深网｜猫池、撞库、伪基站，拼多多薅羊毛事件背后的千亿黑产网络

[ 摘要 ]除了电商行业外，所有和钱相关的互联网行业也都是羊毛党的重灾区，在一个金融平台发布的随机调查报告中，超过60%的受访人群都曾承认参与过“薅羊毛”，并且有16.04%的人群承认“经常”薅。

腾讯《深网 》作者 孙宏超

拼多多去美国纳斯达克上市当天，创始人黄峥说，“阿里受过的苦我们都得受一遍。”在同样接受“假货”等问题的灵魂拷问后，拼多多也像曾经的阿里巴巴以及其他互联网公司们一样被羊毛党和网络黑产公司牢牢盯上。

1月20日凌晨，有消息称拼多多系统出现漏洞，可以无限制领取100元的通用优惠券，随后大批用户蜂拥而至，部分礼券被迅速用于购买话费、虚拟货币等商品并达成交易，甚至有用户宣称已充值超过50万。凌晨5点左右，该消息从羊毛党内部群扩散到公开渠道，引发第二轮抢券高潮。一直到当日上午10时许，该漏洞才被拼多多最终修复，所有相关优惠券下架。

拼多多方面将引发此次事件的矛头指向了“黑产团伙”，根据其最初发布的公告显示，“有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券”。

在中国互联网几十年历史中，黑产就像一个庞大的阴影，笼罩在所有试图通过营销手段获得用户的公司头上。一位安全行业专家对《深网》表示，羊毛党以及背后的黑产团队让整个行业形成双输的局面，当商家不得不应付敲诈勒索、恶意欺诈时，当信用体系不得不付出高昂的怀疑成本，这个付出一定会再次嫁接到用户身上，最终让整个行业的成本提升。

在这样的雪崩之下，真的没有一个无辜者。

拼多多惊魂一日

1月20日上午9点，正值“年货节”大促的电商平台拼多多监控到优惠券总和已突破平台预设阈值，自动报警后拼多多修复了相关漏洞。资料显示，除了将所有优惠券的领取方式下架，拼多多还同时取消了用户已领取但未使用的优惠券。根据一些商家的反馈显示，当日午间有拼多多的工作人员向商家发出通知，凡是已使用100元无门槛券的订单不允许发货。

此前，这次被称为羊毛党狂欢夜的薅羊毛行为正到达最高潮，一些保值的百元商品如话费、Q币、油卡等商品甚至开始出现缺货现象。据《深网》了解，当日凌晨1点左右该无门槛优惠券开始出现。根据拼多多后来提供的信息显示，黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券，系拼多多此前与一档电视节目（江苏卫视《非诚勿扰》）开展合作时，因节目录制需要特殊生成的优惠券类型，仅供现场嘉宾使用。

拼多多强调称该优惠券系黑灰产团伙通过非正常途径生成的二维码扫码后获得，该二维码多流传于社交平台相关黑灰产群，拼多多从未针对该类型优惠券生成任何二维码，更从未在APP及小程序中展示过此类优惠券相关信息及二维码。拼多多同时表示，该二维码具体的生成及传播过程，正待警方调查后获得最终结论。

这部分优惠券被通过即时充值的话费、Q币等模式迅速洗成现金，在发现拼多多并未及时（从出现到被修补接近10小时）对此优惠券做出回应后，羊毛党开始通过社交渠道将此漏洞公布，大量普通用户也开始加入到这个行列中。一位用户表示，在20日上午8点左右，有多个QQ群以及其他的社交平台都在流传该优惠券的相关链接，他领取了一张优惠券并迅速下单，但该商品并未发出，而是停止在“商家正通知快递公司取件”状态。

显然，和黑产团队相比，普通用户缺乏迅速变现的能力和手段。一位拼多多内部人士对《深网》表示，此次资产损失大部分来自黑产团队。拼多多的官方数字是，损失高达百亿数字不实，预计本次事件造成的最终实际资损大概率低于千万元。

此前也曾有互联网公司因各种bug最终造成资损，部分平台选择不追讨相关损失。但拼多多对此表示，该事件与此前某航、某电商平台等一系列因bug所致资损事件存在本质差别，前者为平台错误操作、非正常发放所致的民事问题，此次拼多多优惠券事件则为“套券诈骗”的网络诈骗案件。类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕，打开大门招呼更多普通路人进入受害者家中搬取。如按照网络中前者被以“ATM机误吐钞”现象做类比，后者则相当于非法团伙撬开ATM机后实施盗窃。

同时拼多多方面也强调称，将坚决打击黑灰产团伙，不会存在半分妥协与让步。

阿里、京东走过的路

在官方回应中，拼多多强调此次事件不涉及任何数据安全问题，平台消费者原本正常领取的优惠券使用不会受到影响。同时拼多多表示为进一步加强“特殊优惠券”相关风控体系，已成立技术专组。但在此次事件中，拼多多在系统安全和风险防控方面的疏漏显露无疑，在事件发生后，几乎没有相应的警告机制，让损失持续了接近十小时。

这是一个严重的教训，但也是这个年轻电商平台必须要交的学费。以阿里巴巴、京东为代表的电商巨头们，近年来一直被网络羊毛党困扰，一批有组织的羊毛党会专门紧盯各个电商平台、网络平台的优惠券、秒杀、返利等活动，形成完整产业链来获利。

和普通消费者相比，羊毛党对电商平台规则更熟悉，往往能够迅速发现商品短时间的价格差，低价买进高价卖出，靠价格差获取利益。根据阿里巴巴发布的《阿里聚安全2016年报》显示，2016年在各种互联网业务活动中，缺乏安全防控的红包、优惠券促销活动，会被“羊毛党”以机器、小号等各种手段抢到手，70%~80%的促销优惠会被“羊毛党”薅走。

有阿里内部人士对《深网》表示，因为极小部分商家对优惠券使用不够娴熟，每年都会出现一些优惠规则的漏洞，商品在购买再售出后可以获得小额利润，但由于羊毛党往往手中握有大量账号，在批量倒卖后获利不菲。

一些羊毛党在电商促销期间抓住商家优惠措施漏洞后疯狂购买，然后和商家进行商谈后（因为商家无力支持发货）进行勒索，日收入甚至可以超过10万元。

在电商价格战的初期，家电是一个主要战场。据《深网》了解，在那个时代甚至有羊毛党投入大笔资金，在家电淡季大量囤货购买，到了旺季之后再卖出，获利不菲。

从近年发展来看，羊毛党和电商行业呈联动螺旋上升趋势。最初的羊毛党往往是单兵作战，如在电商平台最初促销时往往有用户一下购买上千包卫生纸、上百桶油等商品，通过让商家无法承担损失索赔或者收到商品后加价卖出等方式赚钱。电商平台的应对方法则往往是进行限制购买，如单个用户单次购买数量进行限定。

优惠券的监测更是电商平台的重中之重，据京东内部人士对《深网》表示：“在大型电商平台上，优惠券的使用非常谨慎，往往都是30%-50%的减免额度，同时会限制品类和使用时间，甚至一些‘神券’对消费者的级别还会有后台审核，基本不会出现无门槛的优惠券。”

该人士进一步介绍称，这种大额优惠券需要非常严格的审批流程并同时配备预警与差错处理，而且这种优惠券会严格禁止购买价格基本不会波动的话费、油卡、Q币等商品。这是因为在中国电商平台历史上，曾有一家团购网站因为打折促销此类商品而最终倒闭——24券，当时这家团购网站曾以9.3折的价格出售中石化加油卡（当时市面价格往往为9.8折-9.9折）。

尽管条件如此严苛，还是有电商从业者表示，阿里和京东的优惠券还是大量落入了羊毛党之手。有淘宝从业者表示，“感知上至少有接近一半的优惠券经历过倒手转卖。”资深羊毛党对《深网》表示，此次优惠券事件只是拼多多被薅羊毛的冰山一角，事实上此前关于拼多多“退款不退货”（一些单价较低的商品退货配送价甚至高于商品本身）的理赔流程已经在羊毛党里广为流传，有大量小商家甚至已经被羊毛党“薅”死。

当拼多多平台上100元这样大面额的无门槛优惠券出现时，大量羊毛党如同闻到鲜血的鲨鱼一样游弋而来。从这个角度来看，和成熟电商平台相比，尽管拼多多销售额已经达到了中国第三大电商平台的水平，但此前电商行业遇到的坑，拼多多并未躲过。

电商、网贷、有偿阅读，几毛钱也不放过

在中国现代商业史上，“薅羊毛”绝非仅仅存在于电商平台，甚至不仅存在于互联网行业。

中国家电行业价格战第一枪打响于南京新街口，“价格屠夫”黄光裕要求供货商提供大量价格极低的商品，而当国美南京新街口店开业时，大量供货商涌入国美，试图将低价商品抢购回来，一些市民在购买了家电之后甚至迅速转手卖出，狠狠薅了一次国美的“羊毛”。

这种模式在互联网行业发扬光大并不出人意料，和传统行业相比，在中国互联网行业中，规模一向比利润和营收重要。互联网公司为了获取新用户，往往会经常性的推出补贴、优惠等活动，而且和以前营销往往以虚拟福利为主不同，随着互联网获客成本增加，往往用户都能直接获得现金奖励。这些活动有时效果好的出奇，人气甚至能达到几十万甚至上百万。但当活动停止，往往没有任何留存，这背后往往就是羊毛党们在作祟。

除了电商行业外，所有和钱相关的互联网行业也都是羊毛党的重灾区，如几年前的互联网金融平台以及最近几年的知识付费（有奖阅读）等领域。

在一个金融平台发布的随机调查报告中，超过60%的受访人群都曾承认参与过“薅羊毛”，并且有16.04%的人群承认“经常”薅。近年来兴起的自媒体领域，羊毛党也没有放过，有消息显示一些养号的羊毛党通过洗稿等方式在几个平台之间发送内容，从而获得补贴。

最近兴起的以趣头条为代表的有偿阅读平台（即读新闻获得现金补偿）也已被羊毛党盯上，据趣头条内部人士表示，甚至有羊毛党几个月内就在平台上薅走几十万（后部分被追回）。数据显示，目前在趣头条一个新用户完成所有任务的平均回报为2元左右，而日常任务回报也仅仅在几毛钱左右。之所以羊毛党能够将几毛钱累计到几十万，是因为随着利益增加，羊毛党也逐渐从散兵游勇转向集团、高科技作战。

2017年3月，绍兴警方在沈阳破获一个高智商犯罪团伙，该团伙建立的“快啊”打码平台专为网络黑产和灰产识别破解字符型验证码提供技术帮助。警方对“快啊”平台数据分析获知，接入该平台提供验证码识别服务的软件有100多款，从2016年6月到2017年3月，平台资金进账累计达1650万元。仅仅“快啊”平台被查的前三个月，已提供验证码识别服务259亿次。据同盾科技提供的数据显示，2017年前三季度，企业平均每天要遭受241万次薅羊毛攻击，造成的损失在千万级别。

在羊毛党的相关平台或网站上，针对性软件层出不穷，从最简单的抢券、价格监测到复杂的破解验证码、批量下单等都有涉及。一位软件卖家对《深网》表示，软件可以支持多个账号同时下单，同时他还出售多个身份证号等相关证件。

在成为集团军后，羊毛党逐渐从“贪小便宜的顾客”走上违法犯罪的道路。据相关法律人士介绍，目前羊毛党涉嫌违法主要在以下两类：

首先是部分羊毛党涉及冒用身份或滥用身份；其次一些成规模的羊毛党还涉嫌制造系统漏洞来套取平台利益。

以此次拼多多事件为例，根据拼多多公布的细节显示，该事件中的相关优惠券，均系黑灰产团伙通过非正常途径生成的二维码扫码后获得。通过该非正常途径生成的二维码，原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券。有黑灰产团伙通过“养猫池”（用手机卡蓄养大量虚拟账号）等不法手段，实现N张手机黑卡同时作业，批量盗取该种优惠券。

据业内人士介绍，目前互联网行业羊毛党主要涉及到以下几种作案工具：黑卡，指非正常使用的手机卡，这些黑卡会提供给各个接码平台，用于接收发送验证码，从而进行各种虚假注册、认证业务；猫池，在猫池设备上可以同时管理多个（几十甚至上百）电话手机卡，无需相应的手机硬件即可通过配套的软件实现同时接收、发送短信、拨打电话等功能，高级的软件甚至可以注册微信等社交软件平台；公民个人信息四件套，往往来自偏远乡村或一些对互联网不了解的人士的相关资料，含“身份证、银行卡、手机号”以及“银行相关密保资料”；注册破解类病毒木马，攻击平台漏洞，或者对平台进行撞库拿到用户的相关资料，或者用黑卡进行无限量用户注册。

以传统行业起，互联网行业兴。薅羊毛行为已从消费者个人的蝇头小利逐渐过渡到行业的社会毒瘤，1月20日的拼多多只是一个短暂的休止符，平台和羊毛党之间的斗争还将随着行业的发展一直持续下去。