没有人知道,羊毛党将来会发展成啥样,也没有人知道,羊毛党的未来会面临着什么。监管越来越严格,防作弊的技术手段也越来越新,也许有一天,羊毛党会从我们身边消失,也或者在未来的日子里,他们会成功洗白,变成某种“全新”的行当。
“与其在不确定的互联网、区块链风口里做一只漫天飞舞的猪,不如做个牧羊人,薅薅圈里的羊,薅出一片属于自己的‘局部小康’。”——网友@薅界宋慧乔
1分钱返利,月薅十万
近日一淘宝店家因操作失误,将26元4500克的脐橙写成了4500斤。网红up主发现漏洞后立即在其“羊毛群”中号召粉丝前去“薅羊毛”,又在商家无法发货的情况下,恶意投诉“商家虚假宣传”以获取赔付保证金,导致该店铺直接关店,一家店铺转瞬间,就活活被薅死了。
尽管之后,平台做了相应的保护,但是鲜为人知的是,“羊毛”的世界里,这只是一个小小的案例,天下商人苦羊毛党久矣。
2015年,快操盘推出“充1分钱返500元”的活动,无限制提款,一夜被薅近亿。
2018年,星巴克上线“星巴克App注册新人礼”活动。羊毛党迅速注册大量虚假账号,领取活动优惠券,导致星巴克紧急下线活动。根据相关数据估计,短短一天半的时间,按普通中杯售价估算,星巴克损失可能达1000万。
2019年双十一过后,拼多多市值下跌,总市值蒸发近120亿美元,折合人民币为840亿人民币,许多人认为,超过5亿的买家在拼多多上“薅羊毛”,造成了严重亏损。
不要单纯的以为薅羊毛不过是早些年超市促销,大妈排队买低价促销鸡蛋的变体。真正的羊毛党对各大网贷平台、电子商城、银行、实体店等各类渠道的优惠促销活动、免费业务之类的信息有极强的兴趣。他们有选择地参与活动,以相对较低成本甚至零成本换取物质上的实惠,甚至有组织有纪律有团队地进行作战。
薅羊毛是分段位的,像前不久双十一大促期间,每天在微信群里到处发口令红包、求好友帮忙“盖楼”,砍价分到的红包充其量只是小意思,能把一家店铺薅哭、薅死,而且月入数十万的,才有资格进入“羊毛党”的殿堂。
还是要强调一下,我们所说的羊毛党,不是日常抢个几块到几十块不等的红包以自娱的凡人,而是大规模靠技术或人工手段,钻漏洞靠薅羊毛获取利润的群体。
在中国,专门以薅羊毛为生的就有几百万人,他们或“全职”或“兼职”,从搜集优惠信息、购买账号、销售工具、实施攻击到倒卖、分赃,薅羊毛已经形成了一条分工细致的成熟产业链。
红包、优惠券、抽奖、打折、秒杀……都是“机会”。堆积起来的“羊毛”成山,利润可观,团伙作案的黑客羊毛党,一分钱的返利,莫说十万,月薅上百万者也大有人在。
黑产羊毛党的本质其实就是赚商家和平台的补贴差价。传统的黑产羊毛党会以促销价大批量抢购促销品,再另找渠道卖出去,赚取差价。而另一类黑产羊毛党,则跟商户串通好,赚电商平台的补贴。下假单,商户在后台收到订单后不发货,而后双方再瓜分平台给的补贴金额,既刷了商家的量,黑产羊毛党也不会卖不出去东西,把货砸在手里。
薅一把大羊毛,流程是比较复杂的, 需要很多步骤:
1.评估风险并找到适合下手的活动。
2.获取手机号。
3.用手机号注册帐号并通过平台的认证。
4.获取设备(手机)。
5.购买秒杀工具。
6.操作薅羊毛。
7.分赃。
在高级别的薅羊毛里,上面的链条里,每一步都有成规模的公司在运作,每个环节需要付出成本。因此黑产羊毛党也有自己的原则,并不是天下羊毛一把薅,而会在实际操作过程当中谨慎选择对象,评估不同对象的攻击难度和需要付出的代价,从而下手。
羊毛江湖里的门道
职业羊毛党的诞生,是从大型互联网公司有新用户补贴那天开始的。
所以,自套取新用户补贴开始,羊毛党有过野蛮生长的时期,到目前为止这也是一种常见的手段。此后的发展,羊毛党也渐渐有了自己的五大门派:
刷单派:利用刷单或刷号的软件,或者收集很多的用户信息,针对某一平台、某一活动进行刷单刷票刷量等行为,从而刷取赢得平台利益的机会。
任务派:完成平台发布的指定任务获取相应的利益。这些任务可能是注册、完成问卷、绑定身份证/银行卡等信息获取型,薅羊毛党都只把这些任务当成一个获得利益的渠道。
黄牛派:黄牛也是薅界一员,而且羊过拔毛,黄牛党利用信息获取的及时性、设备的领先性以及团体合作的力量,通常会对一些有明显热度的产品进行垄断,进而再以高价转手获取利益。
黑客派:这一类黑客通常是利用平台安全的漏洞,直接攻克产品或平台的防护机制,进而套取大量的利益,甚至将羊毛薅光。比如经常有积分商城被黑客攻击,将一些直充型的产品兑光,套走利益后走人。也有黑客以数据为攻克目标,卖数据为获利方式。
漏研派:专门研究各个互联网平台发布的优惠活动中间存在的漏洞,进而通过破解手段去得到相应的利益。比如共享单车的红包网上也有专门的如何足不出户破解的方案,薅羊毛族通过这些破绎方式也能够获益匪浅。
门派虽多,但一般情况下,其内核不变,都是为了赚平台的钱,每一支门派详细说来也能单独成篇,这里先按下不表。
言归正传,我们都知道一般App新用户注册都有补贴,多数是使用门槛很低的优惠券,比如:买10块钱的东西就能减9块。如果用户每次买东西都想要优惠,那么每次用新手机号注册就行。
一般人因为只有一个手机号,所以都只会注册一次享受一次优惠。但是有需求自然就有供给。一条专门的养卡、注册账号、代收短信验证码、薅羊毛的产业链也因此形成了。
产业链上游是卡商,用“猫池”养着大量手机卡。(注:猫池是一种可同时支持多张手机卡的设备,根据机型不同,插口从8到2048不等。)通过猫池,手机卡可以直接拨号和接收短信,而上游卡商就靠售卖卡号和验证码赚钱。
中游是卡商平台,又称为验证码平台,这个平台上活跃着两类人,上游卡商和下游羊毛党。卡商将手机卡号码和验证码放到平台售卖,羊毛党可以在平台购买,平台提供软件支持、业务结算,赚取分成。根据验证码属性不同,平台与卡商分成比例也不同。
有从业者表示:语音类验证码五五开,短信类验证码三七开,卡商占七成。目前较大的卡商平台有星辰、The wolf、爱乐赞等。平台手机卡很多,有的平台甚至能提供上万个网站的接收验证码服务,几百万张手机号。
除了手机号,微信号也是销售对象。根据《腾讯网络安全与犯罪研究基地》公众号发布的黑产市场微信号价格的变化趋势数据:2018年6月,微信新号的价格8元一个,老号价格70元一个。
下游则是数量庞大的羊毛党,一般活跃在贴吧、社区、QQ、知乎群等社交平台,发布各种薅羊毛信息,还自有一套师傅带徒弟的体系,收费几十数百不等。
当笔者加入一个“羊毛党”QQ群后发现,群管理员会不断在群里刷新“薅羊毛”的线报。一位群成员说:“这只是一个散群,一个‘羊头’能同时管理十几个像这样的散群,盈利模式也很多,比如他们会请黑客去‘挖洞’破解平台的活动。除了自己‘薅羊毛’,还会把破解方法在群里兜售,甚至直接免费发布在群里”。
整个薅羊毛的团队、操作流程被安排的整整齐齐,人员分工明确,在法律照不到的地方,有了自己的庞大帝国。
打响“羊毛”保卫战
从O2O到P2P,从各种网约车、共享单车的兴起到目前出于风口上的区块链行业,可以说互联网每一个大的浪潮都是一次灰黑产业发迹的狂欢。
随着浪潮而来的依靠大量资本注入而进行的客户争夺大战,铺天盖地的优惠券、新人红包、免单服务,让很多互联网用户第一次意识到原来自己的账号如此“值钱”,大多数人都应该享受过饿了么或者美团外卖的免单服务或者一元午餐,但只有羊毛党看到了其背后巨大的利益诱惑。
不论哪一个行业的兴起都会经历野蛮生长、商业模式的盲目复制、近乎疯狂的补贴大战这个过程,想想过去的拼多多,滴滴打车,美团外卖,锤子科技可见一斑。在整个用户生命周期内,拉新、获客、促活的运营活动依靠着资本的大量注入,动辄千万、上亿级别的烧钱大战,正是这样庞大的资本投入为黑灰产业提供了巨大的利益空间。
大量的投入,并没有获得理想的效果,反而让资金精准的流入了黑产的口袋里。资本有错吗?没错,那么,哪个环节除了问题,才会让黑产有机可趁?有专家说,是业务安全的锅。这是商家、企业最需要注意的地方。
在业务设计方面,以下四点是羊毛党入侵的主要档口。
1.使用条件。满减券安全系数肯定大于无门槛券,满额条件理论上越大越好,但是出于客户使用门槛考虑,制定要相对合理。有时候1分钱的门槛,就会出现不同的效果。比如站在安全的角度上就有着极大的区别,1分钱对于正常用户来说几乎没有影响,而对于黑产来说,多这1分钱的门槛意味着要多走一步支付流程,就是这一步流程或许就能暴露出有用的信息。
2.有效期。3天要比30天安全的多,缩短了黑产转卖、流转的时间,黑产利益链的下游是要在一些类似淘宝的第三方平台售卖变现的,缩短的有效期等于变相增加了其变现难度。
3.使用账户限制。同样对正常用户几乎没有影响,但是限制了黑产的转卖路径。
4.领取渠道。目前黑产的自动化脚本或者说作案成本在h5、网页、app依次增加。
从源头——业务安全方面着手,需要在业务上线前进行缜密的业务逻辑设计、梳理,将最大的风险提前规避,是防止被薅羊毛的关键,关于这点,更加细致的方案,《商界》有相关产品、工具包,能够帮助企业和公司解决,在此不展开赘述,有兴趣请后台留言。
很多设计得当的运营活动本身就可以规避80%的安全隐患,但这要求必须十分了解黑产操作流程,技术层面只能作为辅助,有一个合理的业务逻辑才是重中之重。
最近几年来,与各大电商平台间的不断的高强度对抗,黑产的规模、资源积累、软硬件配置、人员素质、响应速度、信息同步、作战素养远远超出我们的想象。像支付宝这样的大厂都能被薅几百万羊毛,背后规模可想而知。商家也尽可能想尽各种办法,避免黑产的猖獗,但收效甚微。
业务在明,黑产在暗,本身在对抗层面,企业就处于劣势,黑产有充足的时间通过小规模的试探来找到线上的业务规则,从而进行后续大规模的攻击。因此,曾经有多少商家都梦想着能打一场漂亮的保卫战,可终究只是梦想。打赢黑产攻防战,还有很长的一段路要走。
业务部门的话语权太强,对于安全隐患没有考虑完善,仔细回想业务本身,影响转化率的因素其实有很多。另外很多业务部门在活动设计的时候太过于理想化,或者太低估黑产的实力,之前被羊毛党大军薅破产的P2P企业还有拼多多的案例都还历历在目,但对行业的警醒作用却微乎其微,不免引人思考……
一边,羊毛党们总是忙着占便宜,被人讨厌着,而另一边,羊毛党也有拥趸。
初建平台、融资平台、小品牌小产品都比较喜欢薅羊毛党,一是为了能够扩散点影响力,二是数据好看,便于向投资人展示,也给市场注入了一些兴奋剂。
在笔者看来,黑产之所叫黑产,其始终是躲在阴暗处,踩着红线进行的游戏。吃苦受难的是普通消费者和商家。
羊毛党是个产业,更是一个江湖,有只是为了糊口的小散户,有论坛里随便漏一点就能让大家吃上一口的小牛,也有已经从论坛隐退,经营自己财富圈子的大牛。然而,即使是大牛也没有站在生态圈的最顶端,还有一些巨鲸一般的存在,他们躲在更深的暗处,用更隐蔽的手段,撷取着旁人无法想象的巨额财富。
没有人知道,羊毛党将来会发展成啥样,也没有人知道,羊毛党的未来会面临着什么。监管越来越严格,防作弊的技术手段也越来越新,也许有一天,羊毛党会从我们身边消失,也或者在未来的日子里,他们会成功洗白,变成某种“全新”的行当。
但不管怎么说,只要羊毛党们还依旧存在,那江湖,也依旧还会是那个江湖……
作者:马冬
