拼多多遭黑产“薅羊毛” 专家谈风控的重要性

本篇文章3074字，读完约8分钟

针对薅羊毛票券事件，品多多多发表声明称，上海警方已立案“网络诈骗”，并成立了专案组，根据财产扣押的相关规定，涉案订单被分批冻结。由于涉案金额巨大，预计将对涉嫌欺诈和巨额不当利益的黑灰色生产团伙追究刑事责任。

打击大量黑色产品“薅羊毛”

1月20日凌晨，网络营销活动出现了严重漏洞，用户可以获得100元无门槛优惠券。随后，一些网民透露，他们可以用收到的优惠券给手机账单和q币充值。上午9点，网民们发现品多多已经拿走了所有相关优惠券。10点左右，漏洞被平多多正式修复。

事发后，品多多也发表了官方声明。1月20日上午，一个黑色和灰色的制作团伙通过过期的优惠券漏洞获取了数千万张平台优惠券，并获得了不正当的利润。鉴于这种行为，平台已经在第一时间修复了铜泄漏，并且正在追踪所涉及的钉子的来源。同时，我们已经向公安机关报案，并将积极配合有关部门打击涉黑涉灰团伙。

专家谈电子商务风控制的重要性

为此，我采访了顶尖图像技术的反欺诈专家黑马数字观察，向他询问了此次事件的起因、影响以及羊毛和黑灰的出现给整个互联网企业带来的危害。

虽然媒体报道和品多多的声明中没有提到风险的原因，但顶尖的图像技术反欺诈专家分析，出现这个问题可能有两个原因:一是内部控制可能不严格，导致过期活动的优惠券没有下架，即流程没有得到很好的控制。其次，可能是多层风控制体没有得到很好的保护。“反欺诈就像塔防游戏一样，需要层层设防才能有效防止它。”

他认为营销活动应从多方面进行防范:首先，电子商务平台必须建立营销反欺诈体系:当有营销活动时，企业营销活动应与营销反欺诈体系相联系，企业应受到营销反欺诈体系的保护。

其次，部署专业的风险控制解决方案:与网络营销反欺诈解决方案一样，可以有效防范营销欺诈、红包刷、薅羊毛和促销欺诈等欺诈风险。其应用强化和专有虚拟机源代码保护有效地防止了电子商务客户端、h5和web被破解和入侵，并防止攻击者通过端口漏洞进行批量注册、批量登录和批量订单抓取。

安全sdk保证电子商务客户端、存储数据和数据传输的加密。Dinsight实现决策引擎，及时发现各种风险操作，并通过智能非归纳验证有效拦截。此外，信泰尔智能模型平台根据业务场景和需求建立了更合适的风险模型，进一步增强了风险控制效果。

最后，通过技术手段对异常风险进行验证和阻断:如果存在超出上述计划的风险或漏洞，通过top image指纹技术可以有效地检测出模拟器、机器修改、团伙作弊等欺诈行为，然后借助非归纳验证工具，可以有效地识别机器行为，提供多级身份验证，发现超出规则的异常行为，并进行二次验证和自动阻断，以减少损失。

随着互联网的发展，越来越多的企业需要逐步将业务从线下转移到线上，改变传统的运营模式，实现精细化运营，通过互联网运营带动业绩增长。像许多p2p平台、电子商务、银行和其他企业一样，他们希望通过在线渠道推广他们的业务，以吸引用户来增强他们的产品活动。

这些平台每天都会产生大量的数据，被一些不法分子和主流互联网平台所利用。此外，移动设备的广泛使用、交易速度和频率的提高以及检测技术的不完善，使得企业控制风险和打击欺诈的难度越来越大。

因此，在互联网蓬勃发展的背后，出现了一条巨大而成熟的“黑灰色产业链”。这个产业链可以涵盖金融、社会、电子商务、游戏等行业。在这样的背景下，“羊毛床垫”和“羊毛派对”应运而生。

根据上图，薅羊毛是一种根据互联网的营销活动，用低成本甚至零成本换取高回报和高回报的方式。羊毛党从各种渠道收集信息，如优惠促销和免费服务，如主要的网上贷款、电子购物中心、银行、实体店等。，并通过各种手段窃取这些利益，然后以相对较低的成本甚至零成本交换物质利益。

换句话说，薅羊毛是市场经济环境下逐利的本能行为，科技手段的进步使这种行为变得更容易。随着互联网市场进入用户股票游戏时代，加强用户挖掘和提升用户体验尤为关键。

针对用户的营销和推广活动将会越来越频繁，这不仅会将运营位置提升到重要位置，还会给毛方带来更多的赚钱机会。

根据Top Image 2018年第三季度的业务风险监控数据，每个平台遇到的薅羊毛风险占所有业务风险的5.6%。由于操作简单、参与门槛低，薅羊毛已成为电子商务领域最大的商业风险之一。

根据我黑马数码的观察，羊毛派对有两种类型。一种类型是指积极参与各种营销活动的行为，包括但不限于全额折扣、现金返还、彩票、优惠券等。，但它不能给平台带来活跃用户的实际增长。另一个是，毛党视薅羊毛为职业，利用企业或平台的漏洞攫取大量利益，甚至进行欺诈。

无论是哪种羊毛方，这些欺诈手段都严重影响了企业的正常运营，影响了用户的体验，给企业带来了巨大的经济损失，也加剧了社会问题。

“黑灰色的生产商通常通过技术和计算机控制大量注册虚假账户，以便为薅羊毛和欺诈等营利用途做准备。用于注册账户的大部分信息来自各种平台泄露的信息。

2018年，发生了几起大规模的账户泄密事件，包括朱华集团、acfun拦河坝视频网络等。，涉及数亿个帐户密码，而这些泄露的信息很大一部分通过地下黑市流入了黑色和灰色生产商的手中。

在获得泄露的用户和账户信息后，Black Grey公司清洗并“碰撞”数据库，除了网上诈骗和电信诈骗外，还转移账户中的余额和点数，甚至操纵账户进行薅羊毛、计费、票务和粉末交易。"

“薅羊毛”是非法的吗？

品多多今天宣布，上海警方已立案“网络诈骗”，并成立了一个特别工作组，根据财产扣押的有关规定，所涉及的订单被分批冻结。由于涉案金额巨大，预计将对涉嫌欺诈和巨额不当利益的黑灰色生产团伙追究刑事责任。

顶尖图像技术反欺诈专家认为，黑灰色生产的行为主要涉及法律的四个方面:

1、通过伪造身份、虚假注册、修改软件等手段获取利润，全部以非法占有为目的，这可能构成盗窃或欺诈。

2.虚构事实、虚假身份、对商人的虚假理解以及主动给毛当阳钱都是欺诈行为。

3.购买和欺诈使用他人的身份信息是非法的。

4.涉嫌滥用公民信息。

《网络安全法》、《刑法》、《最高人民法院和最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律对上述违法行为的处罚作了明确规定。

丁翔介绍说，为保护用户信息，去年6月1日实施的《网络安全法》第42条明确规定，网络运营商应采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、损坏或丢失。

当个人信息被泄露、损坏或丢失时，应立即采取补救措施。因此，网络运营商有义务和责任保护个人信息。窃取他人身份证注册虚假账户涉嫌违反《中华人民共和国居民身份证法》第十七条。

针对用户个人信息的泄露或被盗，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，非法获取、出售或提供痕迹信息、通讯内容、信用信息等50余条财产信息；非法获取、出售或者提供500条以上可能影响人身和财产安全的公民个人信息，如住宿信息、通讯记录、健康和生理信息、交易信息等；根据《刑法》第253-1条的规定，应视为“情节严重”。

《刑法》第二百五十三条规定:“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，出售或者提供公民在履行职责或者为他人提供服务过程中获取的个人信息的，依照前款的规定从重处罚。

由此可见，对于平台来说，如何做好风险控制、基础运营维护、预警和杜绝羊毛聚会等黑色产品变得越来越重要。