0512打折网9.9元跑步机,9.9元冰箱,9.9元平衡车,
在各大APP的悬空广告中,拼多多散发着诱人的气息,
如果你被这些广告所吸引,那么9.9元的跑步机成为彩票的概率非常低。
在狠狠扒了用户的羊毛之后,拼多多也被“灰黑产品”扒光了。 (之所以把“灰黑产”打上引号,是因为拼多多号召的灰黑产很多都是看过羊毛攻略的真实用户)
从20日凌晨开始,拼多多的一个神级bug被羊毛党检测到:100元优惠券没有门槛,而且这个优惠券是通用的。
(清晨羊毛党呼朋唤友)
台下的骚动已经不足以形容了。 羊毛党在微信群和赚钱网站给朋友和朋友打电话,甚至直接打电话通知对方。 他们的矛头对准了最容易变现的电话和Q币。
在id hqssima所在的羊毛群里,很多人的话费都花了几百元。 也有人心机灵敏,将未变现的QQ倒入Q币,然后打包出售,赚快钱。
上午9点多,当“拼多多百元券攻略”在战客网和微信群里发酵时,羊毛党的先驱们已经在QQ群里交流经验了:
“你的电话账单收到了吗?”
“现在优惠券越来越卡了,估计拼多多马上就要关界面了”
“送9个个Q币,懂的带上价格”
活跃在线的数万个QQ群、微信群,数十个赚钱网站,数十万个羊毛党微信朋友圈,构成了羊毛党的地下世界。
(目瞪口呆)
就像一群饿狼一样,一看到空子就一拥而上,将对手撕成碎片。 过去几年,阿里、京东、苏宁、唯品会等巨头都成为了目标。
拼多多是最新的祭坛上的羔羊。
断单:断臂止损与认亏名誉之间的权衡
拼多多最新公告称,“黑灰制作团伙利用过期优惠券漏洞盗取数千万元平台优惠券进行非法牟利。针对该行为,平台已第一时间修复漏洞,并正在对涉案事件进行追查和追查,并已向公安机关报案。
用羊毛党的行话来说,拼多多减单了。 实物商品被锁无法发货,话费被追,充Q币的QQ号被锁无法登录。
此前,没有任何一家同等规模的电商巨头做得如此出色。
2017年双十一期间,天猫的优惠规则设计出现漏洞。 黄金品类使用优惠券后可实现40折左右的低价,每克黄金有30-50元左右的利润空间。 消息在QQ群爆发后,用户开始大量下单,有的送货地址甚至买了十多条项链。
(天猫收回已寄出的快递)
结果,天猫明目张胆地砍单,甚至还追回了一些已经寄出的快递。 这一做法在当时也引起了网友们的巨大争议。
拼多多发布公告称:此优惠券为线下优惠券,从未在线上发放过。 为黑产团伙通过技术手段获取,涉嫌诈骗。 事发后,公司迅速向公安机关报案。 目前,公安机关正在立案侦查中。 由于案件涉案金额巨大,涉案黑灰制作团伙涉嫌诈骗优惠券,不当获取巨额利益,预计将被追究刑事责任。
这种做法比天猫的减单更进了一步。 如果没有合理的解释,预计会引起更多争议。
羊毛党有特色软件:京东有20余款抢单软件优惠活动,支持数万账号
在古龙的小说中,有“七兵器”之说。 在羊毛行业,工具的升级换代也早就实现了。 从注册账号到抓取编码,都可以用软件自动完成。
黑棋士在某赚钱网站上看到,仅京东就有天启、神魔、大黄蜂等20多种特色软件。 功能包括抢券、批量下单、价格监控等。 某抢货软件专门录制了一段功能视频。 视频显示该软件拥有最好的技术,不仅编码无延迟,而且价格监控功能最强大。 关键是最多可以支持5万个账号同时下单。
(羊毛网站提供工具下载和账户交易)
天猫、苏宁、唯品会、拼多多也都有自己专门的抢货客户端,软件多达五十六十种之多。
这些软件可以自动收集互联网上的新闻报道羊毛群的优惠券哪里来的,检测电子商务公司的神级优惠券,发现某些网店的错误价格。 一旦出现漏洞,他们就一拥而上,十分钟之内就能下上万单。 很多网店都被这些软件背后的羊毛党关停了,因为他们设置了错误的优惠券规则。
羊毛党是怎么发现神级券的?
根据拼多多最新公告,这批100元优惠券原本用于线下活动,由江苏卫视直播活动现场嘉宾领取,从未在线上发放。 只不过黑产团伙通过某种方式获取了优惠券发放接口,并生成二维码在微信群和QQ群中传播。
Hekis咨询了风控领域的专家。 像这种只能线下领取的优惠券,通常会有多维度的限制。 比如一台设备只能领取一台羊毛群的优惠券哪里来的,领取时间限定在举办活动的时候。 设备需要在一定的IP范围内,获得的账号需要遵守事先约定的规则等。
找到这类优惠券可能有两种方式:一是羊毛党通过软件脚本(如上述监控软件)检测优惠券发放接口,从而获取并生成有效优惠券; 还是拼多多在与江苏卫视合作的过程中,相关工作人员获得了相关线索,进而找到了专业的羊毛党,突破了技术限制。
如果被软件检测到,就可以解释为什么漏洞会在凌晨出现,直到早上八九点钟才大规模传播。 因为这些软件基本掌握在专业的羊毛党手中,他们发现后,会利用猫池、收码平台等专业工具,大量注册新账号(或者购买符合规则的旧账号)来领取优惠券。
(某工作室手机群控,一台电脑可控制100部手机)
无论是注册新账号,还是自动领取上千账号优惠券,都可以通过服务器、软件、手机集群自动完成。 只有等他们收集够油水之后,才会把线索放到赚钱网站和羊毛群上,中小羊毛党才会吃到汤底。
如果是内幕,或者活动相关人员泄露的优惠券界面,那么这次活动很可能是精心策划的,特地选择了清晨的时间完成。 综合各方面的因素,推测这种可能性比较低,但还是有一定的可能。
但不管是哪一种方式,都意味着拼多多的风控和安全体系存在重大问题。 我将在下面详细介绍这一点。
高端黑产:AI被羊毛党用来对抗月入70万的地产富二代
黑骑石采访的资深业内人士表示,在这次拼多多羊毛事件中,拿到几百元话费而高兴的,都是底层的小羊毛党员。 他们冒了最大的风险,赚了微薄的钱。 利润。 真正的大款是开发羊毛软件的公司,以及专门研究电商平台运营策略的“路客大师”。
2017年3月,绍兴警方在沉阳破获了一个高智商犯罪团伙。 该团伙建立的“快亚”编码平台,为网络黑灰产品的字符型验证码识别和破解提供技术支持。 所谓打码平台就是用机器或人工的方法识别各大网站为了防止机械刷卡而设置的各种验证码。
(编码平台界面)
民警通过对“快亚”平台的数据分析了解到,接入该平台提供验证码识别服务的软件种类达100余款。 2016年6月至2017年3月,平台资金累计达1650万元。
为该平台提供技术支持的是34岁的“地产富二代”杨柯。 他的父亲是当地的一名房地产开发商,他和妻子、儿子住在厦门一栋140多平方米的豪宅里。
杨柯毕业于大学计算机专业,研究人工智能十余年。 他使用伯克利大学的数据模型,引入大量验证码数据,为验证码识别系统提供训练,将机器识别验证码的能力提高了2000倍。
(杨柯的验证码训练库)
杨克在这个案子里一共拿到了三百万多块钱,多的时候一个月可以拿到六万到七十万块钱。 像杨克这样的技术人员,在整个羊毛党黑产业中,获得了最大的利润分成,也就是羊毛党的顶端,那群赚大钱的人。
羊毛党的预防:需要全方位的立体防护
被曝巨亏的拼多多只是冰山一角。 阿里、京东等同等规模的网站,每年至少要遭遇数万次羊毛党攻防。 只是在羊毛党准备进攻的时候,发现了大量的案件。
DataVisor中国区总经理、风控专家吴忠博士告诉黑旗石,羊毛党的攻防是一个综合的、立体的体系,原来单一的基于规则的防护已经不合时宜。 他举例说,如果要完成拼多多这样的羊毛案,首先需要掌握大量的号码资源才能注册新账号(如果是老账号,需要从暗网购买) ,或者你自己就是大号主),然后使用猫池收发注册短信,使用移动集群绕过平台对单个设备的限制。 这一系列的工具和软件需要至少数百万元的投资,资金和技术门槛极高。
从平台的角度来看,这么多的注册账号,异常登录尝试领取优惠券,异常兑换优惠券,如果设置完备的防护体系,机器学习完全可以在攻击发生前发出警报。
吴忠解释了“机器学习保护模型”和“基于规则的模型”的区别。 例如,基于规则的模型预先规定一个IP只能领取一张优惠券。 会想办法通过改变IP地址来绕过。
(DataVisor无监督机器学习引擎概念图)
但是,机器学习会考虑到暂定账号登录、暂定登录所在IP段、暂定账号级别(通常是测试用的白账号)等上百个因素,将它们纳入一个统一的模型. 机器会通过输入输出的效果自动学习并自动生成规则,从而在攻击前发出警报,提高对羊毛党的防护效率。
回击羊毛党:一场电商巨头输不起的战争
此次拼多多被薅羊毛,一时间震惊了业界。
首先令人震惊的是,损失可能是巨大的。 尽管拼多多声称损失了数千万,但也有人怀疑损失远不止这个数字。
拼多多遭受了巨大的损失,不仅仅是金钱上的损失,更是无法估量的用户信任损失。
毕竟,问题出在拼多多的优惠券上。 如果拼多多再搞优惠券活动,用户会不会参与? 参加与不参加,都会进退两难。
另外,Heikis在这里吐槽一下各个电商对风控的偏见:
从古至今,“安全风险管控”一直是父不爱母的孩子。 在领导眼里,销售才能带来销售,保卫部一直是个麻烦事。 不仅花费了数不清的金钱,而且在无形中导致在推广和业务运营中经常提出各种建议。 这个不安全,那个不安全,严重影响“运行效率”。
像拼多多这样疯狂增长的怪物级企业,把增长效率放在第一位,安全和风控目前看来还不到位。
如果安全到位,要挤羊毛的环节那么多,从注册账号到运营上线,哪有那么容易被挤?
在羊毛党的战争中,平台永远处于劣势,而且在可预见的未来不会改变。 即便是阿里、京东这样的企业,也需要如履薄冰,谨慎行事。
本文前传:拼多多100元代金券出现漏洞,你想开着宝马进去过年?
