拼多多是如何被”薅羊毛”的?
1月20日,微博大V @網際網路那些事爆料,拼多多百元通用優惠券的營銷推廣出現重大漏洞,無論新老使用者,都可以領取100元無門檻券,注意是領取,不是搶購。有網友通過接碼平臺充值了54萬的Q幣和64萬的話費。
據網上流傳拼多多這次損失超過200億。有的網友表示,拼多多估計要倒閉了。而錯過這場“薅羊毛”的網友戲稱,一覺醒來錯過一個億。
1月20日,微博大V @網際網路那些事爆料,拼多多百元通用優惠券的營銷推廣出現重大漏洞,無論新老使用者,都可以領取100元無門檻券,注意是領取,不是搶購。 有網友通過接碼平臺充值了54萬的Q幣和64萬的話費。
據說專職羊毛黨發現了這個大Bug,半夜打電話喊人薅羊毛!有的大牛已經領了上千張100元無門檻券,怕被抓進去於是把領券方式公佈於眾,於是大批使用者開啟了薅羊毛節奏。
事情發生後,拼多多也發表官方宣告,1月20日晨,有黑灰產團伙通過一個過期的優惠券漏洞取數千萬元平臺優惠券,進行不正當牟利。針對此行為,平臺已第一時間修復漏銅,並正對涉事釘釘進行溯源追蹤。同時,我們已向公安機關報案,並將積極配合相關部門對涉黑灰團伙予以打擊。
對於此事,i黑馬&數字觀察採訪到了頂象技術反欺詐專家,向他詢問了此事發生的原因,帶來的影響,以及褥羊毛以及黑灰產的出現對整個網際網路企業帶來的危害。
01
內控不嚴和防護體系不規範
雖然媒體報道和拼多多宣告中未提到風險發生的原因,頂象技術反欺詐專家分析,造成此問題可能有兩個原因:首先可能是個內控不嚴格,導致過期活動的優惠券未下架,也就是流程沒控制好。其次,可能是未做好多層風控體防護,“反欺詐就跟塔防遊戲一樣,需要層層設防,才能有效防範”。
他認為,營銷活動應該從多個方面防範: 首先,電商平臺必須建立營銷反欺詐體系: 有營銷活動時候,業務營銷活動要與營銷反欺詐體系聯動,將業務納入到營銷反欺詐體系的保護之下。
其次,部署專業做風控解決方案:頂象網際網路營銷反作弊解決方案有效防範營銷作弊、刷紅包、薅羊毛、推廣作弊等欺詐風險。其App加固和專有虛機原始碼保護有效防範電商客戶端、H5、Web被破解入侵,防止攻擊者通過埠漏洞進行批量註冊、批量登入、批量搶單等。
安全SDK保障電商客戶端、儲存資料以及資料傳輸的加密。Dinsight實施決策引擎及時發現各類風險操作,並通過智慧無感驗證進行有效攔截。此外,Xintell智慧模型平臺平臺根據業務場景和需求建立更貼切的風險模型,進一步提升風控效果。
最後,通過技術手段做異常風險的核驗與阻斷:如果有超出以上預案的風險或bug,可以通過頂象裝置指紋技術能夠有效偵測模擬器、刷機改機、團伙作弊等欺詐行為,再借助無感驗證工具,能夠有效識別機器行為,提供多層次的身份核驗,發現超出規則的異常行為,進行二次驗證、自動阻斷,以降低損失。
02
利用平臺漏洞,羊毛黨獲取大量利益
隨著網際網路的發展,越來越多的企業需要把業務從線下逐漸搬到線上,通過網際網路化的運營,改變傳統的運營模式,實現精細化運營,驅動業績增長。像很多P2P平臺、電商、銀行等企業都希望通過線上渠道促銷業務,吸引使用者提升產品活躍。
這些平臺每天都會產生海量的資料,資料除了被主流網際網路平臺使用之外,也在被一些不法分子所利用。再加上移動裝置應用廣泛、交易速度和頻率提高、檢測技術不完善,促使企業風控和反欺詐難度不斷加大。
所以,在網際網路蓬勃的發展背後,已經衍生出一條龐大的、成熟的“黑灰色產業鏈”。這條產業鏈可以覆蓋金融、社交、電商、遊戲等行業。“褥羊毛”及“羊毛黨”就在這樣的背景下出現了。
頂象表示,薅羊毛是根據網際網路的營銷活動、以低成本甚至零成本換取高額獎勵、高收益的一種方式。羊毛黨們對蒐集各大網貸、電子商城、銀行、實體店等各渠道的優惠促銷活動、免費業務之類的資訊,通過各種手段搶走這些優惠,然後以相對較低成本甚至零成本換取物質上的實惠。
換一個角度說,薅羊毛是市場經濟環境下、唯利是圖的本能驅動的行為,科技手段的進步讓這一行為更加輕而易舉。隨著網際網路市場進入使用者存量博弈時代,加強使用者挖掘,提升使用者體驗尤其關鍵。
針對使用者的營銷、促銷活動會越來越頻繁,這不僅將運營崗位提升到重要位置,也讓羊毛黨有了更多賺錢的機會。
根據頂象2018年第三季度業務風險監測資料顯示,各平臺遭遇到薅羊毛風險是在所有業務風險中比例達5.6%。由於操作簡單、參與門檻低,薅羊毛已成為電商領域最大的業務風險之一。
i黑馬&數字觀察瞭解到,羊毛黨有兩類,一類是指積極參與各種營銷活動,包括但不限於滿減、返現、抽獎、優惠券等活動,但並不能給平臺帶來實際的活躍使用者增長的行為。另一類是,羊毛黨把薅羊毛當做職業,利用商家或者平臺的漏洞,攫取大量利益,更有甚者會進行詐騙。
無論是哪類羊毛黨,這些欺詐手段都嚴重影響到企業的正常運轉,影響使用者的體驗,給企業帶來了巨大的經濟損失,同時也加重了社會問題。
“黑灰產會一般通過技術和電腦操控,大批量的註冊虛假賬號,以備薅羊毛、詐騙等牟利使用。而註冊賬號用的資訊,大多來自各個平臺洩露的資訊洩露。
2018年發生了數起大規模的賬號洩密事件,包括華住集團、AcFun彈幕視訊網等,涉及賬號密碼數億條,這些洩露的資訊很大一部分通過地下黑市流入到了黑灰產手中。
黑灰產拿到洩漏的使用者和賬戶資訊,進行洗庫、“撞庫”後,除了網路詐騙、電信詐騙,還會轉走賬戶內的餘額、積分等,更會操縱賬號進行薅羊毛、刷單、刷票、刷粉等。”
03
“薅羊毛”是否犯法
那麼,“薅羊毛”是否違法?
拼多多的宣告中提到已經報警。頂象技術反欺詐專家認為,黑灰產的行為在法律主要涉及四部分:
1、通過假冒身份、虛假註冊、修改軟體等手段獲利,都以非法佔有為目的,則可能構成盜竊或詐騙。
2、虛構事實、假冒身份、使商家產生錯誤的認識而主動把錢打給”毛黨羊是詐騙行為。
3、購買和冒用他人的身份資訊涉及違法;
4、涉嫌濫用公民資訊。
以上違法行為的懲罰措施,在《網路安全法》、《刑法》、《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》等有明文規定。
頂象介紹到,針對使用者資訊的保護,去年6月1日實施《網路安全法》第四十二條有明文規定,網路運營者應當採取技術措施和其他必要措施,確保其收集的個人資訊保安,防止資訊洩露、毀損、丟失。
在發生或者可能發生個人資訊洩露、毀損、丟失的情況時,應當立即採取補救措施。所以,網路運營者有保護個人資訊的義務和責任。盜用他人身份證註冊虛假賬號涉嫌違反《中華人民共和國居民身份證法》第十七條。
針對使用者個人資訊洩露或被竊取的問題,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》中規定,非法獲取、出售或者提供行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊五十條以上的;非法獲取、出售或者提供住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊五百條以上的;應當認定為刑法第二百五十三條之一規定的“情節嚴重”。
“刑法第二百五十三條之一規定”是這樣寫的:違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人資訊,出售或者提供給他人的,依照前款的規定從重處罰。
據網上流傳拼多多這次損失超過200億。有的網友表示,拼多多估計要倒閉了。而錯過這場“薅羊毛”的網友戲稱,一覺醒來錯過一個億。
由此可見,對於平臺來說,如何做好風險控制、基礎運維、預警,杜絕羊毛黨等黑產已經越來越重要。你覺得最好的解決方案是怎樣的?