“薅羊毛”，“搞黑產”，淘寶優惠的最大贏家到底是誰？

最近，差評默默見識到了一次羊毛黨的可怕。。。

不知道各位差友們有沒有聽說過這個詞。

羊毛黨

以80后為代表的白領，對搜集各大網貸平臺、電子商城、銀行、實體店等各渠道的優惠促銷活動、免費業務之類的信息產生了濃厚的興趣。他們有選擇地參與活動，從而以相對較低成本甚至零成本換取物質上的實惠。這一行為被稱為“薅羊毛”，而關注與熱衷于“薅羊毛”的群體就被稱作“羊毛黨”

而在不久前淘寶的一次新會員的激勵活動中，羊毛黨們也再一次行動了起來。。。

一周前，淘寶針對新注冊用戶，出了一系列的激勵政策。

而活動很快淪為黑產“薅羊毛”的對象，并在一周內形成完整產業鏈。黑產從業者“一日薅出7千元”、“3日獲利5萬”。

而這一切得以實施的重點，是支付寶存在一個“非實名可轉賬”規則，這個規則被黑產利用，正在淪為洗錢通道。

在這場攻防大戰中，淘寶步步為營，修改規則；黑產見縫插針，無孔不入。

攻與守之間，不僅需要斗智斗勇，還需深諳人性…

01黑產狂歡

一周前，淘寶對新注冊用戶，推出一系列優惠活動，其中一個是充值30元減5元優惠券。

活動一推出，立馬攪動黑產鏈條，各大黑產群針對該活動，制定一系列薅羊毛攻略。

刷客小欣研究了一輪風控規則后，發現確實有利可圖。

他從軟件平臺，購買了代注冊和驗證碼收取業務，“一天薅出來7000元”。

黑客會針對各大平臺的優惠活動，開發批量注冊軟件。

這些軟件，匯聚到一些大的軟件平臺上，公開售賣。而這場淘寶的注冊，除了注冊機，還需要模擬器協同操作，成本價6毛到一塊。

淘寶活動的第一天，類似小欣的刷客就大量涌入，在軟件平臺上批量注冊領取優惠券。

而這些獲取的優惠券，刷客的消化方式是，賣給一些淘寶的充值店鋪。

比如一些淘寶店，充值30元，可打折到29元，而他們使用優惠券，只需要25元就能完成充值，凈掙4元。

各大軟件平臺的背后，是一群卡商，他們負責采集卡、養卡，提供了這條產業鏈的養料。

卡商程金平，養了2萬張卡。

養卡需要專業設備，行話稱為“貓池”和“卡池”，貓池需要放在卡池中，聯動操作。

程金平租了一個小平房，將卡池裝上后，連接電腦，裝上相應的軟件，就可以利用手機卡批量注冊。

▲ 程金平的工作室已初具規模

在這個20多平米的隱秘小房間中，卡池轟轟運轉。每天晚上他將卡一張張取下來，更換新卡——這就是他的日常，小心翼翼養卡，就像澆灌自己的搖錢樹，毫不馬虎。

2萬張卡，前期投入總金額，大概為40多萬。

而這些卡，每個月都能為他滾動近30萬的收入；遇到旺季，每個月能收入近百萬。

除了冒一定的風險，這簡直就是一個一本萬利、坐地收錢的生意。

像程金平這樣的卡商，在業內只能算小規模，還有一些大卡商，手里養著幾十萬張卡，“每日滾金幾十萬”。

一本財經（ID：yibencaijing）在《欺詐盛宴》中，曾經揭露完整的刷客產業鏈。

前端，刷客們去搜集信息，尋找平臺漏洞，并消化贓物。

中端，卡商提供手機號，并滋養卡。

后端，黑客編寫軟件，通過平臺公開招商。

每個人，各司其職，默契配合，提供自己的最大價值。

“每一次優惠活動，活動部門會根據需求，制定相對寬松的規則，”阿里相關負責人稱，在活動執行過程中，發現問題，再不斷修改規則。

而這也與阿里最新的9字安全方針“輕管控，重檢測，快響應”，有莫大關系。

對于一家互聯網公司來說，流量非常重要，說白了，任何促銷和優惠，都是為了導流。

然而，如果制定過嚴的風控規則，會導致用戶體驗差，“讓用戶覺得我們沒有誠意”；如果為了保證流暢的體驗，規則放寬，必然會被黑灰產盯上。

這是一場人性的戰爭。

每一次活動或促銷，都如過一次獨木橋——左右權衡，在流量和風控之間，找到一個平衡點。

顯然淘寶在第一天，還沒找到這個平衡點。

活動第一天，淘寶的大數據安全模型就發現了“數據異常”，安全部門立即采取措施阻止了機器行為。

首日之戰，以刷客的大獲全勝結束。

02道高一丈

次日，機器批量操作被封殺后，戰況卻進一步升級——人力羊毛大軍開始涌入。

針對淘寶的第一次封殺，羊毛大軍在群里、論壇里討論應對之策。

“自己用新手機，或者去買一些淘寶新號，就可以操作”，網友小朱研究后，發現還有漏洞可鉆。

機器注冊被封殺，還有漏網之魚，那就是以前注冊，尚未使用的號——很多人將這些號囤積，就是為了這樣的優惠活動。

這樣的號，行話叫“白號”。

很快，各大黑產群中，開始傳播購買支付寶、淘寶白號的鏈接，一個賬號的售價僅需0.8元。

而小朱就如此靠銷售白號，3日獲利5萬元。

用白號領取紅包后，按照道理，還需要再支付25元，才能使用“充值30減5元優惠券“。

此時，就需要實名驗證，綁定銀行卡——如果非實名，甚至接收不到其他賬號的“轉賬”。

淘寶白號，根本不可能實名，如此，豈不是無法進行下一步操作？

小朱稱，永遠是，道高一丈。

刷客們發現，支付寶的一個規則，可以成功繞過實名注冊，完成轉賬支付：

只需要PC端上登錄支付寶，用實名的支付寶賬號，給白號發送一個紅包，就能將錢轉過去。

▲ 可以用紅包抵扣，完成支付

這個紅包雖無法提現，但可以用于支付寶消費。

摸清了這個規則后，在各大刷客群里，大家瘋狂出售白號；各大論壇的教程貼，也有近萬閱讀。

此時，淘寶也并非坐以待斃。

阿里的相關負責人稱，他們也在摸對手招式，不斷修改規則，但也要盡量避免誤傷正常用戶。

為此，淘寶再次升級風控規則，以前批量注冊的白號，也被擋在了活動之外。

03另辟蹊徑

刷客們在論壇上抱怨：“規則又改了，黃了黃了”。

大戲就此落幕了嗎？遠未結束。

話費被封堵后，新用戶還能領取一項優惠，就是淘寶外賣的“糧票”。

一個新用戶可以領取三四張，最好用的一張是“滿20.1減少20元券”，“滿15.1元減15元券”，可用于外賣預訂。

刷客一擁而上，領取優惠券后，在群里或網上銷售。

▲ 群里各種花式攬客

▲ 網上公開售賣

而購買者，再從淘寶外賣中下單——刷客和購買者，便分食了優惠。

值得注意的是，兩種作弊式的操作，都依賴于“網上紅包”功能，成功繞過實名制的硬性門檻，直接消費支付。

而這個規則，也正在成為黑灰產交易洗錢的一種方式。

黑客小C稱，有些小額交易付款，對方都會要求用網上紅包的方式轉賬，“這種方式最核心的點是，你無法獲取對方的真實身份”。

黑市交易中，匿名性是一個極為重要的訴求。

“目前，網上紅包一次可發980元左右，也可多次轉賬。如此，幾千元的黑市交易，用這種方式走賬，極為方便，”小C稱。

針對以上情況，支付寶也給出了相應答復。

目前，支付寶賬號絕大多數已完成實名制，僅有極少數未實名制賬號，相關負責人稱，“對于這些未實名的賬號，我們會不斷引導其完成實名”。

至于“網頁紅包”繞過的規則，支付寶答復稱，這些網頁紅包產品，是以抵用券的形式發放到賬戶，并非轉賬，無法提現，只能用于購物消費。

針對可疑的轉賬交易，尤其是大額的，支付寶有一整套反洗錢風控系統進行監測和防范，會根據實際情況不斷地優化和升級。

盡管支付寶有一定規則，但“網頁紅包”在這次羊毛盛宴中，充當了核心角色。

04攻防大戰

持續一周的時間，淘寶與黑灰產之間的斗爭，至今未落下帷幕。

淘寶每一次修改規則，刷客們就再尋新路，無孔不入。

“我們不停觀察他們規則，我們的核心邏輯就是，模擬真人，做得逼近真人，讓他們防不勝防，”小朱稱。

而對手，需要從魚龍混雜中，去篩選出哪些是真實意愿用戶，哪些是薅羊毛刷客。

這場攻防大戰，不僅僅是斗智斗勇，還需要深諳人性。

這場戰爭何時結束？

直到刷客薅羊毛的成本，高于優惠成本。

而這次大戰中，刷客的成本在不斷提高，從0.6元軟件平臺的服務，到0.8元淘寶白號購買，最后淘寶封堵規則后，只能從網上花8元購買糧票。

淘寶的活動尚且激戰至此，更何況其他平臺的優惠活動？幾乎每一次，都成為黑產的狩獵之物。

“任何優惠活動，都不能完全杜絕羊毛黨，”通付盾的CEO汪德嘉稱，所謂的風控產品，就是一項“人性的藝術”，需要平衡多方需求。

收得太緊，流量減少，正常用戶會被誤傷，或因為體驗不流暢放棄；放得太松，則黑產涌入。

且不說流量和風控之間的權衡，每個平臺之間，都有兩股勢力博弈：

有時候，是運營部門和高層，他們需要給領導上交一份“完美的數據”；

有時候，是高層和VC投資人，他們需要向VC證明業務繁榮，以拉升估值。

一些羊毛黨，也和多個平臺結為“盟友”，對方發布促銷活動，都會知會一聲，“歡迎來薅”。

“很多平臺的活動，30%的用戶是真的，我們盡量做到數據反一反，保證70%是真實的，”汪德嘉稱，在風控中，只能做到抓大放小。

各大互聯網公司的安全部門，和黑灰產激戰多年，其中也不缺臥底、暗訪的驚險細節。

然后，一切都是治標不治本。

黑灰產如此堂而皇之地竊奪互聯網時代紅利，卻沒有任何法律的監管。

盡管在最新的網絡安全法中，對網絡安全要求有了進一步提升，卻對刷客、羊毛黨這個群體，沒有明確法案約束。

最關鍵的是，這個群體寄生在網絡上，匿名性極強，追蹤、取證都太難。

黑灰產就如此在互聯網盛世之下，活得滋潤恣意。

攻防之戰何時休？

流量與風控，人性與欲望，這其中，到底要權衡多少利益？

這些博弈未結，這場攻防大戰就永不落幕…