那些凌晨3點的灰黑生意
1月20日凌晨,部分羊毛黨迎來狂歡。有使用者稱熬夜藉助漏洞充值了幾萬元話費,更有訊息稱拼多多一夜之間被薅走200億。
一個bug引發的慘案還未結束。“數十萬Q幣”、“公關部多多哥”、“脈脈網鹿杖客”等相關截圖,隨後經查被證實為不實謠言。拼多多表示,平臺已第一時間修復漏洞,並正對涉事訂單進行溯源追蹤。期間及後續的正常訂單,均不會受此事件影響。
投資界(微信ID:pedaily2012)瞭解到,目前,上海警方已以“網路詐騙”的罪名立案併成立專案組,並依據“財產保全”的相關規定,對涉事訂單進行批量凍結。
拼多多“被薅”始末
這投資界瞭解到次事件中,黑灰產團伙所利用的“優惠券漏洞”盜取的相關優惠券,系拼多多此前與一檔電視節目(江蘇衛視《非誠勿擾》)開展合作時,因節目錄制需要特殊生成的優惠券型別,僅供現場嘉賓使用。
拼多多表示,此種類型優惠券,從未在任何時候、以任何方式出現在平臺正常的線上促銷活動當中,甚至從未有任何線上入口。
該事件中的相關優惠券,均系黑灰產團伙通過非正常途徑生成的二維碼掃碼後獲得,隨後二維碼多流傳於社交平臺相關黑灰產群。於是,就有了網友所說,“凌晨3點多被喊醒,一起去拼多多薅羊毛。”
原本每個認證資訊的使用者可且僅可領取一張無門檻100元優惠券,一時間被黑灰產團伙通過“養貓池”(用手機卡蓄養大量虛擬賬號)等不法手段,實現N張手機黑卡同時作業。批量盜取該種優惠券,並通過手機話費、Q幣等虛擬充值的方式,短時間內迅速轉移此類不當所得,涉案優惠券總金額達數千萬元。
事件發生時正值拼多多“年貨節”大促,期間有大批量平臺正常發放的優惠券被消耗。至20日上午9點,遭盜取優惠券和正常優惠券的總和突破平臺預設閾值,系統監控到異常並自動報警。
拼多多方面預計,本次事件造成的最終實際資損大概率低於千萬元。本次事件不涉及任何資料安全問題,平臺消費者原本正常領取的優惠券使用不會受到影響。為進一步加強“特殊優惠券”相關風控體系,拼多多已成立技術專組。
中國政法大學傳播法研究中心副主任朱巍分析稱,20號凌晨拼多多出現BUG的法律責任有幾種型別:1、BUG 出現的原因不明,分兩類情況。第一,若是涉及計算機系統破壞出現BUG的,屬於《刑法》破壞計算機資訊系統罪,情節特別嚴重有五年以上的刑期。第二,若是不涉及到系統破壞,僅是利用漏洞,這類情形嚴重的話,實踐中涉及盜竊罪、侵害智慧財產權罪,不嚴重的話,薅到的券屬於不當得利,應予返還。
2、除了自己刷,還發布這個資訊的人,傳播這類資訊可能涉及到前面罪名的共犯,也可以單獨構成傳授犯罪方法罪,或構成擾亂市場秩序的行政處罰。這個行為至少會影響到個人信用。
3、少量刷的人,一般不構成犯罪,所得屬於不當得利,應及時予以返還。不過,若是在事實公佈後還刷的,這就構成盜竊罪。
網購黑灰產,10天賺5萬
若本次如拼多多所說,最終損失數千萬元,雖然金額比謠傳200多億少很多,但還是會造成不小影響。
除了羊毛黨外,領到優惠券的普通使用者也擔心自己正常在拼多多平臺上領到的優惠券,到底能不能有效使用呢?
北京大學法學院副院長、博士生導師薛軍教授在接受法制網記者採訪時表示,“但如果商戶本來沒有發放優惠券的意思,但因為平臺規則漏洞,被使用者領取,那麼性質上構成因為意思表示錯誤而成立的贈與合同,商戶可以主張撤銷相關的贈與合同,使用者所獲得的優惠券構成不當得利,應該返還。”
無論是拼多多、淘寶還是其他電商,每次驚人的高額交易背後,都若有若無藏匿著很多鮮為人知的“網購黑灰產”。
網路黑灰產,指電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網路開展違法犯罪活動的行為。稍有不同的是,“黑產”指的是直接觸犯國家法律的網路犯罪,“灰產”則是遊走在法律邊緣,往往為“黑產”提供輔助的爭議行為。
黑灰產對電商平臺傷害最大。有的人僅僅是通過虛假退貨,十天內就賺了近5萬元。南都記者調查顯示,惡意差評的軟體開發和交易平臺,非法資訊資料獲取、退貨經驗交流群組等,網際網路黑色與灰色產業相互交織且多處於無管理狀態,在網上滋生了大量的詐騙、訛詐等違法犯罪活動。
而早在4年前,網際網路黑灰產業從業人員就已經超過40萬,且在兩年間漲了超過90%。如今已形成一個平臺化、專業化、精細化,緊密協作的產業鏈,從業人員主力日趨年輕化。
據統計,網路黑灰產犯罪案件中,18歲-25歲年齡段在整個受害者年齡段中佔比最高,接近60%;26-30歲年齡段佔比20%,90後為主要受害者。電信網路詐騙犯罪的案件中,老年群體為主要受害者;財務詐騙類案件中,主要受害者則是年輕群體;兼職刷單類案件中,大學生群體為主要受害者。
據阿里安全歸零實驗室統計,2018 年活躍的專業技術黑灰產平臺多達數百個。服務專業化使得犯罪技術更加平民化,低廉的價格也使得黑灰產技術犯罪的成本逐步降低。
近千億規模的網路黑灰產
黑暗世界的一瞬,不足以描述其萬分之一,令人咋舌的是,背後千億市場和個人資訊的洩露。
據《2018網路黑灰產治理研究報告》資料顯示,2017年我國網路安全產業規模為450多億元,而黑灰產已達近千億元規模;全年因垃圾簡訊、詐騙資訊、個人資訊洩露等造成的經濟損失估算達915億元,而且電信詐騙案每年以20%~30%的速度在增長。
報告指出,黑灰產有四種類型:虛假賬號註冊等源頭性黑灰產;用於進行非法交易、交流的平臺;木馬植入、釣魚網站、各類惡意軟體等;大多以惡意註冊、虛假認證、盜號等形式實現的網路黑賬號。
很多人都不清楚自己的個人資訊是如何被洩露的。此次拼多多事件所用的“貓池”就是網路黑灰產工具“八大樣兒”之一。被用於大規模薅羊毛、電信詐騙。可以同時管理大規模電話手機卡,通過配套的軟體可以實現同時接收、傳送簡訊,撥打電話的功能。貓池常被黑灰產用來在各大電商平臺上進行大規模網路手機賬號垃圾註冊,提供賬號資源。
澎湃特約評論員、法律學者歐陽晨雨表示,審視這些“薅羊毛”行為,並非只是利用商家的網路漏洞那麼簡單,很多帶有“以非法佔有為目的,盜竊公私財物”,或“以非法佔有為目的,用虛構事實或者隱瞞真相的方法,騙取公私財物”色彩,涉嫌侵入他人計算機系統,侵犯公民個人資訊,所涉及的罪名,包括盜竊罪、詐騙罪、侵犯公民個人資訊罪、非法侵入計算機資訊系統罪、破壞計算機資訊系統罪等。如果僅以“不當得利”鳴金收兵,“薅羊毛”黑灰產業鏈就可能繼續存在。
本文為投資界原創,作者:charlotte,原文:https://news.pedaily.cn/201901/439836.shtml