拼多多一夜损失上百亿？ 黑灰产不是第一回作案了

　　1月20日凌晨，有网友发现拼多多100元无门槛券存在BUG，用户可以无限制的领取100元无门槛券。于是，大批网友开始深夜“薅羊毛”。

　　据网友统计，这次BUG拼多多至少被薅走200亿。小编因为睡得早，错过了这场几个亿的大活动，感觉损失了甚大啊！

　　昨天，拼多多官方发布声明，称有黑灰产通过漏洞不正当牟利，并已报案。

　　事件还原：“羊毛党”利用拼多多bug疯狂充话费和买Q币

　　1月20日凌晨,拼多多被曝出现巨大漏洞,用户可领100元无门槛券,有大批用户凌晨上线“薅羊毛”,利用无门槛券充值话费、买Q币,充100元话费只需要0.44元。

　　网络截图显示,有人充的话费已够用10几年,还有人晒图表示已买了90多万元Q币。

　　网络疯传：拼多多被“羊毛党”利用bug薅走200亿

　　市值260多亿美元的拼多多被薅走200亿人民币是什么概念？拼多多2018年1-3季度累计营业收入才75亿元人民币，2017年全年才17亿元人民币。200亿比10个2017年的营业收入还要多。有网友因此担心,没有被“假货漩涡”洗白的拼多多，会不会因这次bug而一夜倒闭。

　　但从拼拼多公告来看，其表示被盗取了数千万元平台优惠券。

　　羊毛党的反击：请拼多多履行合同义务

　　针对平台出现的BUG，拼多多平台采取了紧急措施，冻结了这类100元的无门槛优惠卷。并且表示会利用技术手段溯源追踪，采取法律的手段对涉事的羊毛党们进行打击。

　　辛辛苦苦一晚上的羊毛党们，有的还没来得及使用这些优惠卷，在第二天醒来时就发现自己账号里面的优惠卷都被停用了。顿时就有羊毛党不乐意了，一部分人跑到平台下面去留言抗议。有辱骂的、有指责平台的，一时之间这里仿佛变成了一个电商的“维权”现场。

　　但是,许多参与薅羊毛”的网友并不认可拼多多“打击网络黑灰产团伙”的观点，纷纷在拼多多官微留言质疑拼多多搞虚假营销。

　　更有网友对拼多多单方面关闭订单拒绝发货的行为，表示要进行索赔。

　　拼多多是否有权撤销优惠券？

　　在本次事件中，拼多多认为由“黑灰产”团伙通过平台漏洞获利，并表示将对涉事订单进行溯源追踪。那么“黑灰产”应该由谁来界定呢？

　　电子商务研究中心主任曹磊表示：“‘黑灰产’的认定从严格意义上讲，应该由相应的监管部门，或者是公安网监来进行认定。当然，平台方如果能够提供充分有效的证据、材料，也将有助于监管、司法、公安等部门进行认定。”

　　英冠律所律师钟振宇介绍，《合同法》第186条规定了赠与人享有任意撤销权，即赠与人在赠与财产的权利转移之前可以撤销赠与。其目的就是赋予赠与人与受赠人达成合意后法定要件实现前以悔约权，使赠与人不致因情绪冲动，思虑欠周，贸然应允将不动产等价值贵重物品无偿给与他人。“总体来说，优惠券是属于赠与行为，我认为可以合理撤销。”

　　曹磊认为，拼多多在公布之后，可能会有少量的用户会退回，但是绝大部分都已经充值或消费掉了，这样追回比较困难。还没使用的可以冻结，以挽回损失。

　　“薅羊毛”的消费者有错吗？

　　“薅羊毛”的消费者有错吗？法律学者朱巍认为这要分为多种情况。若是涉及人为破坏计算机系统出现漏洞的，属于《刑法》破坏计算机信息系统罪，情节特别严重面临五年以上的刑期。

　　其次，若是不涉及到人为破坏系统，仅是利用漏洞，这类情形严重的话，实践中涉及盗窃罪、侵害知识产权罪。

　　再次，除了自己“薅羊毛”，还发布漏洞信息的人，传播这类信息可能涉及到前面罪名的共犯，也可以单独构成传授犯罪方法罪，或构成扰乱市场秩序的行政处罚，这个行为至少会影响到个人信用。

　　最后，少量“薅羊毛”，一般不构成犯罪，所得属于不当得利，应及时予以返还。不过，若是在事实公布后还继续“薅”的，这就构成盗窃罪。

　　还有哪些黑灰产事件？

　　东航机票出现bug，大部分机票仅为50元

　　2018年11月17日凌晨，东航系统被爆出现bug，很多航线的机票折扣极大，部分机票价格仅为50元，多条国内航线头等舱商务舱往返机票,最低只需90元！

　　一时间，东航bug成了微博热搜。面对这一突发性事件，东方航空是如何应对的呢？人民日报微博发表了题为“东航这波被网友称为教科书式的公关究竟怎么回事”的微博：

　　东航在事后发布通报称，在系统维护时售出的所有机票(支付成功并已出票)全部有效，旅客可正常使用：

　　腾讯视频会员充值18元仅扣0.2元

　　2017年12月31日，腾讯视频会员充值出现异常，原本18元的9折充值活动，仅扣费0.2元。财大气粗的腾讯不仅对已充值的用户全部兑现，而且退回了用户被扣的0.2元。

　　经统计，在12月31日服务器系统异常期间，因0.2元漏洞所产生的订单共计287万笔，涉及39万名用户。腾讯视频将按照上述用户的实际充值时长来完成每一笔订单。如果按每笔订单平均充值一年会员来算,损失超过5个亿。

　　东鹏特饮薅羊毛事件

　　东鹏特饮是广东一家饮料公司，传统促销活动是瓶盖抽奖，随着互联网的普及，决定尝试新的方式——扫二维码领红包，想借力互联网省去繁琐的流转，顺便收集顾客信息，不料羊毛党却给了他们当头一棒。

　　随着活动的升温，迅速出现了大量贩卖东鹏特饮CDK(码子)的人。所谓码子就是将活动二维码转换成的链接。购买码子后用微信点击便可以领取红包。渠道商和羊毛党手中的微信账号有限，但码却很多，他们以略低于最低额度红包的价格售卖，购买者也是稳赚不赔。而购买CDK的是普通用户吗，只能说比例太少，普通用户哪有渠道知道CDK的存在，大多是手中拥有很多微信账户的其他灰产从业人。他们平时的业务是用微信号加大量好友，再通过诈骗、微商等形式变现。东鹏特饮CDK只是顺便的行为之一罢了。

　　总之在利益的促使下，迅速有人与废品回收站核心节点合作，低价大量收购瓶盖，提取二维码信息，市场上称为“废品码”，与之对应的是“必中码”，是打通关系后从生产瓶盖厂商、内部人员等处购买的，将二维码一键生成链接，转手卖给渠道商，渠道商再分发给各级下线，一套流程下来，层层都有利润，做活动的企业就成了冤大头。最终结果就是东鹏特饮发现实际兑换的奖金金额远远高于预期，而收获的只是营销效果为0的“僵尸用户”。

　　苹果36技术漏洞致上亿资产损失

　　同样遭遇薅羊毛的还有苹果。用户在iOS上消费后，苹果公司会按照比例与app服务提供方进行分账，以季度结算。结算时，大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下，发现了真实原因：被薅。

　　一些账户进行了6元和30元的小额消费后立即消失了，存在批量痕迹。原来苹果为了提升用户体验，设置了40元以下小额充值可以不验证，先派发商品的策略。对黑产来说，此举意味着每个小号36元的利润，立刻展开了行动。

　　他们会首先通过脚本批量注册大量邮箱账号。国外一些邮箱注册不需要提供手机号，这一步操作几乎是“无成本”的。完成后，会利用软件，批量生成Apple ID，再批量激活。大部分厂商会在IP短时间注册量上进行判断，对黑产来说这一步的成本就是更换IP的成本。

　　对此威胁猎人会在下述产业链部分详细阐述黑产逃过IP检测的方法。

　　消费需要绑定银行卡，对于大量的银行卡需求，黑产的解决方案是家庭共享和注册虚拟银行卡。设置家庭共享后，每个账号可以有8个附属账号共享同一张银行卡，而这张银行卡是一张虚拟卡，当黑产持有一张银行卡后，可以线上向开卡行申请虚拟银行卡，卡号会和原卡不同，但都是属于同一个账户。

　　当苹果发现盗刷行为会对该账号封号，当多个附属账号被封后，苹果会将主账号与其绑定的银行卡列入黑名单，这时，黑产会将虚拟卡注销，重新申请，完全不影响继续使用。苹果也会对设备进行检测，这时黑产会结合改机软件，在被锁机前刷新设备指纹，轻松解决。薅羊毛后，黑产就会利用低价优势，通过各种渠道销售虚拟商品进行变现。游戏和版权行业是受害的重灾区。

　　针对36技术，苹果进行了策略调整，新注册用户限制使用先派发后收款的模式。然而此举对黑产来说只是提高了一点成本，还在接受范围中。造成的影响是黑产对老号的需求大幅增加，等待着苹果的问题将是盗号、撞库、养号等等。如上述变现环节，因为充值限制，会索要用户(购买黑灰产手中虚拟商品的人)的账号和密码，这个账户就可以“回收”投入下一轮的利用。账号相关的产业链详细阐述可参考下文账号模块。

　　滴滴被十几万账户虚假注册

　　按照相关规定，网约车平台对注册司机需要进行相关考核审查，如有一定的驾驶年龄、北京要求“京人京车”等。很多不符合规定的人想完成注册，就会利用一种“代注册”的黑产业务。

　　2017年9月，滴滴向广东省公安厅网警总队举报，发现发现几十万账户存在虚假注册、人车不符的问题。经查，发现了背后黑产大肆的牟利行为。驾龄不符、外地车不派单、车辆超龄都可以拿钱“解决”。

　　首先黑产信息源通过行业内鬼等，查到真实符合规定的人车信息。一级中间商从信息源购买车辆人员信息。然后加价转卖给二级中间商，二级再加价转卖给代注册操作员。代注册操作人再通过PS等方式“加工信息”，与购买者信息结合，将分别合规的信息整合为一整套，完成注册操作，收费300-500元不等。而即使被发现，滴滴也只能对司机进行封号处理。

　　有些操作人还会顺便薅一把滴滴的羊毛，如利用推荐机制，滴滴公司规定，每推荐成功一个司机，就能获得218元冲锋奖，和新司机前8个订单30%的流水。不难想象在各家网约车竞争期，活动不计成本，都只想着在大战中存活的时候，代注册一伙能够获得多么巨大的利润。

　　事实上，在滴滴快的大战时，虚假司机账户就是主要是用来刷单，结合外挂牟利的。当网约车合并，国家监管变严后，代注册团伙转而向不符合规定的人售卖服务，部分团伙还会以出售“注册教程”的方式获取额外利润，这种教学收费模式往往是在本身利益降低时会产生的，当利益巨大时，掌握方法的人只会默默赚钱。

　　这一系列牟利行为不只是对滴滴造成了伤害，也会对普通用户造成伤害。如滴滴外挂会通过修改定位等方式实现“挑单、抢单”。而滴滴不得不将距离最优算法，改成几公里内随机派单，而用户只能忍受明明看到身边有车，却需要在寒风中等待三公里外的一辆车。

　　更令我们警醒的是，我们的个人信息，竟然是如此容易可以获得的。事实上，黑产的社工库也确实在不断完善，数据量越来越多，精准度越来越高，被广泛的用在撞库、诈骗等处，让人胆寒。滴滴这样的认证较为复杂，被应用更普遍的图形验证码、身份证认证、面部识别认证都有着发展稳定的服务产业链，将在下文账户认证部分作出介绍。

　　Uber大规模数据泄露

　　Uber在2017年遭遇了大规模的数据泄露，包括5000万用户的姓名、邮箱、电话。和700万司机的个人信息及60万美国司机驾驶证号码。Uber称信用卡等信息数据并没有泄露。5700万数据，与雅虎、美国信用机构Enquifax泄露规模相比，本不值一提，在黑产中也不算惊天的数据。但Uber的做法引起了大家的关注——向黑客支付赎金。

　　当时的CSO和助理，以支付10万美金的方式试图隐瞒此事，避免Uber数据在黑市流通。事后两人遭到了开除，CEO迫辞职，Uber最终声明并没有证据表示此次事件的数据被黑客利用，并将为信息泄露的司机提供免费的信息保护监控服务。

　　黑客获取数据的方式令人好奇。事实上他们是从Uber工程师的私人GitHub库，获得了登录凭证，进而访问了Uber用以计算的亚马逊云服务账户，在账户中发现了用户数据，随即进行了勒索行为。我们不禁发现攻击有时只需要找到一处漏洞，而防守却需要全面严密。而除了防守还有另外一个问题需要我们面对——对已经泄露的数据该如何行动。Uber隐瞒的做法自然是不可取的。

　　而面对这种问题一个暴力而有效的对抗方式是建立比黑产更庞大的泄露数据库，若能在黑产使用这些用户信息时判定出是已泄露账号，直接触发风控逻辑，进行更严格的审核，绕过黑客的防护手段，对敌人造成了无法回避的打击。而建立这样的数据库除了需要有效、实时的收集补充方案，也需要各大厂商的分享和参与，收集多方资料，构建更全面的数据源。

　　星巴克被虚假注册用户40万

　　2018年12月17日，星巴克上线“星巴克App注册新人礼”营销活动。然而，该活动疑似因遭遇黑灰产攻击，在上线的第二天就停止了。

　　据隐私护卫队了解，星巴克App注册新人礼活动称，12月17—23日，凡通过星巴克App成功注册星享用户俱乐部账户的新会员均可获得一份饮品券，饮品券在成功注册24小时内配置到账户内，用户可凭券免费兑换任意一杯中杯圣诞当季特饮。

　　18日下午，以情报能力为核心的业务安全解决方案服务商威胁猎人的公众号推出文章——《星巴克新活动仅一天就被疯狂薅羊毛，企业业务安全告急！》。文章表示，星巴克推出的营销活动遭受黑灰产大规模攻击，并紧急下线该营销活动。

　　“我们监测到黑灰产虚假注册量已达到40万。”威胁猎人相关负责人对隐私护卫队表示，此次星巴克推出的活动门槛较低，黑灰产只需要一个新的手机号并提交一些基本资料即可领券，而且星巴克推出的这个活动还存在没有识别黑卡、猫池号码等漏洞，其本身也没有做好设备指纹上的对抗，这导致用户可以在一个手机上用多个手机号进行注册。

　　所谓猫池号码，威胁猎人解释说，黑灰产通过各种方法批量地开手机卡，有一些人手握几千、上万甚至数十万的手机卡，专门用来收发验证码、注册账号等，比如黑灰产利用猫池号码注册星巴克账号获取优惠券，成本仅为0.1元(接收短信的成本)，然后再将优惠券卖出去。

　　【爱青岛综合整理，部分内容来自中国经济网等，图片如有侵权请联系删除：85702000】