大數據分析描述：：起底職業羊毛黨：群控千臺手機薅羊毛，被薅企業損失千萬 近日，北京市海淀區人民檢察院辦理了一起因“薅羊毛”獲罪的案件。海淀區人民檢察院以被告人黃小天（化名）涉嫌提供侵入、非法控制計算機信息系統程序罪向法院提起公訴，經過法庭審判，被告人黃小天當庭認罪，被判處有期徒刑三年六個月。 新京報記者查閱海淀檢察院官微發現，在這一案例中，黃小天針對某母嬰APP的優惠活動，使用技術手段批量虛假注冊賬號，并利用這些賬號“薅羊毛”，是不折不扣的“羊毛黨”黑產。 “在這一案例中，羊毛黨利用了APP的技術漏洞，設計出了針對薅羊毛的程序，這一手法在‘羊圈’里已屬于職業水平了。”曾接觸過薅羊毛黑產的無名（化名）告訴記者，“羊毛黨通常自稱‘羊圈’，‘羊圈’主要分為三個層次：職業羊毛黨黑灰產、線報群、貪小便宜的兼職羊毛黨。” 10月9日至10月16日，新京報記者采訪多方發現，羊毛黨組織分工明確，參與者眾多，已成為了一個“羊圈生態”，立于這一生態圈頂端的，是研究優惠活動設計方漏洞，擁有成百上千賬號，使用技術手段“薅羊毛”的職業羊毛黨；而處在底端的，則是貪小便宜，利用閑暇時間注冊各種賬號，接收驗證碼，只為“薅得”一兩塊紅包的底層真實用戶。 多名專家對新京報記者表示，要打擊薅羊毛黑產，最有效的方式是直接打掉其產業鏈上游的惡意注冊工具提供商。 低端羊毛黨 包括大爺大媽、學生，為“薅”1元錢關注8個公眾號 薅羊毛可能導致個人隱私信息泄露，或掉入博彩等騙局。 在北京工作的小陳是一名寶媽，也是各類優惠打折活動的愛好者，在參加各種優惠活動的過程中，她加入了專門通報各類有獎活動的“福利群”。 小陳告訴記者，在“福利群”里有專門的“線報員”搜集各地的福利或優惠活動，并統一發到群內，她只要直接搶就行。“每天都會有不少抽獎或者直接發放紅包的活動，一天下來隨便刷一刷，飯錢就有了。” 10月12日，新京報記者加入了小陳所說的“福利群”發現，該群制定了很嚴格的群規：群員要統一名稱，當通過線報員提供的羊毛線索，并領到紅包后，需要在群里答謝，整個群幾乎沒有多余的發言，只有不斷滾動發送的“羊毛”信息和整齊劃一的答謝語句。 無名告訴新京報記者，這個“福利群”就是位于“羊圈”生態中下游的線報群，“線報群里有線報員幫忙收集互聯網上所有的有獎活動或福利信息，群員則可以按照線報員的指導進行‘薅羊毛’操作。此外，群員如果看到了有‘薅羊毛’潛力的有獎活動，也可以私信群主發布線報。” 新京報記者加入一個未禁言的線報群觀察發現，群內“羊毛黨”的構成復雜，既有待業的閑散人員，也有上年紀的大爺大媽，甚至有仍在上學想賺零花錢的學生，成員分布更是遍及全國各地。如有一名在重慶的群員發布了其本地一家公號的羊毛信息，并注明“只有重慶地區IP才可以搶”，記者咨詢若IP不同如何“薅羊毛”，對方回答稱下載某APP修改IP地址信息即可。 可以被“薅”的活動也五花八門：有商家優惠活動參與活動搶紅包，有知識答題參與并答對問題領紅包，也有玩小游戲領紅包。不過最多的為關注公眾號后進行抽獎或關注后直接發紅包。 10月13日，新京報記者在某線報群統計時發現，一小時里群內發布了10個可“薅羊毛”的線報，每個線報可“薅”的金額在1元左右。照此計算，一個普通的“羊毛黨”1小時內可以賺10元。但由于線報群發的任務中有相當多為抽獎，并非所有優惠活動都能“薅”到羊毛，一天下來普通的群員真正能“薅”到的金額基本只有十幾元。 小陳表示，參加這個群的收入能有多少，要看參與了多少任務，“我只是平時無聊參與一下，賺個外賣錢，累積下來一個月估計也就一百多。如果經常參與活動，理想估算一個月下來收入可以上千，但不值得。” 10月13日，記者在某線報群嘗試進行“薅羊毛”操作，打開線報員提供的5個鏈接后，按照提示進行關注公眾號、接收驗證碼以及答題或抽獎等操作。但最終有3個鏈接抽獎失敗，一個答題活動答題之后沒有發放獎金，只有在一個游樂場開業活動的優惠中通過玩游戲“薅”到了羊毛：1元。但為了薅到這一元錢，記者耗費了20分鐘，關注了8個公號，手機接收了5個驗證碼。 對此，有業內人士表示，使用手機號注冊或在公眾號填寫個人信息等行為可能導致個人隱私信息泄露。新京報記者發現，一些低端“羊毛黨”并不介意這一點，有的群里甚至有人叫賣自己手機號代他人接收驗證碼。 值得注意的是，也有不少借“薅羊毛”之名拉新用戶的假“福利群”存在。 10月14日，記者以“薅羊毛”等關鍵字在多個社交平臺搜索發現，搜出的不少微信或QQ群實際上是一些博彩或假區塊鏈網站，以福利優惠為名吸引用戶注冊，并推出號稱可以換現的代幣或彩票。有安全專家表示，此類“福利群”名為福利實則往往與騙術甚至傳銷掛鉤，若有貪小便宜的用戶誤以為可以“薅羊毛”往往就會中招。 線報群揭秘 每天推送上千紅包，成黑產工具 黑產利用低端“羊毛黨”薅羊毛，線報群、任務群成為分發渠道。 有業內人士估計，全國羊圈專業玩線報的活躍用戶估計在百萬人左右。“線報圈的人可能不算特別多，但一個線報群里的薅羊毛信息可以由群員傳播至其他線報群，以此迅速裂變傳播。”無名表示。 上述記者加入的某個“線報群”公告顯示，其為“專業高度組織化羊毛黨”，可以“收集全網的紅包活動，每天推送上千個紅包”。按照一小時可“薅”出10個紅包計算，該群一天內理想狀態下可發布100多個優惠活動，雖然沒有到“上千紅包”，但也較為可觀。 10月12日至15日，新京報記者通過不同渠道加入多個線報群發現，不少線報群雖然群主和群員完全不同，但發布的線報活動甚至發布活動所配文案都一模一樣。小陳告訴記者，這就是群員之間自由傳播線報導致的，“我們發布線報自身也有紅包獎勵，如果薅完一個紅包后發現其他線報群沒有這個線報，就可以把線索提供給其他線報群的群主。這樣一個羊毛項目只要發布，就會迅速傳播至全國各地，再被用戶‘薅走’，所以薅羊毛的手必須要快。” 無名告訴記者，“線報的來源復雜，有為賺取抽成的專業線報員發現，有商家自愿投放，也有羊毛黨發現后主動分發給其他線報群。” 線報群還有衍生的“任務群”。記者10月14日加入一個QQ“福利任務群”中發現，該群的“線報員”只有群主一人，群員只需要搶群主發布的福利“羊毛”內容即可。例如注冊某APP后完成APP的任務，過程較為復雜，但收入也較多，一次新用戶注冊操作后可能“薅走”5元左右。 在不少安全人士看來，線報群和任務群的存在為灰黑產們提供了助力。 騰訊天御團隊在公開接受采訪時曾講述了一段對抗薅羊毛黑產的場面：2018年11月16日，某銀行發布的紅包活動一上線，立即被黑產團伙獲知，當天就有“散客”在論壇上稱，已建好300人的群，只要加入助力互拆，每天能拿滿100元紅包。天御團隊的安全專家表示，黑產們利用了“手機墻”、“肉牛”等方式進行進攻。前者是一種專門利用真實、活躍的手機號進行“薅羊毛”的方式，由團伙成員同時在線操作；后者是一種叫做“人肉眾包”的方式，一個由“任務分發-多人點擊-獲利分配”等環節組成的鏈條，背后操盤的是“牛頭”或“羊頭”，他們有專屬暗號，下面有大量“肉牛”，由于這些“肉牛”都是真人操控，甄別“肉牛”，又不誤傷真實的用戶就成了最大的難題。 無名告訴記者，最低端的“羊毛黨”有時就充當了“肉牛”的身份，而線報群以及任務群就成為了任務分發的渠道。 騰訊安全業務安全產品負責人Nathan表示，近幾年真人羊毛黨逐漸興起，是因為很多公司依靠社交場景來進行獲客，發送鏈接邀請好友幫忙砍價就是真人羊毛黨擅長的領域。“對于這種現象，一方面，建議平臺在設計邏輯規則的時候，一定要注意各方面安全性的問題，另一方面，與黑產對抗是一個不斷進步的過程，安全部門也會不斷努力，與黑產對抗到底。” 職業“羊毛黨”黑產 群控千臺手機薅羊毛，已成高度分工黑產鏈條 薅羊毛黑產已形成高度分工的產業鏈，群控軟件是養號和薅羊毛標配。 無名認為，站在“羊圈”金字塔頂端的，是已經進入黑灰產范疇的職業羊毛黨。 在東鵬特飲技術負責人、深圳市鵬訊云商科技有限公司總監董文波看來，羊毛黨包括小羊毛和專門養號的職業羊毛黨，“東鵬特飲曾做過‘掃碼搶紅包’促銷，有一部分掃碼用戶是貪小便宜購買二維碼掃碼的小羊毛，小羊毛的危害度事實上相對比較低，因為他畢竟還是真人在那里，但也是最難以追蹤的。而職業羊毛黨在早期的時候就會拿很多號碼一直養在那里，之后等著品牌商的活動，然后通過一些技術的手段，采用腳本的方式去快速地刷以獲利。” 職業羊毛黨曾讓東鵬特飲損失慘重。“2015年東鵬特飲開始做掃碼送紅包時就發現，有不少異常的掃碼行為，我們內部估算大約有5%左右被羊毛黨薅掉了，后來引入技術團隊發現，事實上被羊毛黨薅掉的紅包大概有8%-10%。”董文波表示。 據了解，在沒有與騰訊安全合作前，東鵬特飲每年在掃碼送紅包營銷活動中被黑產薅掉的紅包高達千萬元。 2019年初，拼多多也遭遇了薅羊毛事件。拼多多方面當時表示，有黑灰產團伙通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券，進行不正當牟利。 據報道，黑灰產團伙通過“養貓池”（用手機卡蓄養大量虛擬賬號）等不法手段，實現N張手機黑卡同時作業，批量盜取該種優惠券，并通過手機話費、Q幣等虛擬充值的方式，試圖在短時間內迅速轉移此類不當所得，涉案優惠券總金額達數千萬元。拼多多風控團隊負責人表示，黑灰產團伙在盜取金額巨大的優惠券并轉移其不當所得后，期望達成“法不責眾”的效果，迅速通過網絡和社交群將二維碼分享出去，誘導一些普通消費者跟風掃碼。 拼多多稱，預計本次事件造成的最終實際損失大概率低于千萬元。 新京報記者采訪多位專家了解到，目前薅羊毛黑產擁有高度分化的產業鏈條，主要包括：上游的軟件開發人員、腳本開發人員、接碼平臺等提供可以批量注冊賬號的工具；中游黑產團隊通過購買大量手機SIM卡，再通過這些軟件工具和貓池等硬件設備將自己模擬成大量普通用戶，惡意注冊各平臺賬號并養號，在“薅羊毛”機會出現時利用大批量的賬號賺取收益；下游擁有能夠快速將優惠券等平臺內資金轉移出去的支付以及清洗轉移渠道。 “在手機號、賬號注冊維度上，有卡商來提供手機號，比如現在常用的物聯網卡；在模擬實際用戶維度上，有貓池、模擬器、多開軟件用于掛機‘養號’；在驗證碼驗證環節，有自動識別字符、圖片的技術，如CNN深度神經網絡技術，開源的代碼簡單的腳本就能實現百分之九十以上的識別通過率，此外對于比較難的驗證碼還有人工打碼平臺來支撐。”Nathan告訴新京報記者。 無名表示，職業羊毛黨的最顯著特征就是擁有上千臺手機和完善的技術破解手段。“幾百個手機的屬于小工作室，只有上千臺手機才能算職業羊毛黨。” 事實上，關于群控設備，目前也已發展出完善的產業鏈。新京報記者曾以購買者的身份聯系過一名群控軟件銷售商，對方表示群控軟件是養號和薅羊毛的標配：“從微信維護、養號到全自動引流營銷，所有功能在安裝了群控軟件后僅需要在電腦上一鍵操作即可完成。100控與200控（即可使用軟件控制100臺或200臺手機）的設備售價1888元和2888元不等。比如現在不少APP看新聞就能領金幣，你拿幾百臺手機掛一晚上，什么都不干都能收入數百元。” 新京報記者在一個羊毛黨討論群里發現，針對不同地區的優惠活動以及薅羊毛操作，黑產團隊推出了不同的腳本，如修改IP地址的工具、自動點贊的工具、模擬新用戶的模擬器等，多種工具構成了職業羊毛黨薅羊毛的“武器”。 無名對記者表示，“真正頂尖的職業羊毛黨是通過尋找優惠活動漏洞的方式進行薅羊毛操作的，這類職業羊毛黨自稱‘項目組’，具體運行方式是尋找新發布的優惠活動存在的漏洞（即‘項目’），之后利用技術開發專門針對該活動的腳本程序，再輔以群控的成千上萬臺設備，一擁而上進行薅羊毛。他們往往精通技術，是真正的黑灰產，也是各類互聯網公司的風控團隊嚴防死守的對象。” ■ 專家觀點 薅羊毛黑產或觸及違法犯罪 電子商務研究中心主任曹磊此前在接受媒體采訪時表示，國內“羊毛黨”已經形成了組織化程度極高的黑灰產組織。上到BAT，下到初創的互聯網公司，只要舉辦市場活動，都可能面臨“羊毛黨”的巨大威脅。曹磊建議，互聯網公司一方要不斷加強風控能力，同時也呼吁有關部門和執法機關加大對“羊毛黨”、刷單族等互聯網黑灰產業的打擊力度，特別在電商法實施之后，給消費者一個更加公平明亮的環境。 在湖北尊而光律師事務所張梅律師看來，“薅羊毛”黑產嚴重擾亂了正常的市場競爭秩序，不但直接侵害了經營者的財產權，而且會大幅度提高企業的經營成本。此外，“薅羊毛”黑產還會直接損害網絡消費者的利益，因為經營者推出優惠活動的總金額都是有限的，黑產大肆攫取了優惠券，真正的消費者獲得優惠券的概率和總金額就少了。對于“薅羊毛”這種新型的違法犯罪行為，執法和司法機關應當順應形勢需要，強化技術手段和偵查能力，在黑產形成之際抓住典型案件進行重點打擊，對不法分子進行法律威懾，避免因放任違法行為而出現“破窗效應”。 新京報記者查閱中國裁判文書網發現，羊毛黨們已經觸及了“提供侵入、非法控制計算機信息系統程序罪”。例如，2018年有兩名黑灰產從業員因開發并銷售針對淘寶優惠活動的“聯合搶拍器”，法院最終認為其行為已構成提供侵入、非法控制計算機信息系統程序、工具罪。 薅羊毛還有可能觸及盜竊罪。北京康達律師事務所律師韓驍表示，用戶利用系統漏洞大量領取平臺的優惠券并以此獲利，可能涉嫌盜竊罪，若獲利數額達到相關標準，則有可能需要承擔刑事責任。 據了解，2017年修訂的《反不正當競爭法》也規定，虛假交易、刷單炒信、電商平臺“二選一”等行為將被重罰。 Nathan告訴新京報記者，職業羊毛黨黑產團伙的涉案金額比較大，有可能會觸犯到《刑法》。所以羊毛黨們慢慢就變成了“各賺各的一份錢”，從而分散責任。 在采訪中，多名專家表示，要打擊薅羊毛黑產，最有效的方式是直接打掉其產業鏈上游的惡意注冊工具提供商。專家表示，打擊惡意注冊，最好的辦法是能夠斬斷惡意注冊黑產鏈最上游，從生態上擠壓惡意注冊的生存空間。 新京報記者 羅亦丹 編輯 李薇佳 校對 付春愔 [email protected]