来源:中科院之声
一、 大话始末
小白:大东东,你听说那个大型“薅羊毛”狂欢了么!
大东:当然知道了。从1月20日凌晨开始,某网购平台出现漏洞,用户可以任意领取100元无门槛券。有大批用户开启了“薅羊毛”的节奏,利用无门槛券来充值话费、Q币。
小白:是啊,4毛钱就可以充100块话费呢!厉害的“羊毛党”直接给自己储备好了够用十几年的话费,超过50万的Q币!
大东:该网购平台当日中午发表声明,表示已在第一时间修复漏洞,并正对涉事订单进行溯源追踪。
某购物平台无门槛优惠券(图片来源:虎嗅)
小白:没想到“薅羊毛”能“薅”出个几千万啊,真是不得了!
大东:事实上,“羊毛党”早已成为网络黑产的重要力量之一。网络中存在着无数专门分享“薅羊毛”线报的QQ群、微信群等。有人专职在群里分享“羊毛”信息,随即“羊毛党”便集体出动占便宜。
小白:那就是说,不止这个网购平台遇上这种事了?
大东:是的,还有不少其他应用也曾遭“羊毛党”毒手。比如支付宝双十二推出的“10亿红包瓜分活动”,就有单个用户获取了上百万红包金额;小米旗下电商优惠券遭刷单,损失近5000万;天猫平台“生日礼包”被“薅羊毛”,假刷单14亿元获取7亿多积分,损失671万余元;星巴克APP注册新人礼遭刷单,黑灰产虚假注册量达到40万。
小白:真是不数不知道,一数吓一跳啊!以后商家还敢做活动嘛!
大东:层出不穷的“薅羊毛”事件确实让企业蒙受巨大损失,尤其在互联网市场的线上营销活动中,这类事件发生的概率更大,商家想做推广却又担心被“羊毛党”盯上。
二、“薅羊毛”的发展史
小白:我还以为其他人都和我一样只是转发个朋友圈,分享下亲友群呢。
大东:初期的“羊毛党”确实是这样的小作坊形式。也许一个人会拥有多个账号,通过邀请亲朋好友拿到一些返现红包、邀请红包。这个在电商时代比较典型,也是商家愿意看到的一些正常引流方式。
小白:这属于常规操作。
大东:一个稍具有规模的“羊毛党”团体是包工头形式的。他们接到单后会对某个店铺进行交易量的刷单,还有一些广告任务。最典型的是一些注册账号,绑定一些身份证账号或者是银行卡号,做人脸认证,还包括一些下单的刷单交易、点击广告。
小白:身份认证?听起来怎么有点欺诈的赶脚?
大东:这一块儿的确有比较多的欺诈产生。咱们经常看到新闻报道网民被骗,主要也是在这里。
小白:情况开始不妙,还有更大的组织么?
大东:专业刷手是一个基本上已经形成了的上下游完整的产业链。专业刷手,是一个团队,可以直接对活动“狂薅”,比较典型的场景就像 O2O、电商,还有在共享、互联网、互金等。
小白:难以想象竟然有人靠每天领券赚钱呐!
“羊毛党”(图片来源:百度)
大东:产业链里主要是各种活动信息的共享,还有“薅羊毛”经验的交流的社区、论坛、聊天群,群里会有“羊头”,他从平台内部或者上级代理拿一些任务,进行任务分发。职业刷手也会总结作案的手法并出售教程,由黑客来寻找漏洞,制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。
小白:这还出现“周边”产品了。
大东:有了这些工具之后,职业的刷手还需要一些账号,账号有卡商和专门出售账号的团伙,卡商基本上会从运营商内部或者代理处拿一些卡,有专业的设备来养卡。
小白:这是产业链的另一端。
大东:账号基本上从地下施工库,还有一些黑客进行脱库、撞库,利用木马来采集的一些用户的隐私信息。此外,还有钓鱼网站和内鬼,泄露了我们的用户隐私信息。比如,大家经常会接到一些广告电话,包括房产中介等,甚至是物业都会泄露一些用户信息,通过网络注册的账号信息就更不用说了。
小白:那岂不是信息越全乎,咱越危险啊。
大东:信息有限的账号售价较低,那些绑定了身份证、银行卡的账号卖的价钱就贵一些。也专门有团伙来进行账号的清洗,还有对账号进行养白,让这些白账号可以正常地参加活动或其它的交易。
小白:可怜了咱小用户。
大东:此外还有接码平台——读取用户接收的验证信息;协助销赃团队——负责将薅到的“羊毛”专转卖出去,获取差价;群控软件——能一次操纵多台设备,批量“薅羊毛”。
小白:真是从头到尾“一条龙“啊!
大东:“薅羊毛”的手段一直在升级中,还有更高级的技巧,比如利用数据库主从分离和缓存使用高并发的条件竞争进行优惠券获取或者刷单。过去“薅羊毛”可能仅仅是“钱”,而现在更多的还有可能是数据,比如有做信用评级的公司,很有可能通过接口来获取信息,而本来这些信息是需要第三方付费才能使用的。
小白:信息安全隐患啊!
大东:没错,如果开放平台存在漏洞,比如微博这样的大社交平台,是可以实现引流,从而变现的。
三、 对抗恶意羊毛党
小白:那就没有什么办法阻挡可恶的“羊毛党”了么?
大东:一些基础的手段,比如设备识别——利用设备信息甄别设备的独特性。还有复杂的验证码——图文、文字、问答式的,滑动点击动作的,在一定程度上能阻碍“薅羊毛”的速率。
小白:我觉得还是得从根源遏制“羊毛党”!
大东:是的,这次网购平台被“薅羊毛”主要原因是企业安全意识不到位,缺乏相应的技术检测预警机制,没有采用类似智能分析算法等新技术,才会导致如此大的损失。
羊毛党(图片来源:百度)
小白:那企业接下来该怎么升级捏?
大东:首先,必须加强内部管理,提高安全意识。
小白:意识最重要!
大东:在预防阶段,可以利用大数据分析平台查找出定期恶意扫描行为,将这些IP加入防火墙策略,增加“羊毛党”IP池的成本。
在活动发布前,将一些特定数据指标重点检测,例如:新注册账号数突然增加、购买IP持续在线、大量订单收货地址固定、某几个手机号、QQ号交易剧增等。在事件爆发阶段,可以通过用户行为分析(UEBA)发现异常行为用户(刷单),通过AI智能异常分析查找到异常流量。
在事件发生后,通过溯源机制对事件来源IP进行取证,协助公安机关破案。
小白:事前、事中、事后都要警惕!
