拼多多去美國納斯達克上市當(dāng)天,創(chuàng)始人黃崢說��,“阿里受過的苦我們都得受一遍���。
”在同樣接受“假貨”等問題的靈魂拷問后,拼多多也像曾經(jīng)的阿里巴巴以及其他互聯(lián)網(wǎng)公司們一樣被羊毛黨和網(wǎng)絡(luò)黑產(chǎn)公司牢牢盯上�����。
1月20日凌晨��,有消息稱拼多多系統(tǒng)出現(xiàn)漏洞����,可以無限制領(lǐng)取100元的通用優(yōu)惠券,隨后大批用戶蜂擁而至,部分禮券被迅速用于購買話費��、虛擬貨幣等商品并達成交易����,甚至有用戶宣稱已充值超過50萬。
凌晨5點左右�,該消息從羊毛黨內(nèi)部群擴散到公開渠道,引發(fā)第二輪搶券高潮�。
一直到當(dāng)日上午10時許,該漏洞才被拼多多最終修復(fù)�����,所有相關(guān)優(yōu)惠券下架�。
拼多多方面將引發(fā)此次事件的矛頭指向了“黑產(chǎn)團伙”,根據(jù)其最初發(fā)布的公告顯示���,“有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券”���。
在中國互聯(lián)網(wǎng)幾十年歷史中,黑產(chǎn)就像一個龐大的陰影���,籠罩在所有試圖通過營銷手段獲得用戶的公司頭上��。
一位安全行業(yè)專家對《深網(wǎng)》表示����,羊毛黨以及背后的黑產(chǎn)團隊讓整個行業(yè)形成雙輸?shù)木置?�,?dāng)商家不得不應(yīng)付敲詐勒索�����、惡意欺詐時����,當(dāng)信用體系不得不付出高昂的懷疑成本,這個付出一定會再次嫁接到用戶身上�,最終讓整個行業(yè)的成本提升。
在這樣的雪崩之下����,真的沒有一個無辜者。
拼多多驚魂一日1月20日上午9點�,正值“年貨節(jié)”大促的電商平臺拼多多監(jiān)控到優(yōu)惠券總和已突破平臺預(yù)設(shè)閾值,自動報警后拼多多修復(fù)了相關(guān)漏洞�����。
資料顯示,除了將所有優(yōu)惠券的領(lǐng)取方式下架�,拼多多還同時取消了用戶已領(lǐng)取但未使用的優(yōu)惠券。
根據(jù)一些商家的反饋顯示����,當(dāng)日午間有拼多多的工作人員向商家發(fā)出通知,凡是已使用100元無門檻券的訂單不允許發(fā)貨�����。
此前�����,這次被稱為羊毛黨狂歡夜的薅羊毛行為正到達最高潮���,一些保值的百元商品如話費���、Q幣、油卡等商品甚至開始出現(xiàn)缺貨現(xiàn)象��。
據(jù)《深網(wǎng)》了解��,當(dāng)日凌晨1點左右該無門檻優(yōu)惠券開始出現(xiàn)����。
根據(jù)拼多多后來提供的信息顯示��,黑灰產(chǎn)團伙所利用的“優(yōu)惠券漏洞”盜取的相關(guān)優(yōu)惠券�,系拼多多此前與一檔電視節(jié)目(江蘇衛(wèi)視《非誠勿擾》)開展合作時����,因節(jié)目錄制需要特殊生成的優(yōu)惠券類型�����,僅供現(xiàn)場嘉賓使用���。
拼多多強調(diào)稱該優(yōu)惠券系黑灰產(chǎn)團伙通過非正常途徑生成的二維碼掃碼后獲得���,該二維碼多流傳于社交平臺相關(guān)黑灰產(chǎn)群,拼多多從未針對該類型優(yōu)惠券生成任何二維碼�����,更從未在APP及小程序中展示過此類優(yōu)惠券相關(guān)信息及二維碼�����。
拼多多同時表示,該二維碼具體的生成及傳播過程����,正待警方調(diào)查后獲得最終結(jié)論。
這部分優(yōu)惠券被通過即時充值的話費��、Q幣等模式迅速洗成現(xiàn)金�,在發(fā)現(xiàn)拼多多并未及時(從出現(xiàn)到被修補接近10小時)對此優(yōu)惠券做出回應(yīng)后,羊毛黨開始通過社交渠道將此漏洞公布�����,大量普通用戶也開始加入到這個行列中���。
一位用戶表示��,在20日上午8點左右���,有多個QQ群以及其他的社交平臺都在流傳該優(yōu)惠券的相關(guān)鏈接,他領(lǐng)取了一張優(yōu)惠券并迅速下單�����,但該商品并未發(fā)出�����,而是停止在“商家正通知快遞公司取件”狀態(tài)。
顯然�����,和黑產(chǎn)團隊相比����,普通用戶缺乏迅速變現(xiàn)的能力和手段。
一位拼多多內(nèi)部人士對《深網(wǎng)》表示�,此次資產(chǎn)損失大部分來自黑產(chǎn)團隊。
拼多多的官方數(shù)字是���,損失高達百億數(shù)字不實,預(yù)計本次事件造成的最終實際資損大概率低于千萬元�。
此前也曾有互聯(lián)網(wǎng)公司因各種bug最終造成資損,部分平臺選擇不追討相關(guān)損失����。
但拼多多對此表示,該事件與此前某航�����、某電商平臺等一系列因bug所致資損事件存在本質(zhì)差別,前者為平臺錯誤操作�、非正常發(fā)放所致的民事問題,此次拼多多優(yōu)惠券事件則為“套券詐騙”的網(wǎng)絡(luò)詐騙案件��。
類似于犯罪團伙撬開家門實施盜竊之后自己也有些害怕��,打開大門招呼更多普通路人進入受害者家中搬取�。
如按照網(wǎng)絡(luò)中前者被以“ATM機誤吐鈔”現(xiàn)象做類比,后者則相當(dāng)于非法團伙撬開ATM機后實施盜竊����。
同時拼多多方面也強調(diào)稱,將堅決打擊黑灰產(chǎn)團伙�����,不會存在半分妥協(xié)與讓步��。
阿里����、京東走過的路在官方回應(yīng)中,拼多多強調(diào)此次事件不涉及任何數(shù)據(jù)安全問題��,平臺消費者原本正常領(lǐng)取的優(yōu)惠券使用不會受到影響。
同時拼多多表示為進一步加強“特殊優(yōu)惠券”相關(guān)風(fēng)控體系����,已成立技術(shù)專組。
但在此次事件中����,拼多多在系統(tǒng)安全和風(fēng)險防控方面的疏漏顯露無疑,在事件發(fā)生后�����,幾乎沒有相應(yīng)的警告機制�����,讓損失持續(xù)了接近十小時��。
這是一個嚴(yán)重的教訓(xùn)�����,但也是這個年輕電商平臺必須要交的學(xué)費�����。
以阿里巴巴����、京東為代表的電商巨頭們,近年來一直被網(wǎng)絡(luò)羊毛黨困擾����,一批有組織的羊毛黨會專門緊盯各個電商平臺、網(wǎng)絡(luò)平臺的優(yōu)惠券�、秒殺、返利等活動�����,形成完整產(chǎn)業(yè)鏈來獲利�����。
和普通消費者相比�����,羊毛黨對電商平臺規(guī)則更熟悉�����,往往能夠迅速發(fā)現(xiàn)商品短時間的價格差,低價買進高價賣出�����,靠價格差獲取利益�����。
根據(jù)阿里巴巴發(fā)布的《阿里聚安全2016年報》顯示�,2016年在各種互聯(lián)網(wǎng)業(yè)務(wù)活動中,缺乏安全防控的紅包��、優(yōu)惠券促銷活動���,會被“羊毛黨”以機器���、小號等各種手段搶到手,70%~80%的促銷優(yōu)惠會被“羊毛黨”薅走�����。
有阿里內(nèi)部人士對《深網(wǎng)》表示����,因為極小部分商家對優(yōu)惠券使用不夠嫻熟,每年都會出現(xiàn)一些優(yōu)惠規(guī)則的漏洞���,商品在購買再售出后可以獲得小額利潤���,但由于羊毛黨往往手中握有大量賬號,在批量倒賣后獲利不菲����。
一些羊毛黨在電商促銷期間抓住商家優(yōu)惠措施漏洞后瘋狂購買,然后和商家進行商談后(因為商家無力支持發(fā)貨)進行勒索��,日收入甚至可以超過10萬元���。
在電商價格戰(zhàn)的初期���,家電是一個主要戰(zhàn)場。
據(jù)《深網(wǎng)》了解���,在那個時代甚至有羊毛黨投入大筆資金��,在家電淡季大量囤貨購買�����,到了旺季之后再賣出���,獲利不菲���。
從近年發(fā)展來看,羊毛黨和電商行業(yè)呈聯(lián)動螺旋上升趨勢�����。
最初的羊毛黨往往是單兵作戰(zhàn)���,如在電商平臺最初促銷時往往有用戶一下購買上千包衛(wèi)生紙���、上百桶油等商品,通過讓商家無法承擔(dān)損失索賠或者收到商品后加價賣出等方式賺錢��。
電商平臺的應(yīng)對方法則往往是進行限制購買�����,如單個用戶單次購買數(shù)量進行限定�����。
優(yōu)惠券的監(jiān)測更是電商平臺的重中之重,據(jù)京東內(nèi)部人士對《深網(wǎng)》表示:“在大型電商平臺上��,優(yōu)惠券的使用非常謹(jǐn)慎��,往往都是30%-50%的減免額度����,同時會限制品類和使用時間�����,甚至一些‘神券’對消費者的級別還會有后臺審核�����,基本不會出現(xiàn)無門檻的優(yōu)惠券��。
”該人士進一步介紹稱��,這種大額優(yōu)惠券需要非常嚴(yán)格的審批流程并同時配備預(yù)警與差錯處理�,而且這種優(yōu)惠券會嚴(yán)格禁止購買價格基本不會波動的話費、油卡����、Q幣等商品�。
這是因為在中國電商平臺歷史上�����,曾有一家團購網(wǎng)站因為打折促銷此類商品而最終倒閉——24券���,當(dāng)時這家團購網(wǎng)站曾以9.3折的價格出售中石化加油卡(當(dāng)時市面價格往往為9.8折-9.9折)��。
盡管條件如此嚴(yán)苛����,還是有電商從業(yè)者表示���,阿里和京東的優(yōu)惠券還是大量落入了羊毛黨之手��。
有淘寶從業(yè)者表示���,“感知上至少有接近一半的優(yōu)惠券經(jīng)歷過倒手轉(zhuǎn)賣。
”資深羊毛黨對《深網(wǎng)》表示��,此次優(yōu)惠券事件只是拼多多被薅羊毛的冰山一角�����,事實上此前關(guān)于拼多多“退款不退貨”(一些單價較低的商品退貨配送價甚至高于商品本身)的理賠流程已經(jīng)在羊毛黨里廣為流傳,有大量小商家甚至已經(jīng)被羊毛黨“薅”死�。
當(dāng)拼多多平臺上100元這樣大面額的無門檻優(yōu)惠券出現(xiàn)時,大量羊毛黨如同聞到鮮血的鯊魚一樣游弋而來�����。
從這個角度來看��,和成熟電商平臺相比����,盡管拼多多銷售額已經(jīng)達到了中國第三大電商平臺的水平�,但此前電商行業(yè)遇到的坑,拼多多并未躲過��。
電商�����、網(wǎng)貸��、有償閱讀�,幾毛錢也不放過在中國現(xiàn)代商業(yè)史上,“薅羊毛”絕非僅僅存在于電商平臺�,甚至不僅存在于互聯(lián)網(wǎng)行業(yè)����。
中國家電行業(yè)價格戰(zhàn)第一槍打響于南京新街口��,“價格屠夫”黃光裕要求供貨商提供大量價格極低的商品�����,而當(dāng)國美南京新街口店開業(yè)時�,大量供貨商涌入國美,試圖將低價商品搶購回來�,一些市民在購買了家電之后甚至迅速轉(zhuǎn)手賣出,狠狠薅了一次國美的“羊毛”���。
這種模式在互聯(lián)網(wǎng)行業(yè)發(fā)揚光大并不出人意料���,和傳統(tǒng)行業(yè)相比,在中國互聯(lián)網(wǎng)行業(yè)中�����,規(guī)模一向比利潤和營收重要�。
互聯(lián)網(wǎng)公司為了獲取新用戶,往往會經(jīng)常性的推出補貼、優(yōu)惠等活動�,而且和以前營銷往往以虛擬福利為主不同,隨著互聯(lián)網(wǎng)獲客成本增加�����,往往用戶都能直接獲得現(xiàn)金獎勵����。
這些活動有時效果好的出奇,人氣甚至能達到幾十萬甚至上百萬�����。
但當(dāng)活動停止��,往往沒有任何留存�,這背后往往就是羊毛黨們在作祟�����。
除了電商行業(yè)外���,所有和錢相關(guān)的互聯(lián)網(wǎng)行業(yè)也都是羊毛黨的重災(zāi)區(qū)�,如幾年前的互聯(lián)網(wǎng)金融平臺以及最近幾年的知識付費(有獎閱讀)等領(lǐng)域。
在一個金融平臺發(fā)布的隨機調(diào)查報告中�,超過60%的受訪人群都曾承認參與過“薅羊毛”,并且有16.04%的人群承認“經(jīng)常”薅�。
近年來興起的自媒體領(lǐng)域,羊毛黨也沒有放過��,有消息顯示一些養(yǎng)號的羊毛黨通過洗稿等方式在幾個平臺之間發(fā)送內(nèi)容��,從而獲得補貼����。
最近興起的以趣頭條為代表的有償閱讀平臺(即讀新聞獲得現(xiàn)金補償)也已被羊毛黨盯上,據(jù)趣頭條內(nèi)部人士表示�����,甚至有羊毛黨幾個月內(nèi)就在平臺上薅走幾十萬(后部分被追回)���。
數(shù)據(jù)顯示��,目前在趣頭條一個新用戶完成所有任務(wù)的平均回報為2元左右�����,而日常任務(wù)回報也僅僅在幾毛錢左右��。
之所以羊毛黨能夠?qū)酌X累計到幾十萬�,是因為隨著利益增加,羊毛黨也逐漸從散兵游勇轉(zhuǎn)向集團��、高科技作戰(zhàn)���。
2017年3月��,紹興警方在沈陽破獲一個高智商犯罪團伙�����,該團伙建立的“快啊”打碼平臺專為網(wǎng)絡(luò)黑產(chǎn)和灰產(chǎn)識別破解字符型驗證碼提供技術(shù)幫助��。
警方對“快啊”平臺數(shù)據(jù)分析獲知,接入該平臺提供驗證碼識別服務(wù)的軟件有100多款�����,從2016年6月到2017年3月�,平臺資金進賬累計達1650萬元。
僅僅“快啊”平臺被查的前三個月�����,已提供驗證碼識別服務(wù)259億次。
據(jù)同盾科技提供的數(shù)據(jù)顯示�����,2017年前三季度�,企業(yè)平均每天要遭受241萬次薅羊毛攻擊,造成的損失在千萬級別���。
在羊毛黨的相關(guān)平臺或網(wǎng)站上�����,針對性軟件層出不窮����,從最簡單的搶券��、價格監(jiān)測到復(fù)雜的破解驗證碼�����、批量下單等都有涉及�。
一位軟件賣家對《深網(wǎng)》表示,軟件可以支持多個賬號同時下單�����,同時他還出售多個身份證號等相關(guān)證件。
在成為集團軍后����,羊毛黨逐漸從“貪小便宜的顧客”走上違法犯罪的道路。
據(jù)相關(guān)法律人士介紹����,目前羊毛黨涉嫌違法主要在以下兩類:首先是部分羊毛黨涉及冒用身份或濫用身份;其次一些成規(guī)模的羊毛黨還涉嫌制造系統(tǒng)漏洞來套取平臺利益��。
以此次拼多多事件為例�����,根據(jù)拼多多公布的細節(jié)顯示��,該事件中的相關(guān)優(yōu)惠券��,均系黑灰產(chǎn)團伙通過非正常途徑生成的二維碼掃碼后獲得��。
通過該非正常途徑生成的二維碼����,原本每個認證信息的用戶可且僅可領(lǐng)取一張無門檻100元優(yōu)惠券。
有黑灰產(chǎn)團伙通過“養(yǎng)貓池”(用手機卡蓄養(yǎng)大量虛擬賬號)等不法手段����,實現(xiàn)N張手機黑卡同時作業(yè),批量盜取該種優(yōu)惠券�����。
據(jù)業(yè)內(nèi)人士介紹����,目前互聯(lián)網(wǎng)行業(yè)羊毛黨主要涉及到以下幾種作案工具:黑卡,指非正常使用的手機卡����,這些黑卡會提供給各個接碼平臺,用于接收發(fā)送驗證碼���,從而進行各種虛假注冊��、認證業(yè)務(wù)��;貓池�,在貓池設(shè)備上可以同時管理多個(幾十甚至上百)電話手機卡�,無需相應(yīng)的手機硬件即可通過配套的軟件實現(xiàn)同時接收����、發(fā)送短信���、撥打電話等功能���,高級的軟件甚至可以注冊微信等社交軟件平臺;公民個人信息四件套����,往往來自偏遠鄉(xiāng)村或一些對互聯(lián)網(wǎng)不了解的人士的相關(guān)資料,含“身份證�����、銀行卡�、手機號”以及“銀行相關(guān)密保資料”;注冊破解類病毒木馬���,攻擊平臺漏洞��,或者對平臺進行撞庫拿到用戶的相關(guān)資料,或者用黑卡進行無限量用戶注冊�����。
以傳統(tǒng)行業(yè)起,互聯(lián)網(wǎng)行業(yè)興���。
薅羊毛行為已從消費者個人的蠅頭小利逐漸過渡到行業(yè)的社會毒瘤���,1月20日的拼多多只是一個短暫的休止符,平臺和羊毛黨之間的斗爭還將隨著行業(yè)的發(fā)展一直持續(xù)下去���。
