拼多多是如何被”薅羊毛”的?
2019-01-21 13:55 拼多多bug 拼多多漏洞 拼多多

2拼多多是如何被”薅羊毛”的?

1月20日,微博大V @互联网那些事爆料,拼多多百元通用优惠券的营销推广出现重大漏洞,无论新老用户,都可以领取100元无门槛券,注意是领取,不是抢购。有网友通过接码平台充值了54万的Q币和64万的话费。

据网上流传拼多多这次损失超过200亿。有的网友表示,拼多多估计要倒闭了。而错过这场“薅羊毛”的网友戏称,一觉醒来错过一个亿。

1月20日,微博大V @互联网那些事爆料,拼多多百元通用优惠券的营销推广出现重大漏洞,无论新老用户,都可以领取100元无门槛券,注意是领取,不是抢购。有网友通过接码平台充值了54万的Q币和64万的话费。

据说专职羊毛党发现了这个大Bug,半夜打电话喊人薅羊毛!有的大牛已经领了上千张100元无门槛券,怕被抓进去于是把领券方式公布于众,于是大批用户开启了薅羊毛节奏。

事情发生后,拼多多也发表官方声明,1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏铜,并正对涉事钉钉进行溯源追踪。同时,我们已向公安机关报案,并将积极配合相关部门对涉黑灰团伙予以打击。

对于此事,i黑马&数字观察采访到了顶象技术反欺诈专家,向他询问了此事发生的原因,带来的影响,以及褥羊毛以及黑灰产的出现对整个互联网企业带来的危害。

01

内控不严和防护体系不规范

虽然媒体报道和拼多多声明中未提到风险发生的原因,顶象技术反欺诈专家分析,造成此问题可能有两个原因:首先可能是个内控不严格,导致过期活动的优惠券未下架,也就是流程没控制好。其次,可能是未做好多层风控体防护,“反欺诈就跟塔防游戏一样,需要层层设防,才能有效防范”。

 

他认为,营销活动应该从多个方面防范:首先,电商平台必须建立营销反欺诈体系:有营销活动时候,业务营销活动要与营销反欺诈体系联动,将业务纳入到营销反欺诈体系的保护之下。

其次,部署专业做风控解决方案:顶象互联网营销反作弊解决方案有效防范营销作弊、刷红包、薅羊毛、推广作弊等欺诈风险。其App加固和专有虚机源码保护有效防范电商客户端、H5、Web被破解入侵,防止攻击者通过端口漏洞进行批量注册、批量登录、批量抢单等。

安全SDK保障电商客户端、存储数据以及数据传输的加密。Dinsight实施决策引擎及时发现各类风险操作,并通过智能无感验证进行有效拦截。此外,Xintell智能模型平台平台根据业务场景和需求建立更贴切的风险模型,进一步提升风控效果。

最后,通过技术手段做异常风险的核验与阻断:如果有超出以上预案的风险或bug,可以通过顶象设备指纹技术能够有效侦测模拟器、刷机改机、团伙作弊等欺诈行为,再借助无感验证工具,能够有效识别机器行为,提供多层次的身份核验,发现超出规则的异常行为,进行二次验证、自动阻断,以降低损失。

02

利用平台漏洞,羊毛党获取大量利益

随着互联网的发展,越来越多的企业需要把业务从线下逐渐搬到线上,通过互联网化的运营,改变传统的运营模式,实现精细化运营,驱动业绩增长。像很多P2P平台、电商、银行等企业都希望通过线上渠道促销业务,吸引用户提升产品活跃。

这些平台每天都会产生海量的数据,数据除了被主流互联网平台使用之外,也在被一些不法分子所利用。再加上移动设备应用广泛、交易速度和频率提高、检测技术不完善,促使企业风控和反欺诈难度不断加大。

所以,在互联网蓬勃的发展背后,已经衍生出一条庞大的、成熟的“黑灰色产业链”。这条产业链可以覆盖金融、社交、电商、游戏等行业。“褥羊毛”及“羊毛党”就在这样的背景下出现了。

微信图片_20190121135043

顶象表示,薅羊毛是根据互联网的营销活动、以低成本甚至零成本换取高额奖励、高收益的一种方式。羊毛党们对搜集各大网贷、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类的信息,通过各种手段抢走这些优惠,然后以相对较低成本甚至零成本换取物质上的实惠。

换一个角度说,薅羊毛是市场经济环境下、唯利是图的本能驱动的行为,科技手段的进步让这一行为更加轻而易举。随着互联网市场进入用户存量博弈时代,加强用户挖掘,提升用户体验尤其关键。

针对用户的营销、促销活动会越来越频繁,这不仅将运营岗位提升到重要位置,也让羊毛党有了更多赚钱的机会。

根据顶象2018年第三季度业务风险监测数据显示,各平台遭遇到薅羊毛风险是在所有业务风险中比例达5.6%。由于操作简单、参与门槛低,薅羊毛已成为电商领域最大的业务风险之一。

i黑马&数字观察了解到,羊毛党有两类,一类是指积极参与各种营销活动,包括但不限于满减、返现、抽奖、优惠券等活动,但并不能给平台带来实际的活跃用户增长的行为。另一类是,羊毛党把薅羊毛当做职业,利用商家或者平台的漏洞,攫取大量利益,更有甚者会进行诈骗。

无论是哪类羊毛党,这些欺诈手段都严重影响到企业的正常运转,影响用户的体验,给企业带来了巨大的经济损失,同时也加重了社会问题。

“黑灰产会一般通过技术和电脑操控,大批量的注册虚假账号,以备薅羊毛、诈骗等牟利使用。而注册账号用的信息,大多来自各个平台泄露的信息泄露。

2018年发生了数起大规模的账号泄密事件,包括华住集团、AcFun弹幕视频网等,涉及账号密码数亿条,这些泄露的信息很大一部分通过地下黑市流入到了黑灰产手中。

黑灰产拿到泄漏的用户和账户信息,进行洗库、“撞库”后,除了网络诈骗、电信诈骗,还会转走账户内的余额、积分等,更会操纵账号进行薅羊毛、刷单、刷票、刷粉等。”

03

“薅羊毛”是否犯法

那么,“薅羊毛”是否违法?

拼多多的声明中提到已经报警。顶象技术反欺诈专家认为,黑灰产的行为在法律主要涉及四部分:

1、通过假冒身份、虚假注册、修改软件等手段获利,都以非法占有为目的,则可能构成盗窃或诈骗。

2、虚构事实、假冒身份、使商家产生错误的认识而主动把钱打给”毛党羊是诈骗行为。

3、购买和冒用他人的身份信息涉及违法;

4、涉嫌滥用公民信息。

以上违法行为的惩罚措施,在《网络安全法》、《刑法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等有明文规定。

顶象介绍到,针对用户信息的保护,去年6月1日实施《网络安全法》第四十二条有明文规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。所以,网络运营者有保护个人信息的义务和责任。盗用他人身份证注册虚假账号涉嫌违反《中华人民共和国居民身份证法》第十七条。

针对用户个人信息泄露或被窃取的问题,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;应当认定为刑法第二百五十三条之一规定的“情节严重”。

“刑法第二百五十三条之一规定”是这样写的:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

据网上流传拼多多这次损失超过200亿。有的网友表示,拼多多估计要倒闭了。而错过这场“薅羊毛”的网友戏称,一觉醒来错过一个亿。

由此可见,对于平台来说,如何做好风险控制、基础运维、预警,杜绝羊毛党等黑产已经越来越重要。你觉得最好的解决方案是怎样的?