拼多多承認自己被薅羊毛了，還嚷嚷著要報警。

1 月 20 日，據(jù)新浪微博“互聯(lián)網(wǎng)的那點事”爆料：“從20號凌晨開始，拼多多出現(xiàn)了一個超級大Bug，用戶可以領取100元無門檻券，注意是領取，不是搶購。專職羊毛黨發(fā)現(xiàn)了這個大Bug，半夜打電話喊人薅羊毛！有的大牛已經(jīng)領了上千張100元無門檻券，怕被抓進去于是把領券方式公布于眾，于是大批用戶開啟了薅羊毛節(jié)奏。”

不過，200 億可能是沒有的，在拼多多1月 20 日發(fā)表的聲明里，這一數(shù)額達到了“數(shù)千萬元”。

拼多多新浪官方微博聲明：1月20日晨，有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券，進行不正當牟利。針對此行為，平臺已第一時間修復漏洞，并正對涉事訂單進行溯源追蹤。同時我們已向公安機關報案，并將積極配合相關部門對涉事黑灰產(chǎn)團伙予以打擊。 

微信公眾號“黑奇士”稱，羊毛群里大概九點半左右出現(xiàn)線報，但此時這場羊毛黨狂歡已經(jīng)接近尾聲。在某賺客論壇上，不少羊毛黨紛紛曬出自己的戰(zhàn)績，一半以上都擼了 500 元以上的話費或Q幣，其中大部分人擼的虛擬物品已到賬。

［圖片來源：黑奇士（id hqssima）］

一知情人士對雷鋒網(wǎng)編輯確認，1 月 20 日凌晨，羊毛黨們開啟了這場集體行動。

在一些報道中，有人評判拼多多的風控能力不足，還有一個待查證的匿名消息在脈脈的爆料平臺上稱，這張 100 元的無門檻優(yōu)惠券其實只是一張測試券，因為系統(tǒng)錯誤重新上線才引發(fā)了這場羊毛黨的狂歡（雷鋒網(wǎng)注：1月20日下午6點左右，拼多多已經(jīng)辟謠，稱在“脈脈”網(wǎng)站上署名“鹿杖客”發(fā)表所謂“整個部門年終獎被扣”一事，并不屬實，且“鹿杖客”并非拼多多員工）。

無論真實原因是什么，拼多多不要哭，薅羊毛在互聯(lián)網(wǎng)上是很普遍的現(xiàn)象，比如運營商行業(yè)、互聯(lián)網(wǎng)及互聯(lián)網(wǎng)金融行業(yè)經(jīng)常會見到，相關案例也不在少數(shù)，雷鋒網(wǎng)就曾報道過多起。

一般來說，羊毛黨大都是采取群控軟件+改碼軟件的手段，不斷刷新移動設備的 Mac 地址，imei 等手段，把原有設備偽造成 N 多新的設備，繞過中小平臺的風控策略，以薅取電商平臺的優(yōu)惠券或者低價購買平臺產(chǎn)品。因此，在很短的時間內，會有重復的 IP 地址、Mac地址、imei等信息不斷出現(xiàn)，但中小電商從自身平臺看到的上述數(shù)據(jù)，都是一個個真實的設備。

總而言之，羊毛世界水很深，下面，讓我們復盤下雷鋒網(wǎng)曾經(jīng)對羊毛江湖的報道，拼多多可以來劃個重點。

羊毛黨的趨勢和羊毛黨的新招數(shù)

羊毛黨

1、初期是小作坊。

一個人有多個賬號，邀請親朋好友可以拿到一些返現(xiàn)紅包、邀請紅包。這個在電商時代比較典型，也是商家愿意看到的一些正常引流方式。

2、包工頭。

一個稍具有規(guī)模的羊毛黨的團體，接到單，對某個店鋪進行交易量的刷單，還有一些廣告任務。這個規(guī)模主要是以學生、家庭主婦為主，擼個小錢，最典型的可能就是一些注冊賬號，綁定一些身份證賬號或者是銀行卡號，還有是做一些人臉認證，還包括一些下單的刷單交易、點擊廣告。

其實，在這一塊兒有比較多的欺詐產(chǎn)生。之前經(jīng)常會看到新聞，學生被騙，或者是某某被騙，主要也是在這里，他刷單自己投入資金，前期他投資會給他一定的返現(xiàn)，隨著后面投的錢多，就會被騙，會遇到直接拿著錢跑路的情況。

3、專業(yè)刷手。

這個團體已經(jīng)是比較專業(yè)的了，基本上已經(jīng)形成了上下游完整的產(chǎn)業(yè)鏈。

像專業(yè)刷手，是一個團隊，可以直接對活動進行狂擼、狂薅，月入萬元是很輕松的，甚至是更多。這個比較典型的場景就像 O2O、電商，還有在共享、互聯(lián)網(wǎng)、互金等。在互聯(lián)網(wǎng)業(yè)務全面開花，規(guī)模也成型了。

2014年之后，開始出現(xiàn)針對互金的羊毛黨。

主要就是有一些內部平臺，因為內部人員也想拉新、募集資金，可能就和羊毛團的團長直接談判，談判一些拉新的返現(xiàn)，還有一些能力不強的團長（羊頭），可能還有一些上級的代理，這個代理可能是一些廣告公司或者第三方平臺。

隨著政策的收緊，包括網(wǎng)站平臺的跑路，羊毛黨也有風險的，所以這一塊兒相對比 2014、2015年，2015 年是羊毛黨發(fā)展最好的，現(xiàn)在羊毛黨也有一些風險。

產(chǎn)業(yè)鏈

產(chǎn)業(yè)鏈里主要是各種活動信息的共享，還有薅羊毛經(jīng)驗的交流。網(wǎng)上有好多社區(qū)、論壇、QQ 群，群里會有羊頭，他從平臺內部或者上級代理拿一些任務，進行任務分發(fā)。

職業(yè)刷手也會在論壇或群里發(fā)一些作案的手法還有教程出售，由黑客來尋找漏洞，制作一些軟件和工具。比如批量注冊的軟件、刷單的軟件、IP 的代理、各種模擬器、群控軟件等。

有了這些工具之后，職業(yè)的刷手還需要一些賬號，賬號有卡商和專門出售賬號的團伙，卡商基本上會從運營商內部或者代理處拿一些卡，有專業(yè)的設備來養(yǎng)卡。

賬號基本上從地下施工庫，還有一些黑客進行一些脫庫、撞庫包括一些木馬來采集的一些用戶的隱私信息。還有一些釣魚網(wǎng)站，當然還有一部分就是內鬼泄漏一些我們的用戶隱私信息。比如，大家之前經(jīng)常接到一些廣告電話，包括從房產(chǎn)中介、甚至是物業(yè)都會泄露一些用戶信息。還有一些批量的注冊軟件注冊一些賬號。

這些賬號也分等級，不同等級的賬號賣的價格不一樣，有些最初的賬號可能信息有限，還有一批賬號可能綁定了一些身份證、銀行卡，這個賬號可能質量稍微高一些，賣的價錢貴一些。也專門有團伙來進行賬號的清洗，還有對賬號進行養(yǎng)白，養(yǎng)白就是這些白賬號可以正常地參加活動或其它的交易。

接碼平臺，主要就是有工具、賬號之后，大家注冊后一般會收到短信驗證或者是用圖文驗證、或是語音說幾句話，這些都有專業(yè)的接碼平臺，用戶發(fā)送的這些信息直接就通過卡上的號碼，直接被電腦提取到一個軟件上，這個軟件后面就有一些人工進行讀碼，讀取到我這個短信是多少，然后再返回給前端的軟件。

最后面的就是一些套現(xiàn)和協(xié)助銷贓，比如某一次活動搞的一些充值卡、優(yōu)惠卡，這個銷贓的時候會折扣收買給代理商、店鋪，比如說充值卡，充值卡搶到的是多少面額的，可能折扣賣給商家，商家再以一定的折扣再賣給用戶，中間就會賺取一些差價。

還有一些實物的二手市場的一些轉賣，這個是信息共享的一些論壇和 QQ 群，基本上各種活動信息，包括一些網(wǎng)盤上的工具，還有一些 QQ 群，基本上都是信息的共享和任務的分發(fā)。

還有群控軟件，基本上通過主控設備做操作，就能同步到所有的設備上，通過這個就可以登錄多個賬號進行一些操作。

新趨勢

電商購物節(jié)點促銷活動上遭遇的薅羊毛往往呈現(xiàn)出集群化作弊的現(xiàn)象，成百上千部手機刷同一個APP的新手紅包、優(yōu)惠券。電商平臺推出的幾萬個限量紅包就會在極短的時間內，被羊毛黨薅走，這樣在大促時電商拿出的推廣費用，全都被羊毛黨薅走，并不能達到預期的推廣效果，也不能給平臺用戶帶來真正的實惠。

當然，大部分黑產(chǎn)還是老的薅羊毛手法，目前存在的一些新手法，其實技術思路其實都是和以前一樣的，比如去年發(fā)現(xiàn)了一些通過投毒一些通用組件，做插入惡意js做引流或者通過惡意js挖礦的案例。

不過，相對前幾年而言，當前薅羊毛有幾個新的關注點：

一些高級的技巧，比如利用數(shù)據(jù)庫主從分離和緩存使用高并發(fā)的條件競爭進行優(yōu)惠券獲取或者刷單。

過去薅羊毛可能僅僅是‘錢’，而現(xiàn)在更多的還有可能是數(shù)據(jù)，比如有做信用評級的公司，很有可能通過接口來獲取信息，而本來這些信息是需要第三方付費才能使用的。

一些開放平臺存在漏洞，比如微博這樣的大社交平臺，如果存在漏洞可以進行引流，從而變現(xiàn)。

攻防對抗

最開始的就是弱防護，弱防護基本像專業(yè)殺手或者是黑灰產(chǎn)就通過模擬器，基本上就可以達到集中式的一些方位，或者做一些薅羊毛的事情。

隨著弱防護加上了，還有一些基礎手段，比如設備識別，識別 IMEI 號或者是其它一些信息甄別這個設備。這個也有針對性地出現(xiàn)了一些設備牧場，設備牧場的這種攻擊，基本上在一部分上就繞過了對真機的檢測。

驗證（電話驗證），電話驗證上下形成一些短信，包括一些語音驗證，這是攻的手段，防的手段也有專業(yè)的設備，比如說貓池，卡商就會把一些卡放到貓池的設備上，可以簡單理解成虛擬的手機，手機設備可以插多張卡，這個設備連接到電腦，就可以直接讀取上行的短信，并且下行發(fā)短信。

后期的一些防范手段又出現(xiàn)了各種驗證碼，像圖文的、文字、問答式的，包括現(xiàn)在出現(xiàn)了一些滑動的行為式的，還有點擊式的。攻的手段也有打碼平臺，后臺是人工打碼，就是人工來識別驗證碼。所以，攻防對抗是不斷在持續(xù)演進。

除了產(chǎn)業(yè)鏈這些攻防對抗的手段，還需要做哪些？

1.端上做保護。

比如說針對一些批量刷接口的情況，可以做一些接口協(xié)議上的保護，還有業(yè)務邏輯上的一些防護，比如一些活動的一些邏輯防護（推理的一些算法，或函數(shù)之類的）。

2.完善產(chǎn)品邏輯。

比如剛才的薅樣毛案例一，天貓商城的生日積分，它就是業(yè)務規(guī)則上有漏洞，包括有些產(chǎn)品邏輯上也有漏洞，比如限制這個活動只能參加一次，或者一天只能參加幾次，這個是業(yè)務上的漏洞。還有開發(fā)代碼上有一些漏洞，實際上也是邏輯上的遺漏。

3.防撞庫和脫庫、用戶的信息保護。

主要是進行一些弱密檢測，還有泄露的一些賬號，包括黑灰產(chǎn)拿賬號進行撞庫清洗，這塊兒也要做一些防護。

你還可以閱讀雷鋒網(wǎng)以下報道，獲得更多信息：

黑產(chǎn)過雙11：薅一天，吃一年？這里有防“薅羊毛”最強指南 | 硬創(chuàng)公開課（總結+視頻）

臥底薅羊毛 QQ 群，月入N萬？

薅東鵬羊毛，讓蘋果哭泣，扒皮黑灰產(chǎn)服務型產(chǎn)業(yè)鏈

618購物節(jié)前夕，我發(fā)現(xiàn)了一個薅羊毛群

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。