今天，AI公司正在花式「伏擊」羊毛黨丨618 專題

又是一年618，今年也和往常一樣，有高舉「不買立省100%」大旗的勤儉持家黨，殺到眼紅的剁手黨，臨時抱佛腳的抄作業黨，以及，絕對不會遲到的羊毛黨。

「薅羊毛」通常是針對企業優惠活動的一場圍剿，黑產團伙從實名手機號，到接收驗證碼，註冊平臺賬號，通過一些作弊手段，在平臺大規模活動薅取利潤。

雖然咱們普通消費者去領商家優惠券之類的行為，也算是薅羊毛，但一次領一張優惠券，和一口氣領幾百張優惠券的團伙作案，還是有著本質上的差別。羊毛黨的專業度和努力度，不容小覷。

有反欺詐專家和我們吐槽說，「我國黑產技術領先世界」，可見鬥爭形勢依然嚴峻，黑產攻防戰常打常新。那麼羊毛黨們在今年的618又搞了什麼新花招？提前幾個月就在養精蓄銳，黑產都為這樁「大買賣」做了什麼準備？今天就給大家講講最新戰況。

現在流行怎麼薅羊毛？

道高一尺魔高一丈，羊毛黨的手段自然是跟著業務走，「貼身盯防」電商們的一舉一動。小盾安全解決方案總監Coolor就告訴雷鋒網，這兩年最流行的薅羊毛手段，就是基於裂變式營銷的作案方式。

裂變式營銷，高大上點就叫MGM（member get member），其實大家都已經非常熟悉，像是各種邀請、分享、拼團購都算是裂變，具體方式包括但不限於分享微信連結、二維碼、邀請碼等，本質都是靠老使用者拉新，裂變之後可以獲得一定獎勵。

經常被吐槽的拼多多「砍一刀」，就屬於拼團裂變的一種。

我們把邀請別人的老使用者稱為「師傅」，被拉來的新使用者稱為「徒弟」。假設這個優惠獲取的方式是，一個「師傅」拉到100個「徒弟」就可獲得100元，那麼專業的黑產通常會註冊幾十、甚至上百個「徒弟賬號」去掃「師傅」的邀請碼，自導自演一場戲，最後提走現金獎勵。

而對付黑產的辦法之一，就是順藤摸瓜。Coolor舉例解釋稱，哪怕不能找出所有的「徒弟」，但只要找到了一部分異常賬號，發現他們用了同一個邀請碼，就能反向通過邀請碼向上找到那個「師傅」，把這群「師徒」全部連根拔起。

看到這裡你可能會問：我們平時也會找親朋好友幫自己「砍一刀」啊，他們怎麼區分我們和黑產？

這就要提到一個比較有意思的技術了：裝置指紋。

黑產的一些老套路，養號、群控、多開，其實大家都已經很熟悉了。就算現在是一人一個手機號，但市面上仍然存在一些手機卡商，幹著手機號倒賣的活兒，黑產拿到號之後通過群控和貓池這樣的裝置一次操控多臺手機，以及通過多開工具把App「複製貼上」（類似於一臺手機有三四個淘寶），縮短操作時間，降低投入成本——一人即是千軍萬馬。

如果沒法通過手機號分辨出手機背後是人是「鬼」，裝置指紋技術就是另一個甄別黑產、判斷使用者情況的重要方式了。

裝置指紋，顧名思義，就是像指紋那樣，可以確定這臺裝置的唯一性。

就像你走在路上，有時候會遇到警察叔叔查一下你的身份證，電商其實也會查一下你的手機的「身份證」，看看你是不是新使用者，再決定要不要把新使用者獎勵給你。

Coolor提到，黑產可以通過一些改機工具，把手機的裝置指紋「換掉」，比如把自己從小米改成華為，偽裝成一臺新手機的身份去繼續薅羊毛。

又或者是偽造某些系統底層參數（地理位置，imei號等），繞過業務的限制——和多開一樣，本質上都是在提高有限資源的複用性。

而成熟的裝置指紋技術，可以針對性地揪出常見的黑產改機框架、改機軟體、偽裝軟體等，識別出裝置所在的系統環境是否異常。

維擇科技的技術客戶經理周君楨補充稱，這種誤傷的可能性有，但機率會小很多，風控團隊也會考量可能存在誤傷的比例。

他指出，團伙作案一般會有比較明顯的行為一致或相似，比如是通過機器等一些作弊工具批量操作、同一種行為模式，「從技術角度來看，就是某些維度特徵的存在一致性。」

總的來說，大家還是可以放心地繼續騷擾親朋好友，讓他們幫你「砍一刀」，風控系統一般是不會阻攔咱們這些普通使用者的。

除此以外，真人眾包也是近年來的熱門薅羊毛方式。

周君楨介紹稱，這是在固定的群體裡釋出平臺有利可圖的訊息和教程，然後很快就有大批羊毛黨賬號去平臺薅取利潤，羊毛黨的頭頭就可以給他們回收、變現，而平臺很難在短時間有個快速響應。

「一旦平臺有所響應，羊毛黨就消停下來，繼續研究新的攻擊方式避免被平臺識別，靈活度非常高。」周君楨說。

猖獗一如既往，悄然繞道東南亞

那今年618的羊毛黨，和往年相比，還是這麼猖獗嗎？

「其實今年4月份的時候，黑產們已經在準備各種物料了。」Coolor透露。

一個完全沒有操作紀錄、像白紙一張的手機號或賬號，其實是很容易引起風控系統的懷疑的，和小區保安看到進門的生面孔要盤問一下，是同一個道理。所以黑產要提前做準備，給這些新號攢一點看起來可信的歷史記錄，「混個臉熟」，儘量不引起系統的注意。

但也同樣是在今年4月份開始，第二季度左右，Coolor表示，他們明顯感知到了「斷卡行動」帶來的變化，「國內的黑卡在日益減少。」

「斷卡行動」是去年10月開始的一場打擊電信網路新型違法犯罪的活動，主要針對的是手機卡和銀行卡。

大量「實名不實人」的銀行卡、電話卡被黑產購買後實施詐騙，給警方的追查和打擊帶來巨大困難。斬斷電話卡、銀行卡的買賣鏈條，就等於給黑產「斷奶」，買不到號自然也就無從養號，從源頭遏制黑產誕生。

或許有朋友注意到，今年以來銀行們集中清理睡眠賬戶，這樣的舉措也是為了防範電信詐騙、黑產和反洗錢等違法犯罪行為。

「斷卡行動」的打擊力度有多嚴格？舉個例子，很多卡商是去找農村使用者來註冊手機號，或者是用一些小恩小惠吸引普通人把手機號租借給他們使用。一經查出，不單是這些非法倒賣手機號的卡商要被法律制裁，號主、卡主本人可能也要受到懲處：錄入徵信、不能用手機號、不能開新賬戶等。

手機卡被公安機關認定為電信網路詐騙涉案電話號碼，基礎電信企業將按照公安機關要求關停名下登記的所有行動電話號碼，且2年內限制辦理新入網、過戶業務。

銀行卡對公安機關認定的出租、出借、出售銀行賬號或支付賬戶，實施5年內不得新開賬戶、暫停非櫃面業務、支付賬戶所有業務的懲戒措施，同時納入金融信用基礎資料庫管理，記錄至個人徵信。

插播：所以千萬不要把電話卡、銀行卡借/租給別人用！如果已經這麼幹了（……）請趁早主動去運營商、銀行登出賬戶，以免釀成大禍被追責。

雖然「斷卡行動」的嚴厲處罰確實給黑產帶來不小的打擊，但是，你有張良計，我有過牆梯。Coolor透露，黑產們已經盯上了東南亞這塊未經開發的「寶地」。

因為不少電商也為自己定製了出海戰略，目的地之一往往會有東南亞，金融和電商服務的低普及率意味著巨大的市場潛力。

但在黑產眼裡，東南亞的法律法規限制並不完善，獲取手機卡又不用實名，成本又低，所以黑產逐漸把手機卡的供貨源挪向海外。「其實黑產還是同一批人，機器也是同一撥。」Coolor說。

他解釋稱，這些「新面孔」進來之後，反黑產的團隊暫時是很難標記它們的，需要時間慢慢積累，等黑產拿這些新卡註冊過幾個網站，有了網路的蹤跡，再聯防聯控佈下天羅地網。

除此以外，也有海外電商被薅羊毛的案例。雷鋒網去年就報道過，菲律賓排名第一的移動支付應用GCash，拿下了2000萬註冊使用者和7.5萬家商戶，同樣遭到了羊毛黨的攻擊，最後藉助螞蟻的反欺詐方案，將他們遭遇的營銷作弊情況大幅降至1%以下。

風控與黑產們的「持久戰」

裝置指紋技術也好，斷卡行動也罷，其實都只是龐大複雜的反欺詐流程中的一點細節。與黑產曠日持久的對攻戰裡，風控反欺詐團隊們已經打造了一套行之有效的立體化「戰術」。

我們從專家們那裡瞭解到，打擊羊毛黨大致可以分為事前、事中和事後三大步驟。

1. 事前，一場情報戰

Coolor透露，事前的準備，其實是以「情報獲取」的運營工作為主。

例如深入到羊毛黨的各大QQ群、論壇，國外的暗網和「飛機群」（即Telegram，無需實名的社交App）裡「潛伏」，瞭解他們的一舉一動。

其次就是「解密」，識別破解羊毛黨的各種黑話，不然就算拿到情報也是枉然。比如用一手貨、二手貨來指代不同新鮮度的卡號，洗錢用「水房」來代替。

網上也有過不少羊毛黨的黑話手冊，通過拼音縮寫、諧音和意會等方式生成黑話，大家可以測試看看自己的黑話瞭解程度：

磚行、小賤、老農、小昭、廢行、猴子行、火雞、葫蘆娃、保護費

當然，這些黑話現在應該已經進化到了更高水平，需要更多的專家規則和經驗在其中發揮識別作用。

情報指向的，很多是羊毛黨的前期準備工作。

正如前文所述，這些羊毛黨今年4月份就已經在著手準備，努力程度完全不輸電商本商。電商們忙著做宣傳物料、請明星辦晚會、和品牌們談優惠的時候，羊毛黨在註冊新號，逐步解決新號的實名認證和人臉核驗等問題，和賬號「供應商」交易。

基於這些情報，風控團隊會針對性地收緊風控門檻，比如嚴防某些地區的IP，做到提前預防。

2. 事中，實時防護

實時防護的實時，可能是毫秒級的戰鬥，在那個註冊鍵被按下的一瞬間，風控系統要在幾十到幾百毫秒內判斷出賬號的風險程度。

Coolor表示，這背後通常基於基礎資訊、終端狀況和專家規則三個維度。

基礎資訊，一般是判斷手機號和IP這些資訊是否異常；

終端狀況，即是感知手機、電腦等裝置的風險，網路環境是否正常，判斷有無使用群控、多開等工具；

專家規則，也包括AI的使用，通過一些演算法和策略對使用者行為進行評判。

例如：

• 該IP是否被多人使用過？

• 該手機號是否在不同裝置上登入過？

• 該賬戶的註冊和活躍時間是否異常？總在深夜和凌晨出現的賬號，要不要定義為異常？

此前曾有一位風控公司高管和雷鋒網提起過一些十分有趣的專家規則制定，例如一個賬號經常在後半夜購物，ta很有可能被判斷為一個「缺乏自制力」的使用者，從而認為ta「還款能力和還款意願不高」。

而風險程度會通過打分卡、黑白灰名單等形式呈現，實時決定要不要對這個賬號「高擡貴手」。

3. 事後，覆盤、迭代和再戰

但實時防護程度再高，其實也有許多事情無法在電光火石之間完成，需要積累一定的資料量才能解決。

例如當時只分辨出了十分之一的黑產，事後可以把全部使用者重新分析一遍，查出哪些賬號哪些具有相似的可疑特徵，揪出黑產團伙，同時也把這次戰果提煉出來，特徵提取、迭代優化風控模型和策略，完善識圖譜，繼續投入下一輪戰鬥。

結語

在與眾多風控專家們的交流中，他們都提到一點：與羊毛黨對抗的核心，其實是成本對抗。

某種程度上來說，這是門檻疊加的過程，讓黑產認為這筆買賣不划算，放棄圍攻，而不是試圖交出一張「100%安全」的答卷，擋住所有風險。

反過來，對於電商們來說，有時也會為了業績和流量，放鬆風控的標準。風控體系的建設，歸根結底，仍然與企業自身的發展階段繫結最深。

和羊毛黨的鬥爭，永遠不會停止。