黑灰产下的薅羊毛产业

薅羊毛的概念

在风控领域，对羊毛党的定义则比较多样化。概括表述为:热衷于参与各种营销活动（包括但不限于:满减、返现、抽奖、优惠券等活动）的用户，但并不能给平台带来实际的活跃用户增长。还有一些羊毛党把薅羊毛当做职业，利用商家或者平台的漏洞，来大量攫取利益，甚至进行诈骗，对商家造成的损失以及带来的社会问题 更加严重。

薅羊毛

薅羊毛的发展历程

其实早在“羊毛党”这个名词出现之前，就已经有一些薅羊毛的活动了，主要是热衷 于电商优惠活动的“淘宝客”，热衷于网络调查、打码、答题的“网赚群体”。2014 年起，电商、团购通过微信进行推广促销，由于电商本身根基雄厚，活动形 式简单、门槛低，微信红包、优惠券、满减、免单之类的推广活动几乎是零风险， 迅速受到羊毛党的关注，使得羊毛党人数爆发式增长。

此外，网赚群体中的小部分人，开始建立了博客、工作室，组建起具有一定规模的 QQ 群，微信群，YY 频道，为羊毛党提供活动线报、经验，同时也积累了大量的下线。这些渠道成为了日后 CPS 推广平台的主力，各大薅羊毛的网站、论坛、公众号、QQ 群，CPS 推广，也是产业链中的重要一 环。平台为了吸引活跃用户，获取到投资，往往会和广告公司或者 CPS 推广公司 合作，平台按照用户的注册数量来进行费用结算。而广告公司和 CPS 公司在短时 间内难以达到平台的预期，就会选择跟羊毛党合作，也就是找“刷子”。

“羊毛“ 产业链

过去的几年间，羊毛党已经发展成为一只庞大的力量，薅羊毛过程中需要的各种资料、手段、工具，促生了上游的各种灰色产业，比如: 接码平台、商业化的注册机、群控系统、代理平台、资料商人和账号商人。

黑灰产业链

1. 手机卡商

手机卡商，属于整个产业链最上游的群体。数量众多的卡商们，为各大接码平台源 源不断地提供手机卡，也就是风控领域中常说的“虚假号码”。

“虚假号码”并不是“虚拟手机号”(由虚拟运营商负责发行和管理的手机号)，“虚 假号码”泛指所有用于代替他人接收验证码的手机号。绝大部分虚假号码，没有经过 实名制登记，存活时间有限，超出运营商规定的实名制期限，就会被强制停机，然 后变成空号进行回收，再继续投放市场。也有部分虚假号码，是经过实名制登记 的，可以长期使用，但随着时间的推移，这些号码被使用的次数越来越多，过往的 风险行为很容易被识别出来，进而被标记为黑名单。

2. 接码平台

接码平台一般会提供客户端、API，甚至手机客户端，服务端会根据预先设置好的短信模板对短信内容进行自动匹配，提取出其中的验证码信息，为羊毛党提供了极 大的便利。 接码平台的 API，能够对接到自动化脚本和自动化工具中，实现批量化注册。

3. 打码平台

验证码（Captcha）是各个网站、APP常见的功能模块。 在网络黑产中，不法分子窃取网站数据库后，需要确认帐号对应的密码是否正确， 将有价值的数据通过验证的方式筛选出来，这一过程黑话叫“晒密”，意即撞库。而 “晒密”最核心的障碍就是互联网公司设置的验证码安全体系。每天面对数以亿计的 “晒密”需求，黑产分子不可能人工逐个识别，而是需要提高“晒密”效率，批量识 别。“打码平台”即是提供批量自动化识别各类验证码的专业服务平台。

4. 改机工具

改机工具，是通过劫持系统函数，来对设备信息进行篡改的技术手段。 Android 或 iOS 设备中，都提供了各种接口，用于获取设备的基本信息，比如设 备标识符IMSI，IDFA/IDFV。而改机工具能够从系统层面劫持这些接口，当APP调 用这些接口来获取设备的各项参数时，获取到的，都是改机工具伪造出来的数据。 如果凭借设备参数来判断设备的唯一性，改机工具每次生成新的参数，就会被识别 为一台新的设备。

5. 按键精灵

移动端的按键精灵能够记录用户的触摸轨迹和输入操作。早期的按 键精灵，通过录制用户的触摸轨迹来完成，发现到今天，大部分按键精灵，已经可以通过编写脚本来实现了。

6. 群控系统

群控系统，是模拟器作弊的升级手段。模拟器作弊和群控系统，都是为了打破越来 越多的针对设备维度的限制技术而产生的。区别在于，群控系统都使用真机来完 成。设备指纹技术的产生，让我们可以通过多种方式，来识别设备都否是模拟出来 的。设备群控，应运而生。

7. 开发者

开发者在整个黑色产业链中，扮演者非常重要的角色。数量众多的开发者，不断地 在给整个黑产军团提供大量的自动化工具、作弊工具、脚本、插件，大大提升了黑 产的作业效率。

灰色产业的监管

尽管“薅羊毛”行为需要抵制和监管，但是，目前却并没有成文的规定去打击“薅羊毛”行为。“羊毛党”大多都是通过商家指制定的规则，利用技术手段获取奖品或优惠，或者通过网络手段变现，赚取差价，进行套利。羊毛党的很多活动都是在设定的游戏规则范围之内，看起来也很合理。“薅羊毛”如果在商家正常指定的规则下进行的话，那监管部门几乎很难发力，因为他们并没有越过法律这一条线。但是也不可否认“羊毛党”中还是有胆子大的人的， 他们站在黑白线上，为自己的套利铤而走险。

灰色产业下的犯罪行为

按照中国人民共和国刑法第二百八十六条规定： 对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正 常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以 上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应 用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。羊毛党利用网站漏洞非法牟利，很明显已经触犯了法律，同时还可构成盗窃、诈骗罪。

企业应对方式

1. 事前准备

待发布业务进行安全测试，除了常规的安全漏洞之外，还要尽可能发现业务逻辑上的问题并加以修复，发现实际存在的业务安全问题并在上线前及时修复，降低企业业务层面的风险。 业务安全类问题，自动化扫描一般难以发现，企业可以借助第三方安全厂商或白帽众测服务查找并修复。

并且，在产品设计之初应当考虑到风控的需求、特定的埋点，适当的引入第三方风控服务，能够为后续的运营和维护带来极大的便利。

具体而言，企业可通过设置单人获利上限、设置规范提醒、减少现金等直接利益、 提高参与门槛、接入风控等方式，做好事前准备工作。

2. 事中监控&响应

需要制定好两套方案，一套正常运营方案，一套应急预案。 应急预案的制定原则在于对黑产变现路径中由后向前的寻找关键节点进行门槛性限制。

针对薅羊毛用户可能发生异常的数据维度，依赖策略系统及大数据挖掘系统，建立风控策略，包括但不限于流量的网络特征、用户操作行为异常等; 结合平台自身的历史数据沉淀出的黑名单，包括 IP、手机号等进行拦截。

运营过程中需要做好持续监控，密切跟踪数据，一旦发现异常，需要及时进行分析和溯源，确定具体问题。必要时，启动应急预案，及时止损，保证业务的正常运行

3. 事后总结

风险事件已经发生，首先要启动应急预案，及时修复漏洞。随后必须对本次事件中涉及到的各项问题进行经验总结，在后续的业务工作中避免出现同样的问题。

此外，风险事件中被发现的异常行为、异常账户、异常数据，都需要进行深入的分析，从中抽取出黑产所使用的 IP、手机号、邮箱、设备等信息，沉淀为风险数据名单，在此后的业务工作中，能够发挥一定的作用。 必要时，可以报警调查，并根据根据这些名单数据，追回本次风险事件所造成的损失。

————————————

数据城堡：数据无处不在，让我们一起来窥探数据的魅力！（关注专栏：数据城堡）

更多回答请看：ZacharyW