一周前,淘寶針對新注冊用戶,出了一系列的激勵政策。
����
而活動很快淪為黑產“薅羊毛”的對象,并在一周內形成完整產業鏈。黑產從業者“一日薅出7千元”、“3日獲利5萬”。
���������
而這一切得以實施的重點,是支付寶存在一個“非實名可轉賬”規則,這個規則被黑產利用,正在淪為洗錢通道。
在這場攻防大戰中,淘寶步步為營,修改規則;黑產見縫插針,無孔不入。
攻與守之間,不僅需要斗智斗勇,還需深諳人性…
01
黑產狂歡
一周前,淘寶對新注冊用戶,推出一系列優惠活動,其中一個是充值30元減5元優惠券。
活動一推出,立馬攪動黑產鏈條,各大黑產群針對該活動,制定一系列薅羊毛攻略。
刷客小欣研究了一輪風控規則后,發現確實有利可圖。
�������
他從軟件平臺,購買了代注冊和驗證碼收取業務,“一天薅出來7000元”。
黑客會針對各大平臺的優惠活動,開發批量注冊軟件。
������
這些軟件,匯聚到一些大的軟件平臺上,公開售賣。而這場淘寶的注冊,除了注冊機,還需要模擬器協同操作,成本價6毛到一塊。
淘寶活動的第一天,類似小欣的刷客就大量涌入,在軟件平臺上批量注冊領取優惠券。
而這些獲取的優惠券,刷客的消化方式是,賣給一些淘寶的充值店鋪。
�������
比如一些淘寶店,充值30元,可打折到29元,而他們使用優惠券,只需要25元就能完成充值,凈掙4元。
各大軟件平臺的背后,是一群卡商,他們負責采集卡、養卡,提供了這條產業鏈的養料。
卡商程金平,養了2萬張卡。
������
養卡需要專業設備,行話稱為“貓池”和“卡池”,貓池需要放在卡池中,聯動操作。
程金平租了一個小平房,將卡池裝上后,連接電腦,裝上相應的軟件,就可以利用手機卡批量注冊。
������
在這個20多平米的隱秘小房間中,卡池轟轟運轉。每天晚上他將卡一張張取下來,更換新卡——這就是他的日常,小心翼翼養卡,就像澆灌自己的搖錢樹,毫不馬虎。
2萬張卡,前期投入總金額,大概為40多萬。
而這些卡,每個月都能為他滾動近30萬的收入;遇到旺季,每個月能收入近百萬。
除了冒一定的風險,這簡直就是一個一本萬利、坐地收錢的生意。
������
像程金平這樣的卡商,在業內只能算小規模,還有一些大卡商,手里養著幾十萬張卡,“每日滾金幾十萬”。
一本財經(ID:yibencaijing)在《欺詐盛宴》中,曾經揭露完整的刷客產業鏈。
前端,刷客們去搜集信息,尋找平臺漏洞,并消化贓物。
中端,卡商提供手機號,并滋養卡。
后端,黑客編寫軟件,通過平臺公開招商。
每個人,各司其職,默契配合,提供自己的最大價值。
����
“每一次優惠活動,活動部門會根據需求,制定相對寬松的規則,”阿里相關負責人稱,在活動執行過程中,發現問題,再不斷修改規則。
��������
而這也與阿里最新的9字安全方針“輕管控,重檢測,快響應”,有莫大(博客,微博)關系。
對于一家互聯網公司來說,流量非常重要,說白了,任何促銷和優惠,都是為了導流。
������
然而,如果制定過嚴的風控規則,會導致用戶體驗差,“讓用戶覺得我們沒有誠意”;如果為了保證流暢的體驗,規則放寬,必然會被黑灰產盯上。
這是一場人性的戰爭。
�����
每一次活動或促銷,都如過一次獨木橋——左右權衡,在流量和風控之間,找到一個平衡點。
顯然淘寶在第一天,還沒找到這個平衡點。
���
活動第一天,淘寶的大數據安全模型就發現了“數據異常”,安全部門立即采取措施阻止了機器行為。
首日之戰,以刷客的大獲全勝結束。
02
道高一丈
������
次日,機器批量操作被封殺后,戰況卻進一步升級——人力羊毛大軍開始涌入。
針對淘寶的第一次封殺,羊毛大軍在群里、論壇里討論應對之策。
�������
“自己用新手機,或者去買一些淘寶新號,就可以操作”,網友小朱研究后,發現還有漏洞可鉆。
�����
機器注冊被封殺,還有漏網之魚,那就是以前注冊,尚未使用的號——很多人將這些號囤積,就是為了這樣的優惠活動。
這樣的號,行話叫“白號”。
很快,各大黑產群中,開始傳播購買支付寶、淘寶白號的鏈接,一個賬號的售價僅需0.8元。
而小朱就如此靠銷售白號,3日獲利5萬元。
�������
用白號領取紅包后,按照道理,還需要再支付25元,才能使用“充值30減5元優惠券“。
������
此時,就需要實名驗證,綁定銀行卡——如果非實名,甚至接收不到其他賬號的“轉賬”。
淘寶白號,根本不可能實名,如此,豈不是無法進行下一步操作?
小朱稱,永遠是,道高一丈。
刷客們發現,支付寶的一個規則,可以成功繞過實名注冊,完成轉賬支付:
只需要PC端上登錄支付寶,用實名的支付寶賬號,給白號發送一個紅包,就能將錢轉過去。
可以用紅包抵扣,完成支付
這個紅包雖無法提現,但可以用于支付寶消費。
摸清了這個規則后,在各大刷客群里,大家瘋狂出售白號;各大論壇的教程貼,也有近萬閱讀。
此時,淘寶也并非坐以待斃。
阿里的相關負責人稱,他們也在摸對手招式,不斷修改規則,但也要盡量避免誤傷正常用戶。
為此,淘寶再次升級風控規則,以前批量注冊的白號,也被擋在了活動之外。
03
另辟蹊徑
刷客們在論壇上抱怨:“規則又改了,黃了黃了”。
大戲就此落幕了嗎?遠未結束。
話費被封堵后,新用戶還能領取一項優惠,就是淘寶外賣的“糧票”。
������
一個新用戶可以領取三四張,最好用的一張是“滿20.1減少20元券”,“滿15.1元減15元券”,可用于外賣預訂。
刷客一擁而上,領取優惠券后,在群里或網上銷售。
群里各種花式攬客
網上公開售賣
而購買者,再從淘寶外賣中下單——刷客和購買者,便分食了優惠。
���
值得注意的是,兩種作弊式的操作,都依賴于“網上紅包”功能,成功繞過實名制的硬性門檻,直接消費支付。
而這個規則,也正在成為黑灰產交易洗錢的一種方式。
������
黑客小C稱,有些小額交易付款,對方都會要求用網上紅包的方式轉賬,“這種方式最核心的點是,你無法獲取對方的真實身份”。
黑市交易中,匿名性是一個極為重要的訴求。
������
“目前,網上紅包一次可發980元左右,也可多次轉賬。如此,幾千元的黑市交易,用這種方式走賬,極為方便,”小C稱。
針對以上情況,支付寶也給出了相應答復。
�����
目前,支付寶賬號絕大多數已完成實名制,僅有極少數未實名制賬號,相關負責人稱,“對于這些未實名的賬號,我們會不斷引導其完成實名”。
�������
至于“網頁紅包”繞過的規則,支付寶答復稱,這些網頁紅包產品,是以抵用券的形式發放到賬戶,并非轉賬,無法提現,只能用于購物消費。
�����
針對可疑的轉賬交易,尤其是大額的,支付寶有一整套反洗錢風控系統進行監測和防范,會根據實際情況不斷地優化和升級。
�����
盡管支付寶有一定規則,但“網頁紅包”在這次羊毛盛宴中,充當了核心角色。
04
攻防大戰
持續一周的時間,淘寶與黑灰產之間的斗爭,至今未落下帷幕。
淘寶每一次修改規則,刷客們就再尋新路,無孔不入。
����
“我們不停觀察他們規則,我們的核心邏輯就是,模擬真人,做得逼近真人,讓他們防不勝防,”小朱稱。
而對手,需要從魚龍混雜中,去篩選出哪些是真實意愿用戶,哪些是薅羊毛刷客。
這場攻防大戰,不僅僅是斗智斗勇,還需要深諳人性。
這場戰爭何時結束?
直到刷客薅羊毛的成本,高于優惠成本。
�����
而這次大戰中,刷客的成本在不斷提高,從0.6元軟件平臺的服務,到0.8元淘寶白號購買,最后淘寶封堵規則后,只能從網上花8元購買糧票。
淘寶的活動尚且激戰至此,更何況其他平臺的優惠活動?幾乎每一次,都成為黑產的狩獵之物。
����
“任何優惠活動,都不能完全杜絕羊毛黨,”通付盾的CEO汪德嘉稱,所謂的風控產品,就是一項“人性的藝術”,需要平衡多方需求。
收得太緊,流量減少,正常用戶會被誤傷,或因為體驗不流暢放棄;放得太松,則黑產涌入。
且不說流量和風控之間的權衡,每個平臺之間,都有兩股勢力博弈:
有時候,是運營部門和高層,他們需要給領導上交一份“完美的數據”;
有時候,是高層和VC投資人,他們需要向VC證明業務繁榮,以拉升估值。
���
一些羊毛黨,也和多個平臺結為“盟友”,對方發布促銷活動,都會知會一聲,“歡迎來薅”。
�������
“很多平臺的活動,30%的用戶是真的,我們盡量做到數據反一反,保證70%是真實的,”汪德嘉稱,在風控中,只能做到抓大放小。
各大互聯網公司的安全部門,和黑灰產激戰多年,其中也不缺臥底、暗訪的驚險細節。
然后,一切都是治標不治本。
黑灰產如此堂而皇之地竊奪互聯網時代紅利,卻沒有任何法律的監管。
������
盡管在最新的網絡安全法中,對網絡安全要求有了進一步提升,卻對刷客、羊毛黨這個群體,沒有明確法案約束。
最關鍵的是,這個群體寄生在網絡上,匿名性極強,追蹤、取證都太難。
黑灰產就如此在互聯網盛世之下,活得滋潤恣意。
攻防之戰何時休?
流量與風控,人性與欲望,這其中,到底要權衡多少利益?
這些博弈未結,這場攻防大戰就永不落幕…
