分黑产还是老的薅羊毛手法,目前存在的一些新手法,其实技术思路其实都是和以前一样的,比如去年发现了一些通过投毒一些通用组件,做插入恶意js做引流或者通过恶意js挖矿的案例。

  不过,相对前几年而言,当前薅羊毛有几个新的关注点:

  一些高级的技巧,比如利用数据库主从分离和缓存使用高并发的条件竞争进行优惠券获取或者刷单。

  过去薅羊毛可能仅仅是‘钱’,而现在更多的还有可能是数据,比如有做信用评级的公司,很有可能通过接口来获取信息,而本来这些信息是需要第三方付费才能使用的。

  一些开放平台存在漏洞,比如微博这样的大社交平台,如果存在漏洞可以进行引流,从而变现。

  攻防对抗

  最开始的就是弱防护,弱防护基本像专业杀手或者是黑灰产就通过模拟器,基本上就可以达到集中式的一些方位,或者做一些薅羊毛的事情。

  随着弱防护加上了,还有一些基础手段,比如设备识别,识别 IMEI 号或者是其它一些信息甄别这个设备。这个也有针对性地出现了一些设备牧场,设备牧场的这种攻击,基本上在一部分上就绕过了对真机的检测。

  验证(电话验证),电话验证上下形成一些短信,包括一些语音验证,这是攻的手段,防的手段也有专业的设备,比如说猫池,卡商就会把一些卡放到猫池的设备上,可以简单理解成虚拟的手机,手机设备可以插多张卡,这个设备连接到电脑,就可以直接读取上行的短信,并且下行发短信。

  后期的一些防范手段又出现了各种验证码,像图文的、文字、问答式的,包括现在出现了一些滑动的行为式的,还有点击式的。攻的手段也有打码平台,后台是人工打码,就是人工来识别验证码。所以,攻防对抗是不断在持续演进。

  除了产业链这些攻防对抗的手段,还需要做哪些?

  1.端上做保护。

  比如说针对一些批量刷接口的情况,可以做一些接口协议上的保护,还有业务逻辑上的一些防护,比如一些活动的一些逻辑防护(推理的一些算法,或函数之类的)。

  2.完善产品逻辑。

  比如刚才的薅样毛案例一,天猫商城的生日积分,它就是业务规则上有漏洞,包括有些产品逻辑上也有漏洞,比如限制这个活动只能参加一次,或者一天只能参加几次,这个是业务上的漏洞。还有开发代码上有一些漏洞,实际上也是逻辑上的遗漏。

  3.防撞库和脱库、用户的信息保护。

  主要是进行一些弱密检测,还有泄露的一些账号,包括黑灰产拿账号进行撞库清洗,这块儿也要做一些防护。

TAG:

分享到:
收藏