被薅羊毛,频中招的电商平台如何防止被薅

据媒体报道,1月20日凌晨,拼多多被曝现重大Bug,用户可领100元无门槛券。当日中午,拼多多客户服务发布声明,称有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。目前平台已报案。

从最初抢夺免费福利和优惠券,到扎堆P2P平台,再到近年来发展成掘黑金产业链

上海公安部门表示,“如果真的是有黑产羊毛党恶意搞拼多多,那么本次事件是可以被当成欺诈罪处理的刑事问题。”可见,当事电商平台要公布更多详细证据,以证明确实是黑灰产所为,方能释清公众的疑惑,为依法维权赢得社会支持。

游走在法律边缘的羊毛党为何屡屡得手?

时下,“羊毛党”盛行于网络,泛指一些想尽办法占平台便宜、从中获利的群体。各类网络平台的优惠券、积分兑换、秒杀商品等,都成为被薅羊毛的对象。其中,如果仅是网友个人行为,影响不大,获利也有限,平台通常不会太在意。现在有黑灰产团伙利用非法手段窃取数据、伪造身份、恶意攻击,将“薅羊毛”变成一门“生意”,成为依附平台的“吸血鬼”,令平台损失巨大,且构成不公平行为,影响到普通用户的合法权益。

律师建议,企业可从加强审核力度、优化优惠方式、完善技术手段等方面着手防止被薅

据《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模。可见黑灰产团伙的能量之大,危害之大,对其依法严厉打击迫在眉睫。

新年伊始,因为一次大规模薅羊毛事件,拼多多和羊毛党一起登上了热搜。

目前黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。在许多网络黑灰产行为中,用户个人信息是源头之一,非法收集、窃取、倒卖个人隐私信息的现象泛滥成灾,成为黑灰产猖狂的主因。

1月20日凌晨,有网友曝出拼多多存在平台优惠券漏洞,用户可免费领取100元无门槛券,大批羊毛党拼手速抢券,并通过话费充值等方式迅速获利。

目前黑灰产属于司法打击的对象,只是因其行为较为隐秘,打击难度很大,需要各方密切配合,实现信息共享,联手对其进行全方位封堵截杀。同时,要加强对个人隐私信息的保护工作,这需要掌握技术的运营商、平台与公安、工信等监管部门协同治理,健全完善行业自律和网络安全协作机制,共筑网络安全防线,不给黑灰产留下可乘之机。

此后,拼多多回应称,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利;同时公司已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。针对被薅走200亿元的传言,拼多多表示,实际最终资损或低于千万元。

这一事件把藏匿于网络空间的羊毛党群体再次推入公众视线。从最初抢夺免费福利和优惠券,到后来扎堆P2P网贷平台,再到近年来发展成为技术水平升级的掘黑金产业链,游走在法律边缘的羊毛党不断壮大,也在不断测试着平台的漏洞防御能力。

电商平台频频中招

去年5月发布的《数字金融反欺诈白皮书》显示,2017年我国黑产从业人员超过150万人,年产值达千亿元级别。与之相比,我国的网络安全市场规模还不足400亿元。

从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒、挖矿肉鸡,网络黑产掘黑金的手段不断翻新,薅羊毛正是黑灰产的重要盈利模式之一。

此次被捡漏的拼多多并不是唯一中招的平台。面对被薅羊毛,平台的反应也并不相同。有的选择为失误造成的损失买单,有的则选择砍单或者下线止损。

例如,去年12月17日,在星巴克上线的APP注册新人礼活动中,黑灰产利用大量手机号注册虚假账号领取优惠券。随后,星巴克将活动紧急下线。

去年11月17日零时左右,东方航空官网售票系统在进行价格维护时出现异常,部分机票出现超低价,有的头等舱机票只需几十元,羊毛党趁机对白菜价机票发起群薅。此后东航表示,期间所有支付成功并已出票的机票均为有效。

2017年双11期间,有用户恶意大量下单,针对黄金品类的某些异常订单,天猫采取紧急措施,有些订单被从快递运送途中追回。

而在前两年,P2P网贷平台常常以加息手段吸引投资者,即在预期年化利率基础上再加息。而从效果上来看,无门槛的高回报活动却吸引了大量羊毛党。

不断纳新的羊毛党江湖

记者在QQ群检索栏输入薅羊毛,相关群组超过140个,每个群的人数从几十人到上千人不等。记者随机选择了一个名为薅羊毛线报群的群组加入,这个2945人的群人数已满,根据提示记者加入了新群。

记者看到,这个1月20日创建的新群组已经是第18个分群,群的名字已经没有和薅羊毛有关的字眼。1月30日晚上9时30分,记者加入该群时,群里已有223人,一天后记者再次登录时发现,群人数已经达到315人,并且仍然不断有新人涌入。

有业内人士指出,再没有一个地方像薅羊毛线报群一样,如此敏锐地对商家的优惠信息做出反应。

视频网站、社交平台的会员资格,手机流量、话费的充值机会,各类商品的打折优惠券,瓜分现金红包的相关链接即使是晚上10时以后,分享助理依然会把各种线报扔进群里。

薅羊毛并非没有技术含量。在另一个薅羊毛群的公告栏上,群主分享了软件合集下载地址。这些软件可用来破解会员资格,付费内容以及商家优惠活动的门槛,软件一直在不断更新中。

所有软件都是根据官方接口写的。如果哪个软件失效了,只能说明已被官方修复,非我司问题。这是软件下载链接上的提示,这也意味着,羊毛党必须要拼速度,赶在平台漏洞被修复之前围猎。这也验证了为什么此前多起群薅事件均发生在凌晨。

业内人士分析称,包括羊毛党在内的网络黑灰产已经形成了分工明确、紧密衔接的产业链。上游是基础性技术环节,承担网络黑产的技术开发;中游主要对黑产活动进行组织、运营和推广,发展下线;下游则利用虚假账号和恶意木马等进行钓鱼、刷单等,最终达到变现目的。

在拼多多事件中,原本每个认证用户仅可领取一张无门槛100元优惠券。但黑灰产团伙正是通过用手机卡蓄养大量虚拟账号等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券。

电商如何防止被薅?

平台提供的注册认证奖励、免费领券、充值返现、购物返利等活动,通常是利用电商信息平台来完成。而这些信息平台可能存在的漏洞就为黑灰产捡漏提供了可乘之机。

对于如何治理羊毛党现象,中国政法大学知识产权中心特约研究员赵占领对记者表示,羊毛党是否违法甚至犯罪需要具体分析,如果交易行为属于虚假交易,且有大规模恶意研发、使用相关软件、工具进行批量注册下单的行为,则涉嫌构成犯罪,需要加大打击力度。而有些薅羊毛行为本身不是违法的,处于灰色地带,在法律上对他们打击是不太可能的。

北京盈科律师事务所律师张慧敏则建议,企业可从加强审核力度、优化优惠方式、完善技术手段等方面着手。例如,针对批量刷单的羊毛党,电商可通过设备指纹技术等手段进行认证,再结合薅羊毛行为的具体情况,如通过账号、收货手机号、设备、支付ID、收货地址、历史行为轨迹、用户偏好等大数据分析是否属于职业羊毛党。

发表评论

电子邮件地址不会被公开。 必填项已用*标注