电商频遭“薅羊毛”
网络流行语“羊毛党”原是网民的戏称,指的是在电子商城、银行、实体店等各渠道的优惠促销活动、免费业务中,以相对较低成本甚至零成本换取物质实惠的人群,这一行为也被称为“薅羊毛”。
不过,近年来“羊毛党”人数、规模不断扩大,各类新兴垂直类、拼购类社交电商为抢占市场,推出大量优惠活动,为“羊毛党”的滋生提供了沃土。现在的职业“薅羊毛”已经成为一批人利用非法手段钻平台优惠活动的漏洞,从中赚取差价牟利的犯罪行为。
记者不久前体验过一次“羊毛党”的疯狂攻击。当天,一家电商平台推出晚9点优惠抢购活动。晚6点,职业“羊毛党”发起试探性攻击,探一探每个账号可以抢几单优惠。5分钟后,这家公司的安全专家魏晓华(化名)协调平台做出调整,每个账号限定抢1至2单。为了扩大抢单量,“羊毛党”随即调整战术,启用主力部队——囤积的老账号。
“为了规避技术人员拦截,这批账号早在今年元旦便注册了,养了半年,就等这次抢单。”魏晓华说,“我们早就盯上这批账号了。”20多分钟攻击后,“羊毛党”几乎一无所获。
“羊毛党”再次调整战术,开启机器人批量注册新账号,招募“新兵”。“这是个‘昏招’,批量注册的账号很容易识别。”果然,这波进攻很快被击溃。
到晚8点半,“羊毛党”启用真人团队。他们通过微信群、QQ群招聘网民来注册账号。“羊毛党”低价买到手后以这批账号发起攻击。
“与机器人注册相比,这个识别难度大。但通过注册时间、注册地与下单地比对等方式,很快识别出来。”魏晓华说,直到零点活动结束,技术人员阻击6万多次攻击。
北京数美时代科技有限公司数据显示,不久前的“618”电商节活动期间,公司平均每天拦截“羊毛党”账号2000万个。“以平均每单获利10元保守估计,电商平台减少2亿元的损失。”公司首席技术官梁堃说。
“薅羊毛”呈现新特征
2017年,网络安全行业门户网站FreeBuf等机构发布的一份报告称,约有110万个“薅羊毛”团伙兴风作浪。梁堃日前也判断:“从今年‘618’购物节监控数据推算,职业‘羊毛党’数量约有150万至200万人。”
与此同时,“羊毛党”也呈现出一些新的特征。
——职业化。一位“羊毛党”告诉暗访记者,除了电商平台外,信用卡积分、飞机延误险、电子产品质保等都是可以薅的“羊毛”,甚至小说阅读平台也可以“薅羊毛”,并可以以此为生。
2020年浙江警方披露的一起案件中,犯罪嫌疑人通过自制软件恶意攻击一款小说阅读App“狂刷”积分,随后在积分商城中兑换各种网络会员。凭借这种非法手段,犯罪嫌疑人的爱奇艺会员充值到了2111年。
——专业化、团队化。梁堃介绍,职业“羊毛党”一般有四大分工:一是情报人员,搜集电商平台的优惠信息、防御手段等;二是基础资源操作人员,负责运营手机号、开发绕过验证码的打码平台等;三是场景作恶人员,打造傻瓜式抢购器;四是套现人员,将抢到的优惠券或商品倒卖变现。
记者进入一个人数为200人的“羊毛群”后发现,群内呈现职业“羊毛党”带领业余“羊毛党”格局。职业“羊毛党”负责寻找漏洞、搜集线报以及制作“薅羊毛”教程;业余“羊毛党”则多由学生、宝妈等想要赚外快的人员构成,将利用职业“羊毛党”提供的信息“薅”来的低价产品或优惠券通过线上线下渠道进行分销倒卖获利。
浙江警方披露的另一起案件中,涉案百余人的“羊毛党”团伙在不到3天时间里,通过6万个虚拟账号和外挂软件,薅走某游戏公司400多万元,占公司奖励用户资金的60%以上。
——跨国化。近年来,“羊毛党”开始走出国门。有业内人士公开反映,有些职业“羊毛党”驻扎在东南亚国家,以逃避电商平台公司的反制和我国政府的监管。东南亚生活成本低,成为职业“羊毛党”的理想藏身地。
中国政法大学传播法研究中心副主任朱巍说,职业“羊毛党”攻击网络漏洞,扰乱正常的市场交易秩序,影响互联网经济的创新和发展。“羊毛党”为了分享信息而创建的大量群聊当中,甚至可能存在非法集资、传销等违法行为。
去年,互联网交互安全服务商“极验”发布的一份报告估计,截至2020年我国“羊毛党”灰色产业市场规模逾1000亿元。
加大打击网络黑灰产
近年来,公安机关不断加大对以职业“羊毛党”为代表的网络黑灰产打击力度。2020年,全国公安机关深入推进“净网2020”专项行动,侦办网络黑产类案件1万余起,抓获犯罪嫌疑人1.5万名,扣押“手机黑卡”548万张,查获涉案网络账号2.2亿余个。
记者梳理近一年来公安部门公布的多起案件发现,“羊毛党”团伙从三五人到几十人,违法获利从1万多元到数百万元,经审判获刑期从几个月到11年半。以上海为例,通过不正当途径大量获取平台优惠券,累计超过1000元即可构成盗窃罪。
此外,用户账号作为职业“羊毛党”“薅羊毛”的必需品,实名认证、高质量的账号被大规模“爬取”,也会导致用户的个人信息泄露。前不久,河南省商丘市睢阳区人民法院的一份刑事判决书显示,两名犯罪嫌疑人在不到一年时间里,爬取并盗走包括淘宝用户数字ID、淘宝昵称、手机号码等客户信息约11.8亿条。二人在掌握用户数据后,通过添加微信、发送短信等方式,向用户发布相关店铺的优惠信息,在用户完成消费后抽取佣金,2019年11月至2020年7月非法获利34万元。
有业内人士指出,企业需要常态化审查业务漏洞,进一步规划和加强自身的风控能力,比如加固电商平台原有的图片验证码、短信验证等防护措施。
“平台要加强对‘羊毛党’的警示、风控等相关措施,应对措施要提前。”朱巍说,对于一些有组织、利用技术手段发起的恶意“薅羊毛”,相关部门不能仅仅作为民事责任考虑,而要用刑法等进行惩处。此外,可以建立网络信用体系和统一的跨平台黑名单等,遏制当前“薅羊毛”的高发态势。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/41948.html