文章來源:司馬說科技
說到羊毛黨,人們的印象裡還是在每天在淘寶京東找優惠券,沒事就往傢裡成箱囤積牙膏的網絡小販。
其實不然,國內的羊毛黨已經形成瞭利潤豐厚、組織嚴密、組織化程度極高的灰產組織。上到 BAT,下到不知名互聯網公司,隻要舉辦市場活動,都可能面臨羊毛黨的巨大威脅。
甚至,羊毛黨有能力對投入十億級別、上市公司這樣的龐然大物發動攻擊,戰而勝之。這就有點超出大傢的想象。
僵屍軍團擼垮上市公司:某公司半年虧 10 億
2016 年 8 月份,有個爆炸性的消息在各種網賺群、羊毛群裡傳播:某上市公司旗下的全資子公司要力推直播軟件,隻要你註冊瞭這個直播,每天直播 10 分鐘,第一天 30 元,第二天 30 元,第三天還是 30 元,以後每天還有 10 元,而且第二天即可提現。
(網上鋪天蓋地的經驗交流貼)
如果看你直播的人多,還有排位獎!有人用單個賬號主播,其餘小號去刷禮物,一天收入數萬元。
過程不講瞭,直接說結果:2016 年底,根據統計機構的數字,該直播軟件的活躍用戶僅有 112 萬,與其投入的 16 億資金極其不成比例(凈虧損約 10 億元,該公司被 ST),僅僅主播分成就達到瞭近 14 億,其中不知道有多少被僵屍軍團擼走瞭。
與之相對應的是:某某軟件刷排名、刷禮物、身份認證套裝等等黑料,在暗網中猖獗一時,黑產屆多瞭許多日入數萬的百萬富翁。
想來,這個公司的決策層隻看到瞭直播軟件的火爆,看到物質刺激可以吸引流量,沒有深入研究黑產背後的東西。
手機黑卡:互聯網黑產的 " 原油 "
如果說石油是現代工業的血液,那手機黑卡就是互聯網黑產的 " 原油 "。隨著國傢對手機號實名制的大力推行,不少互聯網公司以手機號註冊的賬號為身份認證體系的基石,找回密碼、身份認證、修改密碼、大額支付等等,均需要手機號的參與。
一旦手機號這個 " 基石 " 出瞭問題,無論你的風控體系如何完善,都會出現意想不到的後果。
更何況,不少互聯網金融公司、電商公司的高層管理者隻有傳統金融風控背景,對互聯網賬號業務的安全風險估計不足,導致其開展新業務、活動運營、新用戶註冊等的時候,陷入瞭西西弗斯的困境:
新用戶的獲取越來越貴,一個有效金融用戶的獲取成本高達數百元、上千元,這錢花著真心疼;如果想把這個成本直接提供給新用戶,做註冊刺激,哪怕 50 元的物質刺激都能引起用戶的興趣,那我直接想辦法做活動,把這 50 元給用戶行不行?
答案是,不行。因為信息獲取成本的差別,這 50 元中的 99.99% 落入瞭黑產率領的僵屍軍團手中。
5 元新活動,擼垮充值 APP
某遊戲充值類 APP,剛拿到瞭一筆投資,想投幾百萬做活動,讓活躍用戶上去,同時讓投資人高興下。
CEO 還是遊戲背景,對互聯網黑產有所察覺,和風險控制團隊仔細核算幾天後,拿出瞭活動方案:凡是新用戶註冊,可以得到標稱價值 68 元的大禮包,但實際上可兌換的硬通貨,是可以滿 30 減 5 元充話費,或者滿 30 元減 5 元買 Q 幣。
事先,他們對黑產價格、成本進行瞭大致的估量:每個用戶隻給 5 元好處,而且需要手機號、身份證(人臉識別)、手機 imei 合一,這樣的風控,即使有漏洞,漏洞也不會很大吧?
事實上,這個活動做瞭不到 1 周就無疾而終。在各個網賺論壇上,留下的是:某某充值怎麼不能用券瞭啊?
根據該 APP 事先發佈的新聞稿、投入的配套廣告資源等估算,此次損失應該在 300 萬以上。
那麼,單個新用戶 5 元,就值得羊毛黨去擼嗎?
擼羊毛的成本計算:每單賺 8 元 日入 10 萬不是夢
那個充值 APP 的風控團隊也許不知道,現在的黑產軍團已經不是過去那種:某某大佬養瞭 10 萬張卡,每張卡成本五六十元,每單至少要賺十幾元才有得賺。
在互聯網上,有個叫 " 接碼平臺 " 的東東。
在這個平臺上,你隻要提出需求,比如註冊餓瞭麼賬戶,就有卡商滿足你。通常情況下,一條外賣賬戶的驗證短信,僅需要 0.1-0.2 元。
假設羊毛黨小 Q 發現餓瞭麼要舉辦新用戶滿 20 減 16 的活動,那他從接碼平臺買短信驗證碼,從 Q 群買銀行卡綁定信息,綜合成本大約在 1-2 元,而紅包的價格在 8-9 元之間。
小 Q 的利潤每單在 8 元左右。
如果小 Q 從接碼平臺買 1 萬個號,再花 100-200 元買個自動註冊機(專門定制的註冊機在 500-1000 元),一天之內,他就可以從餓瞭麼獲取 8 萬元的利潤。
以這樣的組織能力,有哪個普通用戶能搶得過羊毛黨?
對於餓瞭麼這樣的公司,在活動舉辦的初期對這種舉動是毫無察覺的,新用戶註冊踴躍,優惠券一搶而空,訂單數增加,大傢都在舉杯相慶。
但隻要活動一停,新註冊的用戶們就變成瞭僵屍,再也不會下單。
手機黑卡深度研究:物聯網卡不僅用於共享單車,更成為黑產新寵
黑奇士采訪瞭業內頂尖的黑產研究專傢,據威脅獵人 CEO 畢裕表示,目前在其手機黑號的數據庫中,大約有 1 億條左右的數據,其中 80-90% 是物聯網卡。通俗地說,就是被廣泛應用在共享單車上的手機卡。
(圖片來自威脅獵人,群控系統)
這種卡月租極低,有的是零月租。可以以公司的名義批量購買和註冊,從而繞過瞭嚴格的手機卡實名。
手機黑卡的數量還在迅速增長,目前威脅獵人的黑號數據庫,每天要新增 70 萬條數據。
除瞭大量的物聯網卡之外,還有少部分的實名卡和海外卡,這部分黑卡占到所有黑卡的大約 10%。例如,有些虛擬運營商對身份證實名制執行不嚴,可以在後臺批量實名制。
再比如,來自緬甸、越南等國傢的手機卡越來越多。從 2016 年下半年開始,大量來自緬甸、越南、印尼等東南亞國傢的手機卡開始進入國內手機黑卡產業。這些卡支持 GSM 網絡,進入國內後可以直接使用,無需實名認證。同時,這些手機卡基本是 0 月租,收短信免費,成本低,非常適合手機黑卡產業使用,且使用比例越來越高。
受害最重的四大行業:互聯網金融、電商、社交和 O2O
威脅獵人 CEO 畢裕表示,通過對手機黑卡產業的攻擊數據挖掘,受攻擊最多的前 4 大行業依次為互聯網金融、電商、社交、O2O,占所有攻擊的 64.7%。
互聯網金融行業可以說是受手機黑卡產業影響最嚴重的,各互聯網金融平臺為瞭吸引客戶到自己的平臺,爭相砸入重金做各種新用戶註冊活動。羊毛黨利用手機黑卡到各互聯網金融平臺大量的註冊新用戶,平臺的活動經費大量的落入羊毛黨的口袋中,活動的效果大打折扣,有的平臺直接就被薅羊毛薅到倒閉。
電商行業的攻擊者主要通過各大電商平臺註冊賬號,利用這些賬號進行幫商傢刷單、刷信譽等作弊行為,對電商的評價體系造成沖擊,損害電商平臺、正常經營的商傢、買傢的利益。被攻擊的電商平臺有:淘寶、京東、1 號店、蘑菇街、唯品會等。
攻擊者在社交平臺大量註冊小號,用這些小號從事發廣告、刷粉、刷閱讀量、充當網絡水軍、傳播色情內容、進行網絡詐騙等等。被攻擊最多的社交平臺包括:微信、QQ、新浪微博、映客、快手等等。
近幾年,O2O 行業在國內的發展迅猛,各平臺為瞭爭奪用戶下瞭血本,從 2010 年團購網站間的千團大戰,到 2014 年滴滴和快的之間的 24 億天價補貼大戰,再到最近共享單車領域的紅包單車大戰,戰況之激烈舉世罕見。廣大用戶在這些大戰中確實獲取到瞭實惠,但獲得收益更多的還是手裡掌握著巨量手機黑卡資源的羊毛黨們。像大眾點評這樣有商傢入駐的 O2O 平臺則跟電商平臺一樣遭受著來自養號者的攻擊,評價體系被影響。
互聯網公司應如何防范羊毛黨?
專傢建議,從運營商管理機制入手才能根治手機黑卡問題:例如,物聯網卡采用專門號段,停止發放正常號段的物聯網卡。再就是要加強地區代理商的權限管理,建立實名制審計流程,及時發現內鬼。
作為互聯網公司,在舉辦市場活動之前,應該從專業的黑產情報公司獲取手機黑號識別服務。在註冊或活動流程中接入審計策略,讓企業投入的經費能得到有效利用,並盡量減少因黑卡產業帶來的損失。
黑奇士作為研究黑產的專業安全媒體,也將持續關註互聯網黑產動向。親愛的讀者,您有舉辦活動遭受羊毛黨攻擊的案例,或者有應對羊毛黨的經驗教訓,也歡迎評論、交流和投稿。