原標(biāo)題：薅羊毛黑產(chǎn)調(diào)查：群控千臺手機(jī)薅羊毛 被薅企業(yè)損失千萬

　　近日，北京市海淀區(qū)人民檢察院辦理了一起因“薅羊毛”獲罪的案件。海淀區(qū)人民檢察院以被告人黃小天（化名）涉嫌提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序罪向法院提起公訴，經(jīng)過法庭審判，被告人黃小天當(dāng)庭認(rèn)罪，被判處有期徒刑三年六個月。

　　新京報(bào)記者查閱海淀檢察院官微發(fā)現(xiàn)，在這一案例中，黃小天針對某母嬰APP的優(yōu)惠活動，使用技術(shù)手段批量虛假注冊賬號，并利用這些賬號“薅羊毛”，是不折不扣的“羊毛黨”黑產(chǎn)。

　　“在這一案例中，羊毛黨利用了APP的技術(shù)漏洞，設(shè)計(jì)出了針對薅羊毛的程序，這一手法在‘羊圈’里已屬于職業(yè)水平了。”曾接觸過薅羊毛黑產(chǎn)的無名（化名）告訴記者，“羊毛黨通常自稱‘羊圈’，‘羊圈’主要分為三個層次：職業(yè)羊毛黨黑灰產(chǎn)、線報(bào)群、貪小便宜的兼職羊毛黨。”

　　10月9日至10月16日，新京報(bào)記者采訪多方發(fā)現(xiàn)，羊毛黨組織分工明確，參與者眾多，已成為了一個“羊圈生態(tài)”，立于這一生態(tài)圈頂端的，是研究優(yōu)惠活動設(shè)計(jì)方漏洞，擁有成百上千賬號，使用技術(shù)手段“薅羊毛”的職業(yè)羊毛黨；而處在底端的，則是貪小便宜，利用閑暇時間注冊各種賬號，接收驗(yàn)證碼，只為“薅得”一兩塊紅包的底層真實(shí)用戶。

　　多名專家對新京報(bào)記者表示，要打擊薅羊毛黑產(chǎn)，最有效的方式是直接打掉其產(chǎn)業(yè)鏈上游的惡意注冊工具提供商。

　　低端羊毛黨

　　包括大爺大媽、學(xué)生為“薅”1元錢關(guān)注8個公眾號

　　薅羊毛可能導(dǎo)致個人隱私信息泄露，或掉入博彩等騙局。

　　在北京工作的小陳是一名寶媽，也是各類優(yōu)惠打折活動的愛好者，在參加各種優(yōu)惠活動的過程中，她加入了專門通報(bào)各類有獎活動的“福利群”。

　　小陳告訴記者，在“福利群”里有專門的“線報(bào)員”搜集各地的福利或優(yōu)惠活動，并統(tǒng)一發(fā)到群內(nèi)，她只要直接搶就行。“每天都會有不少抽獎或者直接發(fā)放紅包的活動，一天下來隨便刷一刷，飯錢就有了。”

　　10月12日，新京報(bào)記者加入了小陳所說的“福利群”發(fā)現(xiàn)，該群制定了很嚴(yán)格的群規(guī)：群員要統(tǒng)一名稱，當(dāng)通過線報(bào)員提供的羊毛線索，并領(lǐng)到紅包后，需要在群里答謝，整個群幾乎沒有多余的發(fā)言，只有不斷滾動發(fā)送的“羊毛”信息和整齊劃一的答謝語句。

　　無名告訴新京報(bào)記者，這個“福利群”就是位于“羊圈”生態(tài)中下游的線報(bào)群，“線報(bào)群里有線報(bào)員幫忙收集互聯(lián)網(wǎng)上所有的有獎活動或福利信息，群員則可以按照線報(bào)員的指導(dǎo)進(jìn)行‘薅羊毛’操作。此外，群員如果看到了有‘薅羊毛’潛力的有獎活動，也可以私信群主發(fā)布線報(bào)。”

　　新京報(bào)記者加入一個未禁言的線報(bào)群觀察發(fā)現(xiàn)，群內(nèi)“羊毛黨”的構(gòu)成復(fù)雜，既有待業(yè)的閑散人員，也有上年紀(jì)的大爺大媽，甚至有仍在上學(xué)想賺零花錢的學(xué)生，成員分布更是遍及全國各地。如有一名在重慶的群員發(fā)布了其本地一家公號的羊毛信息，并注明“只有重慶地區(qū)IP才可以搶”，記者咨詢?nèi)鬒P不同如何“薅羊毛”，對方回答稱下載某APP修改IP地址信息即可。

　　可以被“薅”的活動也五花八門：有商家優(yōu)惠活動參與活動搶紅包，有知識答題參與并答對問題領(lǐng)紅包，也有玩小游戲領(lǐng)紅包。不過最多的為關(guān)注公眾號后進(jìn)行抽獎或關(guān)注后直接發(fā)紅包。

　　10月13日，新京報(bào)記者在某線報(bào)群統(tǒng)計(jì)時發(fā)現(xiàn)，一小時里群內(nèi)發(fā)布了10個可“薅羊毛”的線報(bào)，每個線報(bào)可“薅”的金額在1元左右。照此計(jì)算，一個普通的“羊毛黨”1小時內(nèi)可以賺10元。但由于線報(bào)群發(fā)的任務(wù)中有相當(dāng)多為抽獎，并非所有優(yōu)惠活動都能“薅”到羊毛，一天下來普通的群員真正能“薅”到的金額基本只有十幾元。

　　小陳表示，參加這個群的收入能有多少，要看參與了多少任務(wù)，“我只是平時無聊參與一下，賺個外賣錢，累積下來一個月估計(jì)也就一百多。如果經(jīng)常參與活動，理想估算一個月下來收入可以上千，但不值得。”

　　10月13日，記者在某線報(bào)群嘗試進(jìn)行“薅羊毛”操作，打開線報(bào)員提供的5個鏈接后，按照提示進(jìn)行關(guān)注公眾號、接收驗(yàn)證碼以及答題或抽獎等操作。但最終有3個鏈接抽獎失敗，一個答題活動答題之后沒有發(fā)放獎金，只有在一個游樂場開業(yè)活動的優(yōu)惠中通過玩游戲“薅”到了羊毛：1元。但為了薅到這一元錢，記者耗費(fèi)了20分鐘，關(guān)注了8個公號，手機(jī)接收了5個驗(yàn)證碼。

　　對此，有業(yè)內(nèi)人士表示，使用手機(jī)號注冊或在公眾號填寫個人信息等行為可能導(dǎo)致個人隱私信息泄露。新京報(bào)記者發(fā)現(xiàn)，一些低端“羊毛黨”并不介意這一點(diǎn)，有的群里甚至有人叫賣自己手機(jī)號代他人接收驗(yàn)證碼。

　　值得注意的是，也有不少借“薅羊毛”之名拉新用戶的假“福利群”存在。

　　10月14日，記者以“薅羊毛”等關(guān)鍵字在多個社交平臺搜索發(fā)現(xiàn)，搜出的不少微信或QQ群實(shí)際上是一些博彩或假區(qū)塊鏈網(wǎng)站，以福利優(yōu)惠為名吸引用戶注冊，并推出號稱可以換現(xiàn)的代幣或彩票。有安全專家表示，此類“福利群”名為福利實(shí)則往往與騙術(shù)甚至傳銷掛鉤，若有貪小便宜的用戶誤以為可以“薅羊毛”往往就會中招。

　　線報(bào)群揭秘

　　每天推送上千紅包成黑產(chǎn)工具

　　黑產(chǎn)利用低端“羊毛黨”薅羊毛，線報(bào)群、任務(wù)群成為分發(fā)渠道。

　　有業(yè)內(nèi)人士估計(jì)，全國羊圈專業(yè)玩線報(bào)的活躍用戶估計(jì)在百萬人左右。“線報(bào)圈的人可能不算特別多，但一個線報(bào)群里的薅羊毛信息可以由群員傳播至其他線報(bào)群，以此迅速裂變傳播。”無名表示。

　　上述記者加入的某個“線報(bào)群”公告顯示，其為“專業(yè)高度組織化羊毛黨”，可以“收集全網(wǎng)的紅包活動，每天推送上千個紅包”。按照一小時可“薅”出10個紅包計(jì)算，該群一天內(nèi)理想狀態(tài)下可發(fā)布100多個優(yōu)惠活動，雖然沒有到“上千紅包”，但也較為可觀。

　　10月12日至15日，新京報(bào)記者通過不同渠道加入多個線報(bào)群發(fā)現(xiàn)，不少線報(bào)群雖然群主和群員完全不同，但發(fā)布的線報(bào)活動甚至發(fā)布活動所配文案都一模一樣。小陳告訴記者，這就是群員之間自由傳播線報(bào)導(dǎo)致的，“我們發(fā)布線報(bào)自身也有紅包獎勵，如果薅完一個紅包后發(fā)現(xiàn)其他線報(bào)群沒有這個線報(bào)，就可以把線索提供給其他線報(bào)群的群主。這樣一個羊毛項(xiàng)目只要發(fā)布，就會迅速傳播至全國各地，再被用戶‘薅走’，所以薅羊毛的手必須要快。”

　　無名告訴記者，“線報(bào)的來源復(fù)雜，有為賺取抽成的專業(yè)線報(bào)員發(fā)現(xiàn)，有商家自愿投放，也有羊毛黨發(fā)現(xiàn)后主動分發(fā)給其他線報(bào)群。”

　　線報(bào)群還有衍生的“任務(wù)群”。記者10月14日加入一個QQ“福利任務(wù)群”中發(fā)現(xiàn)，該群的“線報(bào)員”只有群主一人，群員只需要搶群主發(fā)布的福利“羊毛”內(nèi)容即可。例如注冊某APP后完成APP的任務(wù)，過程較為復(fù)雜，但收入也較多，一次新用戶注冊操作后可能“薅走”5元左右。

　　在不少安全人士看來，線報(bào)群和任務(wù)群的存在為灰黑產(chǎn)們提供了助力。

　　騰訊天御團(tuán)隊(duì)在公開接受采訪時曾講述了一段對抗薅羊毛黑產(chǎn)的場面：2018年11月16日，某銀行發(fā)布的紅包活動一上線，立即被黑產(chǎn)團(tuán)伙獲知，當(dāng)天就有“散客”在論壇上稱，已建好300人的群，只要加入助力互拆，每天能拿滿100元紅包。天御團(tuán)隊(duì)的安全專家表示，黑產(chǎn)們利用了“手機(jī)墻”、“肉牛”等方式進(jìn)行進(jìn)攻。前者是一種專門利用真實(shí)、活躍的手機(jī)號進(jìn)行“薅羊毛”的方式，由團(tuán)伙成員同時在線操作；后者是一種叫做“人肉眾包”的方式，一個由“任務(wù)分發(fā)-多人點(diǎn)擊-獲利分配”等環(huán)節(jié)組成的鏈條，背后操盤的是“牛頭”或“羊頭”，他們有專屬暗號，下面有大量“肉牛”，由于這些“肉牛”都是真人操控，甄別“肉牛”，又不誤傷真實(shí)的用戶就成了最大的難題。

　　無名告訴記者，最低端的“羊毛黨”有時就充當(dāng)了“肉牛”的身份，而線報(bào)群以及任務(wù)群就成為了任務(wù)分發(fā)的渠道。

　　騰訊安全業(yè)務(wù)安全產(chǎn)品負(fù)責(zé)人Nathan表示，近幾年真人羊毛黨逐漸興起，是因?yàn)楹芏喙疽揽可缃粓鼍皝磉M(jìn)行獲客，發(fā)送鏈接邀請好友幫忙砍價就是真人羊毛黨擅長的領(lǐng)域。“對于這種現(xiàn)象，一方面，建議平臺在設(shè)計(jì)邏輯規(guī)則的時候，一定要注意各方面安全性的問題，另一方面，與黑產(chǎn)對抗是一個不斷進(jìn)步的過程，安全部門也會不斷努力，與黑產(chǎn)對抗到底。”

　　職業(yè)“羊毛黨”黑產(chǎn)

　　群控千臺手機(jī)薅羊毛，已成高度分工黑產(chǎn)鏈條

　　薅羊毛黑產(chǎn)已形成高度分工的產(chǎn)業(yè)鏈，群控軟件是養(yǎng)號和薅羊毛標(biāo)配。

　　無名認(rèn)為，站在“羊圈”金字塔頂端的，是已經(jīng)進(jìn)入黑灰產(chǎn)范疇的職業(yè)羊毛黨。

　　在東鵬特飲技術(shù)負(fù)責(zé)人、深圳市鵬訊云商科技有限公司總監(jiān)董文波看來，羊毛黨包括小羊毛和專門養(yǎng)號的職業(yè)羊毛黨，“東鵬特飲曾做過‘掃碼搶紅包’促銷，有一部分掃碼用戶是貪小便宜購買二維碼掃碼的小羊毛，小羊毛的危害度事實(shí)上相對比較低，因?yàn)樗吘惯€是真人在那里，但也是最難以追蹤的。而職業(yè)羊毛黨在早期的時候就會拿很多號碼一直養(yǎng)在那里，之后等著品牌商的活動，然后通過一些技術(shù)的手段，采用腳本的方式去快速地刷以獲利。”

　　職業(yè)羊毛黨曾讓東鵬特飲損失慘重。“2015年東鵬特飲開始做掃碼送紅包時就發(fā)現(xiàn)，有不少異常的掃碼行為，我們內(nèi)部估算大約有5%左右被羊毛黨薅掉了，后來引入技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，事實(shí)上被羊毛黨薅掉的紅包大概有8%-10%。”董文波表示。

　　據(jù)了解，在沒有與騰訊安全合作前，東鵬特飲每年在掃碼送紅包營銷活動中被黑產(chǎn)薅掉的紅包高達(dá)千萬元。

　　2019年初，拼多多也遭遇了薅羊毛事件。拼多多方面當(dāng)時表示，有黑灰產(chǎn)團(tuán)伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券，進(jìn)行不正當(dāng)牟利。

　　據(jù)報(bào)道，黑灰產(chǎn)團(tuán)伙通過“養(yǎng)貓池”（用手機(jī)卡蓄養(yǎng)大量虛擬賬號）等不法手段，實(shí)現(xiàn)N張手機(jī)黑卡同時作業(yè)，批量盜取該種優(yōu)惠券，并通過手機(jī)話費(fèi)、Q幣等虛擬充值的方式，試圖在短時間內(nèi)迅速轉(zhuǎn)移此類不當(dāng)所得，涉案優(yōu)惠券總金額達(dá)數(shù)千萬元。拼多多風(fēng)控團(tuán)隊(duì)負(fù)責(zé)人表示，黑灰產(chǎn)團(tuán)伙在盜取金額巨大的優(yōu)惠券并轉(zhuǎn)移其不當(dāng)所得后，期望達(dá)成“法不責(zé)眾”的效果，迅速通過網(wǎng)絡(luò)和社交群將二維碼分享出去，誘導(dǎo)一些普通消費(fèi)者跟風(fēng)掃碼。

　　拼多多稱，預(yù)計(jì)本次事件造成的最終實(shí)際損失大概率低于千萬元。

　　新京報(bào)記者采訪多位專家了解到，目前薅羊毛黑產(chǎn)擁有高度分化的產(chǎn)業(yè)鏈條，主要包括：上游的軟件開發(fā)人員、腳本開發(fā)人員、接碼平臺等提供可以批量注冊賬號的工具；中游黑產(chǎn)團(tuán)隊(duì)通過購買大量手機(jī)SIM卡，再通過這些軟件工具和貓池等硬件設(shè)備將自己模擬成大量普通用戶，惡意注冊各平臺賬號并養(yǎng)號，在“薅羊毛”機(jī)會出現(xiàn)時利用大批量的賬號賺取收益；下游擁有能夠快速將優(yōu)惠券等平臺內(nèi)資金轉(zhuǎn)移出去的支付以及清洗轉(zhuǎn)移渠道。

　　“在手機(jī)號、賬號注冊維度上，有卡商來提供手機(jī)號，比如現(xiàn)在常用的物聯(lián)網(wǎng)卡；在模擬實(shí)際用戶維度上，有貓池、模擬器、多開軟件用于掛機(jī)‘養(yǎng)號’；在驗(yàn)證碼驗(yàn)證環(huán)節(jié)，有自動識別字符、圖片的技術(shù)，如CNN深度神經(jīng)網(wǎng)絡(luò)技術(shù)，開源的代碼簡單的腳本就能實(shí)現(xiàn)百分之九十以上的識別通過率，此外對于比較難的驗(yàn)證碼還有人工打碼平臺來支撐。”Nathan告訴新京報(bào)記者。

　　無名表示，職業(yè)羊毛黨的最顯著特征就是擁有上千臺手機(jī)和完善的技術(shù)破解手段。“幾百個手機(jī)的屬于小工作室，只有上千臺手機(jī)才能算職業(yè)羊毛黨。”

　　事實(shí)上，關(guān)于群控設(shè)備，目前也已發(fā)展出完善的產(chǎn)業(yè)鏈。新京報(bào)記者曾以購買者的身份聯(lián)系過一名群控軟件銷售商，對方表示群控軟件是養(yǎng)號和薅羊毛的標(biāo)配：“從微信維護(hù)、養(yǎng)號到全自動引流營銷，所有功能在安裝了群控軟件后僅需要在電腦上一鍵操作即可完成。100控與200控（即可使用軟件控制100臺或200臺手機(jī)）的設(shè)備售價1888元和2888元不等。比如現(xiàn)在不少APP看新聞就能領(lǐng)金幣，你拿幾百臺手機(jī)掛一晚上，什么都不干都能收入數(shù)百元。”

　　新京報(bào)記者在一個羊毛黨討論群里發(fā)現(xiàn)，針對不同地區(qū)的優(yōu)惠活動以及薅羊毛操作，黑產(chǎn)團(tuán)隊(duì)推出了不同的腳本，如修改IP地址的工具、自動點(diǎn)贊的工具、模擬新用戶的模擬器等，多種工具構(gòu)成了職業(yè)羊毛黨薅羊毛的“武器”。

　　無名對記者表示，“真正頂尖的職業(yè)羊毛黨是通過尋找優(yōu)惠活動漏洞的方式進(jìn)行薅羊毛操作的，這類職業(yè)羊毛黨自稱‘項(xiàng)目組’，具體運(yùn)行方式是尋找新發(fā)布的優(yōu)惠活動存在的漏洞（即‘項(xiàng)目’），之后利用技術(shù)開發(fā)專門針對該活動的腳本程序，再輔以群控的成千上萬臺設(shè)備，一擁而上進(jìn)行薅羊毛。他們往往精通技術(shù)，是真正的黑灰產(chǎn)，也是各類互聯(lián)網(wǎng)公司的風(fēng)控團(tuán)隊(duì)嚴(yán)防死守的對象。”

　　“薅羊毛”黑產(chǎn)鏈條

　　上游：

　　軟件開發(fā)人員、腳本開發(fā)人員、接碼平臺等提供可以批量注冊賬號的工具。

　　中游：

　　黑產(chǎn)團(tuán)隊(duì)通過購買大量手機(jī)SIM卡，再通過這些軟件工具和貓池等硬件設(shè)備將自己模擬成大量普通用戶，惡意注冊各平臺賬號并養(yǎng)號，在“薅羊毛”機(jī)會出現(xiàn)時利用大批量的賬號賺取收益。

　　下游：

　　擁有能夠快速將優(yōu)惠券等平臺內(nèi)資金轉(zhuǎn)移出去的支付以及清洗轉(zhuǎn)移渠道。

　　■ 專家觀點(diǎn)

　　薅羊毛黑產(chǎn)或觸及違法犯罪

　　電子商務(wù)研究中心主任曹磊此前在接受媒體采訪時表示，國內(nèi)“羊毛黨”已經(jīng)形成了組織化程度極高的黑灰產(chǎn)組織。上到BAT，下到初創(chuàng)的互聯(lián)網(wǎng)公司，只要舉辦市場活動，都可能面臨“羊毛黨”的巨大威脅。曹磊建議，互聯(lián)網(wǎng)公司一方要不斷加強(qiáng)風(fēng)控能力，同時也呼吁有關(guān)部門和執(zhí)法機(jī)關(guān)加大對“羊毛黨”、刷單族等互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)的打擊力度，特別在電商法實(shí)施之后，給消費(fèi)者一個更加公平明亮的環(huán)境。

　　在湖北尊而光律師事務(wù)所張梅律師看來，“薅羊毛”黑產(chǎn)嚴(yán)重?cái)_亂了正常的市場競爭秩序，不但直接侵害了經(jīng)營者的財(cái)產(chǎn)權(quán)，而且會大幅度提高企業(yè)的經(jīng)營成本。此外，“薅羊毛”黑產(chǎn)還會直接損害網(wǎng)絡(luò)消費(fèi)者的利益，因?yàn)榻?jīng)營者推出優(yōu)惠活動的總金額都是有限的，黑產(chǎn)大肆攫取了優(yōu)惠券，真正的消費(fèi)者獲得優(yōu)惠券的概率和總金額就少了。對于“薅羊毛”這種新型的違法犯罪行為，執(zhí)法和司法機(jī)關(guān)應(yīng)當(dāng)順應(yīng)形勢需要，強(qiáng)化技術(shù)手段和偵查能力，在黑產(chǎn)形成之際抓住典型案件進(jìn)行重點(diǎn)打擊，對不法分子進(jìn)行法律威懾，避免因放任違法行為而出現(xiàn)“破窗效應(yīng)”。

　　新京報(bào)記者查閱中國裁判文書網(wǎng)發(fā)現(xiàn)，羊毛黨們已經(jīng)觸及了“提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序罪”。例如，2018年有兩名黑灰產(chǎn)從業(yè)員因開發(fā)并銷售針對淘寶優(yōu)惠活動的“聯(lián)合搶拍器”，法院最終認(rèn)為其行為已構(gòu)成提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪。

　　薅羊毛還有可能觸及盜竊罪。北京康達(dá)律師事務(wù)所律師韓驍表示，用戶利用系統(tǒng)漏洞大量領(lǐng)取平臺的優(yōu)惠券并以此獲利，可能涉嫌盜竊罪，若獲利數(shù)額達(dá)到相關(guān)標(biāo)準(zhǔn)，則有可能需要承擔(dān)刑事責(zé)任。

　　據(jù)了解，2017年修訂的《反不正當(dāng)競爭法》也規(guī)定，虛假交易、刷單炒信、電商平臺“二選一”等行為將被重罰。

　　Nathan告訴新京報(bào)記者，職業(yè)羊毛黨黑產(chǎn)團(tuán)伙的涉案金額比較大，有可能會觸犯到《刑法》。所以羊毛黨們慢慢就變成了“各賺各的一份錢”，從而分散責(zé)任。

　　在采訪中，多名專家表示，要打擊薅羊毛黑產(chǎn)，最有效的方式是直接打掉其產(chǎn)業(yè)鏈上游的惡意注冊工具提供商。專家表示，打擊惡意注冊，最好的辦法是能夠斬?cái)鄲阂庾院诋a(chǎn)鏈最上游，從生態(tài)上擠壓惡意注冊的生存空間。

　　新京報(bào)記者 羅亦丹

責(zé)任編輯：楊希 1904183207