1月20日凌晨,多个“薅羊毛行业”QQ群里掀起狂欢。凌晨1点左右,有网友发现拼多多平台出现Bug,只需花费4毛钱就可以领取一张100元的无门槛优惠券,这一消息瞬间在薅羊毛行业内流传开来。
凌晨5点左右,在羊毛党内部已经彻底发酵的“抢券行动”,被发布到了一些公开论坛上,引发第二轮的抢券高潮。
有传言称,拼多多损失高达200亿人民币,20日中午,拼多多发布公告回应称,“有黑产团队通过一个过期优惠券漏洞获取数千万元平台优惠券,进行不正当牟利。”并表示,通过后续的追回处理,实际损失大概率低于千万元,并不存在200亿的损失。
成立于2015年的移动电商平台拼多多,发展迅猛,2018年7月登陆美股,市值达到240亿美元,截止2019年1月18日美股收盘,拼多多市值为276.84亿美元。
据悉,此次被大量领取的优惠券,来自于拼多多此前与江苏卫视《非成勿扰》节目合作时,为录制现场观众提供的特殊优惠券,并未出现在拼多多任何线上入口中。拼多多方面表示,黑产团伙通过非正常途径生成的二维码来扫码获取优惠券。
由于该优惠券一个账户仅能领取一次,羊毛党们通过大量的虚拟手机账号同时作业,批量领取,这也是导致拼多多在仅仅数小时内遭受大额损失的主要原因。
20日上午9点,拼多多系统监控到异常并自动报警,随后修复漏洞,并向公安机关报案。拼多多在对外声明中提到,目前上海警方已经以“网络诈骗”罪名立案,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。
薅羊毛产业由来已久,随着互联网行业的兴起,补贴、优惠等活动成为常态,这个地下产业的发展得到了进一步刺激。互联网公司推出各类优惠活动的目的在于获取新用户,增加用户粘性,提高业务量,当这些优惠变成羊毛党牟利的工具时,互联网公司损失严重。
此次薅羊毛事件对于拼多多来说,损失的并不只是账面资金,事件发生8小时后才发现异常,也暴露了公司安全流程把控的漏洞,而在这背后,是互联网公司与黑产行业的长期矛盾。
隐秘的薅羊毛产业
薅羊毛属于地下黑产的一部分,“羊毛党”们主要通过QQ群传播消息。一位曾经从事这一行业的人士告诉《财经》记者,这些QQ群都非常隐秘,“群名都跟薅羊毛无关,几乎搜索不到,而且普通人根本进不去,除非有内部人士介绍。”
据他介绍,一个QQ群就有上千人的规模,里面的信息几乎是24小时滚动刷屏,“拼多多这样的优惠券,几分钟之内就能传到不计其数的千人群里。”由于自己操作很容易被技术手段锁定,这些人往往将信息在群里扩散,让更多人参与,以降低风险。
羊毛党的触角遍布各个角落,产业链分成多个环节:卡商提供虚拟手机号,用来注册各类账户;黑客开发各类抢货、抢券软件;主力是“撸客”,他们提前准备好账户和软件后,会实时关注各类优惠信息,发起进攻;另外还有类似黄牛党的一群人,他们折价收购“撸客”们抢到的货和券,再加价卖出去。
此外,产业链也呈现出金字塔的格局,最底层也是体量最大的羊毛党,每天抢到的都是几毛钱甚至几分钱的优惠,也是普通人进入薅羊毛圈的第一步。
一位深入了解过薅羊毛产业的人士告诉《财经》记者,“也别小看这几毛几分钱,你手里如果有1000个账号,一个账号一天拿几毛钱,收入也很可观。”他透露,最近比较火的是一些有阅读奖励的内容类App,例如趣头条,“做一个阅读脚本,不停的自动阅读、点赞就行,门槛很低。”
不过这属于低端的脏活累活,再往上,收入成指数级增长,隐秘程度也更高。
大额优惠券和大幅度折扣的3C类产品是中层羊毛党们的最爱,这些单子单价高,信息来源稳定,入圈的人更愿意“闷声发大财”,一旦某些单子传播范围变大,他们就会去挖掘新的来源。因此,即使已经进入薅羊毛产业的底层人群,也很难进入到这个层级。
再往上,就是大佬们的游戏。大佬们在产业链的每个环节都握有大量资源,能够最先拿到大量的羊毛任务,他们并不直接下场,而是将这些任务分派到各个渠道,分派时直接拿抽成,据前述业内人士透露,一个顶级的大佬,行情好时,一天的收入能超过200万人民币。
暴利产业通常内部都不太平,薅羊毛产业有一个不成文的规定,大佬平均1-2年就会“退休”,把位置让给其他人,一是因为长期做的风险太高,赚够了钱之后就转行洗白;二是因为所有人都盯着这块肥肉,都想取而代之,搜集大佬的把柄,威胁敲诈等黑吃黑的情况也不少见。
隐秘、暴利、有组织,是薅羊毛产业能够持续生存的主要原因,电商平台是受损最严重的领域,包括阿里巴巴、京东在内的电商平台们,每年都会花大力气去整治、对抗薅羊毛产业,但羊毛党就像打不死的蟑螂,永远有源源不断的新手段,卷土重来。
互联网公司的安全难题
薅羊毛产业的猖獗,让不少互联网公司深受其害,也延伸出了互联网安全防护产业,出现了一批以互联网反欺诈、风控为核心业务的新公司。
猛犸反欺诈创始人张克告诉《财经》记者,绝大多数的薅羊毛行为都可以通过业务流程的优化来化解。
但以薅羊毛产业为代表的数据黑产仍然活跃,网络、数据安全是互联网行业的重要议题,为何这个问题已经成为行业毒瘤,但仍无有效方式解决?
一个主要的原因在于,薅羊毛产业是暴利行业,“只要有利可图,就会有源源不断的新手段。”张克说。
为了隐蔽,一些有经验的羊毛党会设立大量的虚拟身份,很难追溯到具体的个人,安全防护措施也只有在异样的行为出现时,才进行监控和防御,即使抓到个人或团伙,还有更多躲在暗处的羊毛党们跟上。
此外,不少互联网公司对于花费人力物力去对抗羊毛党,并不上心。一位考察过互联网安全项目的投资人告诉《财经》记者,一些互联网公司一开始会花钱找安全团队来做,一段时间没发生问题,他们就会觉得这个钱花的没有必要,就会缩减预算,“等到真的发生问题,你想花钱,也于事无补了。”
产业数据也能说明这一现象,阿里巴巴与南都大数据研究院联合发布的《2018网络黑灰产治理研究报告》显示,2017年,中国网络安全产业规模约为450亿元人民币,黑灰产高达近千亿规模,且后者的发展速度更快。
此次拼多多事件,大量的优惠券都已经被用于话费充值和Q币充值,这些属于虚拟物品,且是通过电信运营商和腾讯的渠道进行购买,拼多多很难追回这部分财产损失。话费、Q币等虚拟物品在薅羊毛圈属于硬通货,很容易洗白变现。
薅羊毛产业发展至今,甚至已经开始出现互联网公司与羊毛党“相爱相杀”的新局面。一位曾经创业做风控项目,现任一家互联网公司风控业务高管告诉《财经》记者,很多互联网公司的运营活动就依赖羊毛党来冲流量,一些公司在做运营活动计划时,甚至会将羊毛党冲量这部分的预算直接计入,“羊毛党和普通用户已经呈现融合的局面。”
此外,为了更大程度的避免风险,羊毛党也在伪装成普通用户,这在业内被称为“肉鸡”,例如,在20次正常交易过程中,插入两次羊毛交易,“很多公司并不会因为这2次,就干掉一个能带来20笔订单的用户。”前述风控业务高管说道。
互联网行业的高速发展,衍生出不少行业问题。集中在薅羊毛产业上来看,黑与白从完全对立,已经演变到相互融合,一旦得不到有效控制,白色也会变成灰色。