顶象 · 2022年11月07日 · 浙江

防薅图鉴之一薅羊毛深似海,牢底坐穿后悔晚

薅羊毛这件事,在黑灰产眼里是永无尽头的。

不久前热播的以网络安全为主题的网剧《你安全吗》便提到了一起薅羊毛的事例。

剧中的羊毛党领导者在与男主的对话中曾透露,作为专业的羊毛党,没有他们薅不到的羊毛,只有他们不想薅的羊毛,并且羊毛党组织人数不在少数。
055c562e41834f209e2764316f0e42cd.png

尽管剧中的羊毛党们最终受到了法律的惩处,但现实中的羊毛党们却依旧充斥在各个角落不为人知。

数据显示,截至2021年我国“羊毛党”灰色产业市场规模逾1000亿元。当然,这个数字还在增长。

羊毛党不可不防

广义的薅羊毛,是指一切占商家便宜的行为,小到排队抢购打折鸡蛋,大到游走于法律边缘钻漏洞,都可以称之为薅羊毛。因此,对于羊毛党来说,上至P2P平台的注册返现金,下至淘宝店铺满减折惠券,都是他们的目标。“薅羊毛”活动中的组织者——“羊头”的任务就是“带货”:搜罗电商平台的优惠信息,甚至以掌握的“羊毛党”资源为筹码与电商博弈,以薄利而求多销,从而为“羊毛党”获得更多的优惠,“羊头”借此从电商方拿到额外的奖励或者佣金。

参与“薅羊毛”的人员称之为“羊毛党”,根据操作与分工不同,分为多个层级。初级“羊毛党”称之为“刷手”,以在校学生、居家无职业人员为主;稍高一级的“羊毛党”,负责给“刷手”下达具体任务、发放酬劳、接受上级平台任务,被称为“包工头”;再高一级的“羊毛党”称之为“小作坊”,一般是在多平台拥有多个账号;更高级“羊毛党”称之为“专业刷手”,多是几个人的小团伙或工作室形式存在;再向上一级就是“团长”,多是公司化运作。

那么羊毛党又是如何精确的找到“受害者”的?

据顶象安全专家介绍:事实上,在羊毛党眼中这不过是放个爬虫监测的事。

产业链的上游是卡商,他们用“猫池”养着大量的手机卡。猫池是一种可同时支持多张手机卡的设备,根据机型不同,插口从 8 到 2048 不等。通过猫池,手机卡可以直接拨号和接收短信,而上游卡商就靠售卖卡号和验证码赚钱。

中游是卡商平台,又称为验证码平台,这个平台上活跃着两类人,上游卡商和下游羊毛党。卡商将手机卡号码和验证码放到平台售卖,羊毛党可以在平台购买,平台提供软件支持、业务结算,赚取分成。根据验证码属性不同,平台与卡商分成比例也不同。

下游数量庞大的羊毛党一般活跃在贴吧、社区、QQ群等社交媒体,他们提前准备好账户和软件后,会实时关注各类优惠信息,发起进攻。

一旦羊毛党们找准目标,后果也是不堪设想的。

来看几个例子:

2018 年 12 月,某咖啡品牌上线“APP注册新人礼”营销活动,遭受羊毛党大规模攻击。他们利用大量手机号注册该APP的虚假账号,并成功领取活动优惠券,导致该品牌的营销活动两天即停止。

2019 年 1 月,羊毛党利用某电商平台“无门槛 100 元券”存在的bug薅羊毛,仅支付少量资金即可不限量领取 100 元无门槛券。根据网络上流传的真真假假的截图中显示,有用户称熬夜借助漏洞充值了几十万元话费,更有消息称该电商平台一夜之间被薅走数千万元。

2020年 11 月,淘宝店铺果小云,因为不熟悉操作,误将26元4500克的脐橙写成了4500斤,结果被一群职业羊毛党一晚上下了几万个订单,一夜之间损失700万,逼得店主跪下求退单。

而在更多不为人知的角落里,还有更多受害者。

1af55a6d7b74460fb8e54a1964c1a00d.png

并且如今的羊毛党们除了产业链规模化专业化,目前“羊毛党”的攻防技术也演进到较高水平——即通过大数据和人工智能技术来绕过传统的防控策略。

那么,如何有效防范羊毛党呢?

如何让羊毛党们“无羊毛可薅”?

对于羊毛党而言,不仅要防更要主动出击,验证码和设备指纹是应对羊毛党的有效工具。

验证码能够有效防范“薅羊毛”风险,同时防范信息窃取、刷票刷流量等风险。

防范“薅羊毛”:通过各种优惠促销活动吸引注册用户是平台和企业主要的拓客手段。如果不能够有效安全手段防范那些职业的“羊毛党”,原本属于新用户的合法权益很容易被“薅羊毛”。“羊毛党”不仅破坏了正常的营销规则,白白消耗大量活动资金,更无法保障新注册用户的精准性,导致营销活动效果功亏一篑。验证码能够实时判断注册登录用户是否异常,及时发现并拦截程序化的批量注册、恶意登录等欺诈风险,将“羊毛党”挡在外面,让营销更加精准有效。

防止信息遭窃取:金融信息数据是银行重要资产,不法团伙利用网络爬虫盗取信息数据,不仅造成用户隐私信息泄露,更会用户和银行带来资金损失。验证码能够阻挡恶意爬虫盗用、盗取数据行为,防止个人信息、金融数据泄露,有效避免因恶意登录导致的密码泄露、账户暴力破解等风险事件的发生。

防止刷票刷粉刷榜:网络投票是建立在网络投票系统上的,结果完全由程序输出,无需人工参与。刷榜就是利用的技术或其他手段批量伪造下载数量、好评数量、点赞数量等,提升目标在排行榜中的位置,吸引关注和使用。“刷”出来的数字是一种泡沫,不仅给用户带来经济损失,更破坏了公平的秩序,影响了生态发展,给行业带来恶劣的示范作用。验证码能够帮助平台实时发现并拦截刷票刷粉刷量,提升投票平台的安全,保障业务的公平性。

同时,顶象无感验证是一个以防御云为核心,集13种验证方式,多种防控策略,以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。其汇集了4380条风险策略、112类风险情报、覆盖24个行业、118种风险类型,防控精准度>99.9%,1天内便可实现从风险到情报的转化,行业风险感知能力实力加强,同时支持安全用户无感通过,实时对抗处置能力更是缩减至60s内。5年来,顶象防御云拦截2.7亿次薅羊毛行为,保障数百万商家的营销安全。

除验证码外,设备指纹也是一个有效的手段。成熟的设备指纹技术,可以针对性地揪出常见的黑产改机框架、改机软件、伪装软件等,识别出设备所在的系统环境是否异常。

当然,除了行业与企业加强技术防范外,还需要产品业务层面和制度立法等方面的共同推进。《网络安全法》已经有些拘役和罚款的案例,对羊毛党也会有些震慑作用。
——————
业务安全产品:免费试用

电商平台也应当在定价审核、用户资质、交易监督等方面投入更多精力,弥补技术漏洞,为消费者和商家营造更加公平的交易环境。

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息