今天，AI公司正在花式「伏擊」羊毛黨丨618 專題

又是一年618，今年也和往常一樣，有高舉“不買立省100%”大旗的勤儉持家黨，殺到眼紅的剁手黨，臨時抱佛腳的抄作業黨，以及，絕對不會遲到的羊毛黨。

“薅羊毛”通常是針對企業優惠活動的一場圍剿，黑產團伙從實名手機號，到接收驗證碼，注冊平臺賬號，通過一些作弊手段，在平臺大規?；顒愚度±麧?。

雖然咱們普通消費者去領商家優惠券之類的行為，也算是薅羊毛，但一次領一張優惠券，和一口氣領幾百張優惠券的團伙作案，還是有著本質上的差別。羊毛黨的專業度和努力度，不容小覷。

有反欺詐專家和我們吐槽說，“我國黑產技術領先世界”，可見斗爭形勢依然嚴峻，黑產攻防戰常打常新。那么羊毛黨們在今年的618又搞了什么新花招？提前幾個月就在養精蓄銳，黑產都為這樁“大買賣”做了什么準備？今天就給大家講講最新戰況。

現在流行怎么薅羊毛？

道高一尺魔高一丈，羊毛黨的手段自然是跟著業務走，“貼身盯防”電商們的一舉一動。小盾安全解決方案總監Coolor就告訴雷鋒網，這兩年最流行的薅羊毛手段，就是基于裂變式營銷的作案方式。

裂變式營銷，高大上點就叫MGM（member get member），其實大家都已經非常熟悉，像是各種邀請、分享、拼團購都算是裂變，具體方式包括但不限于分享微信鏈接、二維碼、邀請碼等，本質都是靠老用戶拉新，裂變之后可以獲得一定獎勵。

經常被吐槽的拼多多“砍一刀”，就屬于拼團裂變的一種。

我們把邀請別人的老用戶稱為“師傅”，被拉來的新用戶稱為“徒弟”。假設這個優惠獲取的方式是，一個“師傅”拉到100個“徒弟”就可獲得100元，那么專業的黑產通常會注冊幾十、甚至上百個“徒弟賬號”去掃“師傅”的邀請碼，自導自演一場戲，最后提走現金獎勵。

而對付黑產的辦法之一，就是順藤摸瓜。Coolor舉例解釋稱，哪怕不能找出所有的“徒弟”，但只要找到了一部分異常賬號，發現他們用了同一個邀請碼，就能反向通過邀請碼向上找到那個“師傅”，把這群“師徒”全部連根拔起。

看到這里你可能會問：我們平時也會找親朋好友幫自己“砍一刀”啊，他們怎么區分我們和黑產？

這就要提到一個比較有意思的技術了：設備指紋。

黑產的一些老套路，養號、群控、多開，其實大家都已經很熟悉了。就算現在是一人一個手機號，但市面上仍然存在一些手機卡商，干著手機號倒賣的活兒，黑產拿到號之后通過群控和貓池這樣的設備一次操控多臺手機，以及通過多開工具把App“復制粘貼”（類似于一臺手機有三四個淘寶），縮短操作時間，降低投入成本——一人即是千軍萬馬。

如果沒法通過手機號分辨出手機背后是人是“鬼”，設備指紋技術就是另一個甄別黑產、判斷用戶情況的重要方式了。

設備指紋，顧名思義，就是像指紋那樣，可以確定這臺設備的唯一性。

就像你走在路上，有時候會遇到警察叔叔查一下你的身份證，電商其實也會查一下你的手機的“身份證”，看看你是不是新用戶，再決定要不要把新用戶獎勵給你。

Coolor提到，黑產可以通過一些改機工具，把手機的設備指紋“換掉”，比如把自己從小米改成華為，偽裝成一臺新手機的身份去繼續薅羊毛。

又或者是偽造某些系統底層參數（地理位置，imei號等），繞過業務的限制——和多開一樣，本質上都是在提高有限資源的復用性。

而成熟的設備指紋技術，可以針對性地揪出常見的黑產改機框架、改機軟件、偽裝軟件等，識別出設備所在的系統環境是否異常。

維擇科技的技術客戶經理周君楨補充稱，這種誤傷的可能性有，但幾率會小很多，風控團隊也會考量可能存在誤傷的比例。

他指出，團伙作案一般會有比較明顯的行為一致或相似，比如是通過機器等一些作弊工具批量操作、同一種行為模式，“從技術角度來看，就是某些維度特征的存在一致性?！?/p>

總的來說，大家還是可以放心地繼續騷擾親朋好友，讓他們幫你“砍一刀”，風控系統一般是不會阻攔咱們這些普通用戶的。

除此以外，真人眾包也是近年來的熱門薅羊毛方式。

周君楨介紹稱，這是在固定的群體里發布平臺有利可圖的消息和教程，然后很快就有大批羊毛黨賬號去平臺薅取利潤，羊毛黨的頭頭就可以給他們回收、變現，而平臺很難在短時間有個快速響應。

“一旦平臺有所響應，羊毛黨就消停下來，繼續研究新的攻擊方式避免被平臺識別，靈活度非常高?！敝芫龢E說。

猖獗一如既往，悄然繞道東南亞

那今年618的羊毛黨，和往年相比，還是這么猖獗嗎？

“其實今年4月份的時候，黑產們已經在準備各種物料了。”Coolor透露。

一個完全沒有操作紀錄、像白紙一張的手機號或賬號，其實是很容易引起風控系統的懷疑的，和小區保安看到進門的生面孔要盤問一下，是同一個道理。所以黑產要提前做準備，給這些新號攢一點看起來可信的歷史記錄，“混個臉熟”，盡量不引起系統的注意。

但也同樣是在今年4月份開始，第二季度左右，Coolor表示，他們明顯感知到了“斷卡行動”帶來的變化，“國內的黑卡在日益減少?！?/p>

“斷卡行動”是去年10月開始的一場打擊電信網絡新型違法犯罪的活動，主要針對的是手機卡和銀行卡。

大量“實名不實人”的銀行卡、電話卡被黑產購買后實施詐騙，給警方的追查和打擊帶來巨大困難。斬斷電話卡、銀行卡的買賣鏈條，就等于給黑產“斷奶”，買不到號自然也就無從養號，從源頭遏制黑產誕生。

或許有朋友注意到，今年以來銀行們集中清理睡眠賬戶，這樣的舉措也是為了防范電信詐騙、黑產和反洗錢等違法犯罪行為。

“斷卡行動”的打擊力度有多嚴格？舉個例子，很多卡商是去找農村用戶來注冊手機號，或者是用一些小恩小惠吸引普通人把手機號租借給他們使用。一經查出，不單是這些非法倒賣手機號的卡商要被法律制裁，號主、卡主本人可能也要受到懲處：錄入征信、不能用手機號、不能開新賬戶等。

手機卡被公安機關認定為電信網絡詐騙涉案電話號碼，基礎電信企業將按照公安機關要求關停名下登記的所有移動電話號碼，且2年內限制辦理新入網、過戶業務。

銀行卡對公安機關認定的出租、出借、出售銀行賬號或支付賬戶，實施5年內不得新開賬戶、暫停非柜面業務、支付賬戶所有業務的懲戒措施，同時納入金融信用基礎數據庫管理，記錄至個人征信。

插播：所以千萬不要把電話卡、銀行卡借/租給別人用！如果已經這么干了（……）請趁早主動去運營商、銀行注銷賬戶，以免釀成大禍被追責。

雖然“斷卡行動”的嚴厲處罰確實給黑產帶來不小的打擊，但是，你有張良計，我有過墻梯。Coolor透露，黑產們已經盯上了東南亞這塊未經開發的“寶地”。

因為不少電商也為自己定制了出海戰略，目的地之一往往會有東南亞，金融和電商服務的低普及率意味著巨大的市場潛力。

但在黑產眼里，東南亞的法律法規限制并不完善，獲取手機卡又不用實名，成本又低，所以黑產逐漸把手機卡的供貨源挪向海外。“其實黑產還是同一批人，機器也是同一撥。”Coolor說。

他解釋稱，這些“新面孔”進來之后，反黑產的團隊暫時是很難標記它們的，需要時間慢慢積累，等黑產拿這些新卡注冊過幾個網站，有了網絡的蹤跡，再聯防聯控布下天羅地網。

除此以外，也有海外電商被薅羊毛的案例。雷鋒網去年就報道過，菲律賓排名第一的移動支付應用GCash，拿下了2000萬注冊用戶和7.5萬家商戶，同樣遭到了羊毛黨的攻擊，最后借助螞蟻的反欺詐方案，將他們遭遇的營銷作弊情況大幅降至1%以下。

風控與黑產們的“持久戰”

設備指紋技術也好，斷卡行動也罷，其實都只是龐大復雜的反欺詐流程中的一點細節。與黑產曠日持久的對攻戰里，風控反欺詐團隊們已經打造了一套行之有效的立體化“戰術”。

我們從專家們那里了解到，打擊羊毛黨大致可以分為事前、事中和事后三大步驟。

1. 事前，一場情報戰

Coolor透露，事前的準備，其實是以“情報獲取”的運營工作為主。

例如深入到羊毛黨的各大QQ群、論壇，國外的暗網和“飛機群”（即Telegram，無需實名的社交App）里“潛伏”，了解他們的一舉一動。

其次就是“解密”，識別破解羊毛黨的各種黑話，不然就算拿到情報也是枉然。比如用一手貨、二手貨來指代不同新鮮度的卡號，洗錢用“水房”來代替。

網上也有過不少羊毛黨的黑話手冊，通過拼音縮寫、諧音和意會等方式生成黑話，大家可以測試看看自己的黑話了解程度：

磚行、小賤、老農、小昭、廢行、猴子行、火雞、葫蘆娃、保護費

當然，這些黑話現在應該已經進化到了更高水平，需要更多的專家規則和經驗在其中發揮識別作用。

情報指向的，很多是羊毛黨的前期準備工作。

正如前文所述，這些羊毛黨今年4月份就已經在著手準備，努力程度完全不輸電商本商。電商們忙著做宣傳物料、請明星辦晚會、和品牌們談優惠的時候，羊毛黨在注冊新號，逐步解決新號的實名認證和人臉核驗等問題，和賬號“供應商”交易。

基于這些情報，風控團隊會針對性地收緊風控門檻，比如嚴防某些地區的IP，做到提前預防。

2. 事中，實時防護

實時防護的實時，可能是毫秒級的戰斗，在那個注冊鍵被按下的一瞬間，風控系統要在幾十到幾百毫秒內判斷出賬號的風險程度。

Coolor表示，這背后通常基于基礎信息、終端狀況和專家規則三個維度。

基礎信息，一般是判斷手機號和IP這些信息是否異常；

終端狀況，即是感知手機、電腦等設備的風險，網絡環境是否正常，判斷有無使用群控、多開等工具；

專家規則，也包括AI的使用，通過一些算法和策略對用戶行為進行評判。

例如：

• 該IP是否被多人使用過？

• 該手機號是否在不同設備上登錄過？

• 該賬戶的注冊和活躍時間是否異常？總在深夜和凌晨出現的賬號，要不要定義為異常？

此前曾有一位風控公司高管和雷鋒網提起過一些十分有趣的專家規則制定，例如一個賬號經常在后半夜購物，ta很有可能被判斷為一個“缺乏自制力”的用戶，從而認為ta“還款能力和還款意愿不高”。

而風險程度會通過打分卡、黑白灰名單等形式呈現，實時決定要不要對這個賬號“高抬貴手”。

3. 事后，復盤、迭代和再戰

但實時防護程度再高，其實也有許多事情無法在電光火石之間完成，需要積累一定的數據量才能解決。

例如當時只分辨出了十分之一的黑產，事后可以把全部用戶重新分析一遍，查出哪些賬號哪些具有相似的可疑特征，揪出黑產團伙，同時也把這次戰果提煉出來，特征提取、迭代優化風控模型和策略，完善識圖譜，繼續投入下一輪戰斗。

結語

在與眾多風控專家們的交流中，他們都提到一點：與羊毛黨對抗的核心，其實是成本對抗。

某種程度上來說，這是門檻疊加的過程，讓黑產認為這筆買賣不劃算，放棄圍攻，而不是試圖交出一張“100%安全”的答卷，擋住所有風險。

反過來，對于電商們來說，有時也會為了業績和流量，放松風控的標準。風控體系的建設，歸根結底，仍然與企業自身的發展階段綁定最深。

和羊毛黨的斗爭，永遠不會停止。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。