今天，AI公司正在花式「伏擊」羊毛黨丨618 專題

奮戰(zhàn)在618第一線的，不止在剁手的你，還有羊毛黨。

又是一年618，今年也和往常一樣，有高舉“不買立省100%”大旗的勤儉持家黨，殺到眼紅的剁手黨，臨時(shí)抱佛腳的抄作業(yè)黨，以及，絕對(duì)不會(huì)遲到的羊毛黨。

“薅羊毛”通常是針對(duì)企業(yè)優(yōu)惠活動(dòng)的一場(chǎng)圍剿，黑產(chǎn)團(tuán)伙從實(shí)名手機(jī)號(hào)，到接收驗(yàn)證碼，注冊(cè)平臺(tái)賬號(hào)，通過(guò)一些作弊手段，在平臺(tái)大規(guī)?；顒?dòng)薅取利潤(rùn)。

雖然咱們普通消費(fèi)者去領(lǐng)商家優(yōu)惠券之類的行為，也算是薅羊毛，但一次領(lǐng)一張優(yōu)惠券，和一口氣領(lǐng)幾百?gòu)垉?yōu)惠券的團(tuán)伙作案，還是有著本質(zhì)上的差別。羊毛黨的專業(yè)度和努力度，不容小覷。

有反欺詐專家和我們吐槽說(shuō)，“我國(guó)黑產(chǎn)技術(shù)領(lǐng)先世界”，可見(jiàn)斗爭(zhēng)形勢(shì)依然嚴(yán)峻，黑產(chǎn)攻防戰(zhàn)常打常新。那么羊毛黨們?cè)诮衲甑?18又搞了什么新花招？提前幾個(gè)月就在養(yǎng)精蓄銳，黑產(chǎn)都為這樁“大買賣”做了什么準(zhǔn)備？今天就給大家講講最新戰(zhàn)況。

1

現(xiàn)在流行怎么薅羊毛？

道高一尺魔高一丈，羊毛黨的手段自然是跟著業(yè)務(wù)走，“貼身盯防”電商們的一舉一動(dòng)。小盾安全解決方案總監(jiān)Coolor就告訴雷鋒網(wǎng)，這兩年最流行的薅羊毛手段，就是基于裂變式營(yíng)銷的作案方式。

裂變式營(yíng)銷，高大上點(diǎn)就叫MGM（member get member），其實(shí)大家都已經(jīng)非常熟悉，像是各種邀請(qǐng)、分享、拼團(tuán)購(gòu)都算是裂變，具體方式包括但不限于分享微信鏈接、二維碼、邀請(qǐng)碼等，本質(zhì)都是靠老用戶拉新，裂變之后可以獲得一定獎(jiǎng)勵(lì)。

經(jīng)常被吐槽的拼多多“砍一刀”，就屬于拼團(tuán)裂變的一種。

我們把邀請(qǐng)別人的老用戶稱為“師傅”，被拉來(lái)的新用戶稱為“徒弟”。假設(shè)這個(gè)優(yōu)惠獲取的方式是，一個(gè)“師傅”拉到100個(gè)“徒弟”就可獲得100元，那么專業(yè)的黑產(chǎn)通常會(huì)注冊(cè)幾十、甚至上百個(gè)“徒弟賬號(hào)”去掃“師傅”的邀請(qǐng)碼，自導(dǎo)自演一場(chǎng)戲，最后提走現(xiàn)金獎(jiǎng)勵(lì)。

而對(duì)付黑產(chǎn)的辦法之一，就是順藤摸瓜。Coolor舉例解釋稱，哪怕不能找出所有的“徒弟”，但只要找到了一部分異常賬號(hào)，發(fā)現(xiàn)他們用了同一個(gè)邀請(qǐng)碼，就能反向通過(guò)邀請(qǐng)碼向上找到那個(gè)“師傅”，把這群“師徒”全部連根拔起。

看到這里你可能會(huì)問(wèn)：我們平時(shí)也會(huì)找親朋好友幫自己“砍一刀”啊，他們?cè)趺磪^(qū)分我們和黑產(chǎn)？

這就要提到一個(gè)比較有意思的技術(shù)了：設(shè)備指紋。

黑產(chǎn)的一些老套路，養(yǎng)號(hào)、群控、多開(kāi)，其實(shí)大家都已經(jīng)很熟悉了。就算現(xiàn)在是一人一個(gè)手機(jī)號(hào)，但市面上仍然存在一些手機(jī)卡商，干著手機(jī)號(hào)倒賣的活兒，黑產(chǎn)拿到號(hào)之后通過(guò)群控和貓池這樣的設(shè)備一次操控多臺(tái)手機(jī)，以及通過(guò)多開(kāi)工具把App“復(fù)制粘貼”（類似于一臺(tái)手機(jī)有三四個(gè)淘寶），縮短操作時(shí)間，降低投入成本——一人即是千軍萬(wàn)馬。

如果沒(méi)法通過(guò)手機(jī)號(hào)分辨出手機(jī)背后是人是“鬼”，設(shè)備指紋技術(shù)就是另一個(gè)甄別黑產(chǎn)、判斷用戶情況的重要方式了。

設(shè)備指紋，顧名思義，就是像指紋那樣，可以確定這臺(tái)設(shè)備的唯一性。

就像你走在路上，有時(shí)候會(huì)遇到警察叔叔查一下你的身份證，電商其實(shí)也會(huì)查一下你的手機(jī)的“身份證”，看看你是不是新用戶，再?zèng)Q定要不要把新用戶獎(jiǎng)勵(lì)給你。

Coolor提到，黑產(chǎn)可以通過(guò)一些改機(jī)工具，把手機(jī)的設(shè)備指紋“換掉”，比如把自己從小米改成華為，偽裝成一臺(tái)新手機(jī)的身份去繼續(xù)薅羊毛。

又或者是偽造某些系統(tǒng)底層參數(shù)（地理位置，imei號(hào)等），繞過(guò)業(yè)務(wù)的限制——和多開(kāi)一樣，本質(zhì)上都是在提高有限資源的復(fù)用性。

而成熟的設(shè)備指紋技術(shù)，可以針對(duì)性地揪出常見(jiàn)的黑產(chǎn)改機(jī)框架、改機(jī)軟件、偽裝軟件等，識(shí)別出設(shè)備所在的系統(tǒng)環(huán)境是否異常。

維擇科技的技術(shù)客戶經(jīng)理周君楨補(bǔ)充稱，這種誤傷的可能性有，但幾率會(huì)小很多，風(fēng)控團(tuán)隊(duì)也會(huì)考量可能存在誤傷的比例。

他指出，團(tuán)伙作案一般會(huì)有比較明顯的行為一致或相似，比如是通過(guò)機(jī)器等一些作弊工具批量操作、同一種行為模式，“從技術(shù)角度來(lái)看，就是某些維度特征的存在一致性。”

總的來(lái)說(shuō)，大家還是可以放心地繼續(xù)騷擾親朋好友，讓他們幫你“砍一刀”，風(fēng)控系統(tǒng)一般是不會(huì)阻攔咱們這些普通用戶的。

除此以外，真人眾包也是近年來(lái)的熱門薅羊毛方式。

周君楨介紹稱，這是在固定的群體里發(fā)布平臺(tái)有利可圖的消息和教程，然后很快就有大批羊毛黨賬號(hào)去平臺(tái)薅取利潤(rùn)，羊毛黨的頭頭就可以給他們回收、變現(xiàn)，而平臺(tái)很難在短時(shí)間有個(gè)快速響應(yīng)。

“一旦平臺(tái)有所響應(yīng)，羊毛黨就消停下來(lái)，繼續(xù)研究新的攻擊方式避免被平臺(tái)識(shí)別，靈活度非常高。”周君楨說(shuō)。

2

猖獗一如既往，悄然繞道東南亞

那今年618的羊毛黨，和往年相比，還是這么猖獗嗎？

“其實(shí)今年4月份的時(shí)候，黑產(chǎn)們已經(jīng)在準(zhǔn)備各種物料了。”Coolor透露。

一個(gè)完全沒(méi)有操作紀(jì)錄、像白紙一張的手機(jī)號(hào)或賬號(hào)，其實(shí)是很容易引起風(fēng)控系統(tǒng)的懷疑的，和小區(qū)保安看到進(jìn)門的生面孔要盤問(wèn)一下，是同一個(gè)道理。所以黑產(chǎn)要提前做準(zhǔn)備，給這些新號(hào)攢一點(diǎn)看起來(lái)可信的歷史記錄，“混個(gè)臉熟”，盡量不引起系統(tǒng)的注意。

但也同樣是在今年4月份開(kāi)始，第二季度左右，Coolor表示，他們明顯感知到了“斷卡行動(dòng)”帶來(lái)的變化，“國(guó)內(nèi)的黑卡在日益減少。”

“斷卡行動(dòng)”是去年10月開(kāi)始的一場(chǎng)打擊電信網(wǎng)絡(luò)新型違法犯罪的活動(dòng)，主要針對(duì)的是手機(jī)卡和銀行卡。

大量“實(shí)名不實(shí)人”的銀行卡、電話卡被黑產(chǎn)購(gòu)買后實(shí)施詐騙，給警方的追查和打擊帶來(lái)巨大困難。斬?cái)嚯娫捒?、銀行卡的買賣鏈條，就等于給黑產(chǎn)“斷奶”，買不到號(hào)自然也就無(wú)從養(yǎng)號(hào)，從源頭遏制黑產(chǎn)誕生。

或許有朋友注意到，今年以來(lái)銀行們集中清理睡眠賬戶，這樣的舉措也是為了防范電信詐騙、黑產(chǎn)和反洗錢等違法犯罪行為。

“斷卡行動(dòng)”的打擊力度有多嚴(yán)格？舉個(gè)例子，很多卡商是去找農(nóng)村用戶來(lái)注冊(cè)手機(jī)號(hào)，或者是用一些小恩小惠吸引普通人把手機(jī)號(hào)租借給他們使用。一經(jīng)查出，不單是這些非法倒賣手機(jī)號(hào)的卡商要被法律制裁，號(hào)主、卡主本人可能也要受到懲處：錄入征信、不能用手機(jī)號(hào)、不能開(kāi)新賬戶等。

手機(jī)卡被公安機(jī)關(guān)認(rèn)定為電信網(wǎng)絡(luò)詐騙涉案電話號(hào)碼，基礎(chǔ)電信企業(yè)將按照公安機(jī)關(guān)要求關(guān)停名下登記的所有移動(dòng)電話號(hào)碼，且2年內(nèi)限制辦理新入網(wǎng)、過(guò)戶業(yè)務(wù)。

銀行卡對(duì)公安機(jī)關(guān)認(rèn)定的出租、出借、出售銀行賬號(hào)或支付賬戶，實(shí)施5年內(nèi)不得新開(kāi)賬戶、暫停非柜面業(yè)務(wù)、支付賬戶所有業(yè)務(wù)的懲戒措施，同時(shí)納入金融信用基礎(chǔ)數(shù)據(jù)庫(kù)管理，記錄至個(gè)人征信。

插播：所以千萬(wàn)不要把電話卡、銀行卡借/租給別人用！如果已經(jīng)這么干了（……）請(qǐng)趁早主動(dòng)去運(yùn)營(yíng)商、銀行注銷賬戶，以免釀成大禍被追責(zé)。

雖然“斷卡行動(dòng)”的嚴(yán)厲處罰確實(shí)給黑產(chǎn)帶來(lái)不小的打擊，但是，你有張良計(jì)，我有過(guò)墻梯。Coolor透露，黑產(chǎn)們已經(jīng)盯上了東南亞這塊未經(jīng)開(kāi)發(fā)的“寶地”。

因?yàn)椴簧匐娚桃矠樽约憾ㄖ屏顺龊?zhàn)略，目的地之一往往會(huì)有東南亞，金融和電商服務(wù)的低普及率意味著巨大的市場(chǎng)潛力。

但在黑產(chǎn)眼里，東南亞的法律法規(guī)限制并不完善，獲取手機(jī)卡又不用實(shí)名，成本又低，所以黑產(chǎn)逐漸把手機(jī)卡的供貨源挪向海外。“其實(shí)黑產(chǎn)還是同一批人，機(jī)器也是同一撥。”Coolor說(shuō)。

他解釋稱，這些“新面孔”進(jìn)來(lái)之后，反黑產(chǎn)的團(tuán)隊(duì)暫時(shí)是很難標(biāo)記它們的，需要時(shí)間慢慢積累，等黑產(chǎn)拿這些新卡注冊(cè)過(guò)幾個(gè)網(wǎng)站，有了網(wǎng)絡(luò)的蹤跡，再聯(lián)防聯(lián)控布下天羅地網(wǎng)。

除此以外，也有海外電商被薅羊毛的案例。雷鋒網(wǎng)去年就報(bào)道過(guò)，菲律賓排名第一的移動(dòng)支付應(yīng)用GCash，拿下了2000萬(wàn)注冊(cè)用戶和7.5萬(wàn)家商戶，同樣遭到了羊毛黨的攻擊，最后借助螞蟻的反欺詐方案，將他們?cè)庥龅臓I(yíng)銷作弊情況大幅降至1%以下。

3

風(fēng)控與黑產(chǎn)們的“持久戰(zhàn)”

設(shè)備指紋技術(shù)也好，斷卡行動(dòng)也罷，其實(shí)都只是龐大復(fù)雜的反欺詐流程中的一點(diǎn)細(xì)節(jié)。與黑產(chǎn)曠日持久的對(duì)攻戰(zhàn)里，風(fēng)控反欺詐團(tuán)隊(duì)們已經(jīng)打造了一套行之有效的立體化“戰(zhàn)術(shù)”。

我們從專家們那里了解到，打擊羊毛黨大致可以分為事前、事中和事后三大步驟。

1. 事前，一場(chǎng)情報(bào)戰(zhàn)

Coolor透露，事前的準(zhǔn)備，其實(shí)是以“情報(bào)獲取”的運(yùn)營(yíng)工作為主。

例如深入到羊毛黨的各大QQ群、論壇，國(guó)外的暗網(wǎng)和“飛機(jī)群”（即Telegram，無(wú)需實(shí)名的社交App）里“潛伏”，了解他們的一舉一動(dòng)。

其次就是“解密”，識(shí)別破解羊毛黨的各種黑話，不然就算拿到情報(bào)也是枉然。比如用一手貨、二手貨來(lái)指代不同新鮮度的卡號(hào)，洗錢用“水房”來(lái)代替。

網(wǎng)上也有過(guò)不少羊毛黨的黑話手冊(cè)，通過(guò)拼音縮寫、諧音和意會(huì)等方式生成黑話，大家可以測(cè)試看看自己的黑話了解程度：

磚行、小賤、老農(nóng)、小昭、廢行、猴子行、火雞、葫蘆娃、保護(hù)費(fèi)

當(dāng)然，這些黑話現(xiàn)在應(yīng)該已經(jīng)進(jìn)化到了更高水平，需要更多的專家規(guī)則和經(jīng)驗(yàn)在其中發(fā)揮識(shí)別作用。

情報(bào)指向的，很多是羊毛黨的前期準(zhǔn)備工作。

正如前文所述，這些羊毛黨今年4月份就已經(jīng)在著手準(zhǔn)備，努力程度完全不輸電商本商。電商們忙著做宣傳物料、請(qǐng)明星辦晚會(huì)、和品牌們談優(yōu)惠的時(shí)候，羊毛黨在注冊(cè)新號(hào)，逐步解決新號(hào)的實(shí)名認(rèn)證和人臉核驗(yàn)等問(wèn)題，和賬號(hào)“供應(yīng)商”交易。

基于這些情報(bào)，風(fēng)控團(tuán)隊(duì)會(huì)針對(duì)性地收緊風(fēng)控門檻，比如嚴(yán)防某些地區(qū)的IP，做到提前預(yù)防。

2. 事中，實(shí)時(shí)防護(hù)

實(shí)時(shí)防護(hù)的實(shí)時(shí)，可能是毫秒級(jí)的戰(zhàn)斗，在那個(gè)注冊(cè)鍵被按下的一瞬間，風(fēng)控系統(tǒng)要在幾十到幾百毫秒內(nèi)判斷出賬號(hào)的風(fēng)險(xiǎn)程度。

Coolor表示，這背后通?；诨A(chǔ)信息、終端狀況和專家規(guī)則三個(gè)維度。

基礎(chǔ)信息，一般是判斷手機(jī)號(hào)和IP這些信息是否異常；

終端狀況，即是感知手機(jī)、電腦等設(shè)備的風(fēng)險(xiǎn)，網(wǎng)絡(luò)環(huán)境是否正常，判斷有無(wú)使用群控、多開(kāi)等工具；

專家規(guī)則，也包括AI的使用，通過(guò)一些算法和策略對(duì)用戶行為進(jìn)行評(píng)判。

例如：

該IP是否被多人使用過(guò)？

該手機(jī)號(hào)是否在不同設(shè)備上登錄過(guò)？

該賬戶的注冊(cè)和活躍時(shí)間是否異常？總在深夜和凌晨出現(xiàn)的賬號(hào)，要不要定義為異常？

此前曾有一位風(fēng)控公司高管和雷鋒網(wǎng)提起過(guò)一些十分有趣的專家規(guī)則制定，例如一個(gè)賬號(hào)經(jīng)常在后半夜購(gòu)物，ta很有可能被判斷為一個(gè)“缺乏自制力”的用戶，從而認(rèn)為ta“還款能力和還款意愿不高”。

而風(fēng)險(xiǎn)程度會(huì)通過(guò)打分卡、黑白灰名單等形式呈現(xiàn)，實(shí)時(shí)決定要不要對(duì)這個(gè)賬號(hào)“高抬貴手”。

3. 事后，復(fù)盤、迭代和再戰(zhàn)

但實(shí)時(shí)防護(hù)程度再高，其實(shí)也有許多事情無(wú)法在電光火石之間完成，需要積累一定的數(shù)據(jù)量才能解決。

例如當(dāng)時(shí)只分辨出了十分之一的黑產(chǎn)，事后可以把全部用戶重新分析一遍，查出哪些賬號(hào)哪些具有相似的可疑特征，揪出黑產(chǎn)團(tuán)伙，同時(shí)也把這次戰(zhàn)果提煉出來(lái)，特征提取、迭代優(yōu)化風(fēng)控模型和策略，完善識(shí)圖譜，繼續(xù)投入下一輪戰(zhàn)斗。

4

結(jié)語(yǔ)

在與眾多風(fēng)控專家們的交流中，他們都提到一點(diǎn)：與羊毛黨對(duì)抗的核心，其實(shí)是成本對(duì)抗。

某種程度上來(lái)說(shuō)，這是門檻疊加的過(guò)程，讓黑產(chǎn)認(rèn)為這筆買賣不劃算，放棄圍攻，而不是試圖交出一張“100%安全”的答卷，擋住所有風(fēng)險(xiǎn)。

反過(guò)來(lái)，對(duì)于電商們來(lái)說(shuō)，有時(shí)也會(huì)為了業(yè)績(jī)和流量，放松風(fēng)控的標(biāo)準(zhǔn)。風(fēng)控體系的建設(shè)，歸根結(jié)底，仍然與企業(yè)自身的發(fā)展階段綁定最深。

和羊毛黨的斗爭(zhēng)，永遠(yuǎn)不會(huì)停止。

END
 

本文由雷鋒網(wǎng)原創(chuàng)，作者：周蕾，未經(jīng)授權(quán)不得轉(zhuǎn)載。