摘要: 一周前,淘宝针对新注册用户,出了一系列的激励政策。 而活动很快沦为黑产“薅羊毛”的对象,并在一周内形成完整产业链。黑产从业者“一日薅出7千元”、“3日获利5万”。 而这一切得以实施的重点,是支付宝存在一个“非实名可转账”规则,这个规则被黑产利用,正在沦为洗钱通...
一周前,淘宝针对新注册用户,出了一系列的激励政策。
而活动很快沦为黑产“薅羊毛”的对象,并在一周内形成完整产业链。黑产从业者“一日薅出7千元”、“3日获利5万”。
而这一切得以实施的重点,是支付宝存在一个“非实名可转账”规则,这个规则被黑产利用,正在沦为洗钱通道。
在这场攻防大战中,淘宝步步为营,修改规则;黑产见缝插针,无孔不入。
攻与守之间,不仅需要斗智斗勇,还需深谙人性…
01 黑产狂欢
一周前,淘宝对新注册用户,推出一系列优惠活动,其中一个是充值30元减5元优惠券。
活动一推出,立马搅动黑产链条,各大黑产群针对该活动,制定一系列薅羊毛攻略。
刷客小欣研究了一轮风控规则后,发现确实有利可图。
他从软件平台,购买了代注册和验证码收取业务,“一天薅出来7000元”。
黑客会针对各大平台的优惠活动,开发批量注册软件。
这些软件,汇聚到一些大的软件平台上,公开售卖。而这场淘宝的注册,除了注册机,还需要模拟器协同操作,成本价6毛到一块。
淘宝活动的第一天,类似小欣的刷客就大量涌入,在软件平台上批量注册领取优惠券。
而这些获取的优惠券,刷客的消化方式是,卖给一些淘宝的充值店铺。
比如一些淘宝店,充值30元,可打折到29元,而他们使用优惠券,只需要25元就能完成充值,净挣4元。
各大软件平台的背后,是一群卡商,他们负责采集卡、养卡,提供了这条产业链的养料。
卡商程金平,养了2万张卡。
养卡需要专业设备,行话称为“猫池”和“卡池”,猫池需要放在卡池中,联动操作。
程金平租了一个小平房,将卡池装上后,连接电脑,装上相应的软件,就可以利用手机卡批量注册。
▲ 程金平的工作室已初具规模
在这个20多平米的隐秘小房间中,卡池轰轰运转。每天晚上他将卡一张张取下来,更换新卡——这就是他的日常,小心翼翼养卡,就像浇灌自己的摇钱树,毫不马虎。
2万张卡,前期投入总金额,大概为40多万。
而这些卡,每个月都能为他滚动近30万的收入;遇到旺季,每个月能收入近百万。
除了冒一定的风险,这简直就是一个一本万利、坐地收钱的生意。
像程金平这样的卡商,在业内只能算小规模,还有一些大卡商,手里养着几十万张卡,“每日滚金几十万”。
一本财经(ID:yibencaijing)在《欺诈盛宴》中,曾经揭露完整的刷客产业链。
前端,刷客们去搜集信息,寻找平台漏洞,并消化赃物。
中端,卡商提供手机号,并滋养卡。
后端,黑客编写软件,通过平台公开招商。
每个人,各司其职,默契配合,提供自己的最大价值。
“每一次优惠活动,活动部门会根据需求,制定相对宽松的规则,”阿里相关负责人称,在活动执行过程中,发现问题,再不断修改规则。
而这也与阿里最新的9字安全方针“轻管控,重检测,快响应”,有莫大关系。
对于一家互联网公司来说,流量非常重要,说白了,任何促销和优惠,都是为了导流。
然而,如果制定过严的风控规则,会导致用户体验差,“让用户觉得我们没有诚意”;如果为了保证流畅的体验,规则放宽,必然会被黑灰产盯上。
这是一场人性的战争。
每一次活动或促销,都如过一次独木桥——左右权衡,在流量和风控之间,找到一个平衡点。
显然淘宝在第一天,还没找到这个平衡点。
活动第一天,淘宝的大数据安全模型就发现了“数据异常”,安全部门立即采取措施阻止了机器行为。
首日之战,以刷客的大获全胜结束。
02 道高一丈
次日,机器批量操作被封杀后,战况却进一步升级——人力羊毛大军开始涌入。
针对淘宝的第一次封杀,羊毛大军在群里、论坛里讨论应对之策。
“自己用新手机,或者去买一些淘宝新号,就可以操作”,网友小朱研究后,发现还有漏洞可钻。
机器注册被封杀,还有漏网之鱼,那就是以前注册,尚未使用的号——很多人将这些号囤积,就是为了这样的优惠活动。
这样的号,行话叫“白号”。
很快,各大黑产群中,开始传播购买支付宝、淘宝白号的链接,一个账号的售价仅需0.8元。
而小朱就如此靠销售白号,3日获利5万元。
用白号领取红包后,按照道理,还需要再支付25元,才能使用“充值30减5元优惠券“。
此时,就需要实名验证,绑定银行卡——如果非实名,甚至接收不到其他账号的“转账”。
淘宝白号,根本不可能实名,如此,岂不是无法进行下一步操作?
小朱称,永远是,道高一丈。
刷客们发现,支付宝的一个规则,可以成功绕过实名注册,完成转账支付:
只需要PC端上登录支付宝,用实名的支付宝账号,给白号发送一个红包,就能将钱转过去。
▲ 可以用红包抵扣,完成支付
这个红包虽无法提现,但可以用于支付宝消费。
摸清了这个规则后,在各大刷客群里,大家疯狂出售白号;各大论坛的教程贴,也有近万阅读。
此时,淘宝也并非坐以待毙。
阿里的相关负责人称,他们也在摸对手招式,不断修改规则,但也要尽量避免误伤正常用户。
为此,淘宝再次升级风控规则,以前批量注册的白号,也被挡在了活动之外。
03 另辟蹊径
刷客们在论坛上抱怨:“规则又改了,黄了黄了”。
大戏就此落幕了吗?远未结束。
话费被封堵后,新用户还能领取一项优惠,就是淘宝外卖的“粮票”。
一个新用户可以领取三四张,最好用的一张是“满20.1减少20元券”,“满15.1元减15元券”,可用于外卖预订。
刷客一拥而上,领取优惠券后,在群里或网上销售。
▲ 群里各种花式揽客
▲ 网上公开售卖
而购买者,再从淘宝外卖中下单——刷客和购买者,便分食了优惠。
值得注意的是,两种作弊式的操作,都依赖于“网上红包”功能,成功绕过实名制的硬性门槛,直接消费支付。
而这个规则,也正在成为黑灰产交易洗钱的一种方式。
黑客小C称,有些小额交易付款,对方都会要求用网上红包的方式转账,“这种方式最核心的点是,你无法获取对方的真实身份”。
黑市交易中,匿名性是一个极为重要的诉求。
“目前,网上红包一次可发980元左右,也可多次转账。如此,几千元的黑市交易,用这种方式走账,极为方便,”小C称。
针对以上情况,支付宝也给出了相应答复。
目前,支付宝账号绝大多数已完成实名制,仅有极少数未实名制账号,相关负责人称,“对于这些未实名的账号,我们会不断引导其完成实名”。
至于“网页红包”绕过的规则,支付宝答复称,这些网页红包产品,是以抵用券的形式发放到账户,并非转账,无法提现,只能用于购物消费。
针对可疑的转账交易,尤其是大额的,支付宝有一整套反洗钱风控系统进行监测和防范,会根据实际情况不断地优化和升级。
尽管支付宝有一定规则,但“网页红包”在这次羊毛盛宴中,充当了核心角色。
04 攻防大战
持续一周的时间,淘宝与黑灰产之间的斗争,至今未落下帷幕。
淘宝每一次修改规则,刷客们就再寻新路,无孔不入。
“我们不停观察他们规则,我们的核心逻辑就是,模拟真人,做得逼近真人,让他们防不胜防,”小朱称。
而对手,需要从鱼龙混杂中,去筛选出哪些是真实意愿用户,哪些是薅羊毛刷客。
这场攻防大战,不仅仅是斗智斗勇,还需要深谙人性。
这场战争何时结束?
直到刷客薅羊毛的成本,高于优惠成本。
而这次大战中,刷客的成本在不断提高,从0.6元软件平台的服务,到0.8元淘宝白号购买,最后淘宝封堵规则后,只能从网上花8元购买粮票。
淘宝的活动尚且激战至此,更何况其他平台的优惠活动?几乎每一次,都成为黑产的狩猎之物。
“任何优惠活动,都不能完全杜绝羊毛党,”通付盾的CEO汪德嘉称,所谓的风控产品,就是一项“人性的艺术”,需要平衡多方需求。
收得太紧,流量减少,正常用户会被误伤,或因为体验不流畅放弃;放得太松,则黑产涌入。
且不说流量和风控之间的权衡,每个平台之间,都有两股势力博弈:
有时候,是运营部门和高层,他们需要给领导上交一份“完美的数据”;
有时候,是高层和VC投资人,他们需要向VC证明业务繁荣,以拉升估值。
一些羊毛党,也和多个平台结为“盟友”,对方发布促销活动,都会知会一声,“欢迎来薅”。
“很多平台的活动,30%的用户是真的,我们尽量做到数据反一反,保证70%是真实的,”汪德嘉称,在风控中,只能做到抓大放小。
各大互联网公司的安全部门,和黑灰产激战多年,其中也不缺卧底、暗访的惊险细节。
然后,一切都是治标不治本。
黑灰产如此堂而皇之地窃夺互联网时代红利,却没有任何法律的监管。
尽管在最新的网络安全法中,对网络安全要求有了进一步提升,却对刷客、羊毛党这个群体,没有明确法案约束。
最关键的是,这个群体寄生在网络上,匿名性极强,追踪、取证都太难。