深度揭密:十萬羊毛黨圍獵拼多多,電商巨頭如何反擊?
9.9元的跑步機,9.9元的冰箱,9.9元的平衡車,
在各大APP晃來晃去的廣告上,拼多多渾身都散發著誘惑的氣息,
如果你被這些廣告吸引進去,9.9元的跑步機就變成了概率極低的抽獎。
在猛薅使用者羊毛之後,拼多多也被“灰黑產”薅了一把。(之所以“灰黑產”加引號,是因為在拼多多所稱的灰黑產中,有不少是看到擼羊毛攻略的真實使用者)
自20日凌晨起,拼多多的一個神級bug被羊毛黨探測到:無門檻100元券,而且這個券全場通用。
(凌晨,羊毛黨們呼朋喚友)
全場鼎沸都不足以形容,羊毛黨們在微信群、賺客網站呼朋喚友,甚至直接打電話相互通知。他們的矛頭對準了最容易變成現金流的話費和Q幣。
在黑奇士(id hqssima)所在的羊毛群中,不少人擼了幾百元的話費。也有人頭腦靈活,把手頭未實名的QQ衝入Q幣,然後打包銷售,賺了一把快錢。
早上九點多,當“拼多多百元券攻略”在賺客網站和微信群發酵的時候,羊毛黨的先行者們已經在QQ群中交流著心得:
“你擼的話費到賬了沒?”
“現在領券都開始卡了,估計拼多多馬上要關介面”
“出9位QQ帶200 Q幣,懂的帶價來”
活躍在網上上萬QQ群和微信群、幾十個賺客網站、以及數十萬羊毛黨的微信朋友圈,構成了羊毛黨的地下江湖。
(目瞪羊呆)
他們如同一群餓狼,發現漏洞就一擁而上,把對手撕得粉碎。在過去幾年裡,阿里、京東、蘇寧、唯品會這樣的巨頭都會成為目標。
拼多多,是放在祭臺上最新的那隻羔羊。
砍單:在斷臂止損和為名譽認虧之間的權衡
根據拼多多的最新公告,“黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券,進行不正當牟利。針對此行為,平臺已第一時間修復漏洞,並正對涉事訂單進行溯源追蹤,同時已向公安機關報案。”
用羊毛黨的行話說,拼多多砍單了。實物商品被鎖定不許發貨,話費被追索,充Q幣的QQ號被鎖定無法登陸。
此前,還沒有同等量級的電商巨頭做的這麼絕。
2017年雙十一,天貓出現優惠規則的設計漏洞,黃金品類在使用優惠券疊加之後,可以做到6折左右的低價,每克黃金有30-50元左右的利潤空間,訊息在QQ群爆出後,開始有使用者大量下單,甚至有的收貨地址買了十多條項鍊。
(天貓追回了已發出的快遞)
於是,天貓悍然砍單,甚至有些已經發出的快遞也被追回,這種做法在當時也引起網民的巨大爭議。
拼多多釋出公告稱:此次優惠券為線下券,從未在線上釋出,是黑產團伙通過技術手段獲得,涉嫌欺詐。事件發生後,公司迅速向公安機關報案。目前公安機關正在調查過程中,因涉案金額巨大,預計將會對涉嫌套券詐騙、牟取鉅額不當利益的涉事黑灰產團伙追究刑事責任。
這種做法比天貓的砍單更進一步。如果沒有合理解釋的話,預計將引起更大爭議。
羊毛黨有專用軟體:京東搶單軟體高達20多種,支援數萬賬戶
在古龍的小說中,有“七種武器”的說法。在羊毛界,也早就實現了工具的升級換代。從註冊賬號到搶貨打碼,都可以用軟體來自動完成。
黑奇士在某賺客網站上看到,僅僅針對京東,就有天啟、神馬哥、大黃蜂等二十多種專用軟體,功能包括搶券、批量下單、價格監控等。某搶貨軟體專門錄製了功能視訊,視訊中表示該軟體技術最好,不但打碼不延遲、價格監控最有力,關鍵是可以支援最多5萬個賬號同時下單。
(羊毛網站提供工具下載和賬號買賣)
天貓、蘇寧、唯品會、拼多多也各有各專用的搶貨客戶端,各種軟體林林總總有五六十種之多。
這些軟體可以自動採集網上的線報,探測電商們的神級優惠券,發現某個網店的bug價。一旦出現漏洞,則蜂擁而上,十分鐘內可以下幾萬單,不少網店因為設定錯了優惠券規則,被這些軟體背後的羊毛黨擼到關店。
羊毛黨是怎麼發現神級優惠券的?
在拼多多最新的公告中說,這些百元券本來是用於線下活動,在江蘇衛視的現場活動中由現場嘉賓領取,從來沒開放過線上投放。只是黑產團伙不知道通過什麼手段獲得了優惠券的發放介面,生成二維碼在微信群、QQ群中傳播。
黑奇士請教了風控領域的專家,像這種僅限線下領取的優惠券,通常會進行多維度的限制,比如一臺裝置僅限領取一張,領取時間僅限活動舉辦時,領取裝置需處於某個IP段之內,領取的賬號需符合事先約定的規則等等。
發現這種優惠券可能有兩種途徑:要麼是羊毛黨通過軟體指令碼(比如上文所說的監控軟體)探測到了優惠券的發放介面,從而獲取並生成了有效的優惠券;要麼就是拼多多和江蘇衛視合作的過程中,相關工作人員獲取相關線索,再找到專業羊毛黨突破了技術限制。
如果是軟體探測到的,可以解釋為什麼凌晨出現漏洞,直到早上八九點鐘才大規模擴散。因為這些軟體基本都掌握在專業羊毛黨手裡,他們發現之後會動用貓池、接碼平臺等專業工具,註冊大量新賬戶(或買來符合規則的老帳戶)來領券。
(某工作室的手機群控,一臺電腦可以控制100臺手機)
無論是註冊新賬戶,還是成千上萬個賬戶自動領券,都可以通過伺服器、軟體和手機叢集來自動完成。只有他們薅足了油水之後,才會把線索放到賺客網站和羊毛群,由中小羊毛黨來喝湯。
如果是內鬼,或活動相關人士外洩的優惠券介面,那此次活動很可能是經過了周密策劃,專門選定了凌晨這個時段來完成。綜合多種因素來推測,這種可能性相對較低,但仍然有一定的可能性。
但無論是那種途徑,都意味著拼多多的風控、安全系統出現了大問題,這個在下面我會詳細寫。
高階黑產:AI被用於羊毛黨對抗 地產富二代月入70萬
黑奇士採訪的資深業內人士表示,在本次拼多多羊毛事件中,那些薅了幾百元話費還美滋滋的,都是底層小羊毛黨,他們冒著最大的風險,賺的卻是最微薄的利潤。真正賺大錢的是開發擼羊毛軟體的公司,以及專門研究電商平臺運營策略的“擼客大牛”。
2017年3月,紹興警方在瀋陽破獲一個高智商犯罪團伙,該團伙建立的“快啊”打碼平臺專為網路黑產和灰產識別破解字元型驗證碼提供技術幫助。所謂打碼平臺,就是利用機器、或者人工方式識別各大網站為了防止機械刷單,而建立的各種驗證碼。
(某打碼平臺介面)
警方對“快啊”平臺數據分析獲知,接入該平臺提供驗證碼識別服務的軟體有100多款,從2016年6月到2017年3月,平臺資金進賬累計達1650萬元。
為該平臺提供技術支援的是一個34歲的“地產商富二代”,名字叫楊柯。他父親是當地房地產開發商,他和妻子兒子住在廈門一處140多平方米的豪宅裡。
楊柯畢業於某大學計算機專業,研究人工智慧十餘年。他使用伯克利大學的資料模型,引入大量驗證碼資料來對驗證碼識別系統提供訓練,把機器識別驗證碼的能力提高了2000倍。
(楊柯的驗證碼訓練庫)
楊柯在本案中共分得300餘萬元,多得時候每個月就能分得6、70萬元。類似楊柯這樣的技術牛人,在整個羊毛黨黑產中獲取了最大的利益份額,也就是羊毛黨頂端,那群賺大錢的人。
防範羊毛黨:需要綜合性立體化防護
拼多多這種被爆出來鉅額損失的羊毛黨案例,僅僅是冰山下的一角,像同等量級的阿里、京東等網站,每年至少要遇到成千上萬起的羊毛黨攻防案例。只不過大量的案例,在羊毛党進行攻擊準備的時候已經被發現。
DataVisor中國區總經理、風控專家吳中博士向黑奇士表示,羊毛黨攻防是個綜合性、立體化的體系,原有單一的規則類防護已經不合時宜。他舉例說,要想完成拼多多這樣的羊毛案例,首先需要掌握大量的號碼資源用於註冊新賬號(如果是老賬號,則需要從暗網購買,或者本身就是養號大戶),再用貓池來收發註冊簡訊,並使用手機叢集來繞過平臺對單一裝置的限制。這一系列的工具和軟體,至少需要幾百萬元的投資,資金和技術門檻極高。
從平臺端來講,這麼大量的註冊賬號、異常登陸試探領券、異常的優惠券兌換,如果設定了完備的防護體系,通過機器學習完全可以在攻擊發生之前發出警報。
吳中解釋了“機器學習防護模型”和“規則類模型”的區別,比如規則類模型,就是在事先規定,一個IP只能領一張券,如果這條規則被羊毛黨試探出來,他們就會想辦法通過變換IP地址來繞過。
(DataVisor無監督機器學習引擎概念圖)
而機器學習會把試探性的賬戶登陸、試探登陸所處的IP段、試探賬戶的等級(用於測試的通常是白號)等幾百個因素通盤考慮,將其納入統一的模型之內,機器會通過輸入輸出的效果,自動學習自動生成規則,從而可以在攻擊之前發出警報,提高對羊毛黨的防護效率。
反擊羊毛黨:電商巨頭們輸不起的戰爭
這次拼多多被薅羊毛事件,一時之間震驚業界。
讓人震驚的地方首先在於損失額可能極大,儘管拼多多自稱損失數千萬,但有人懷疑損失遠不止這個數字。
拼多多損失巨大,不僅是金錢上的損失,使用者信任的損失更無法衡量。
畢竟發生問題的是拼多多的優惠券,如果拼多多再做優惠券活動,使用者是參加不參加?無論參不參加,都會陷入兩難境地。
另外,黑奇士在這裡吐槽一下各家的電商對風控的偏見:
從古都今,“安全風控”從來都是一個爹不疼娘不愛的孩子,在領導們眼裡,銷售能帶來銷售額,安全部門從來都是麻煩,不但花錢無數,看不到效果,還往往在促銷、商業運營的時候提各種建議,這個不安全,那個不安全,嚴重影響“運營效率”。
像拼多多這種瘋狂增長的怪獸級公司,更是把成長效率放在第一位,而安全、風控,目前看來做的並不到位。
如果安全做到位,薅羊毛需要的那麼多環節,從註冊賬戶到運營上線,哪就那麼容易被薅了?
在對羊毛黨的戰爭中,平臺永遠處於弱勢,而且在可見的未來不會改變。即使是阿里、京東這樣的公司,也需要如履薄冰、戰戰兢兢。
本文前傳: