拼多多被薅羊毛背后的黑灰家当：购买大年夜量手机SIM卡刷好评、做水军

不能由于技能盗窃的便利和无障碍，围不雅观者就轻松包涵他人，宽容自己。

全文6870字，阅读约需13.5分钟

一个过期的优惠券漏洞，可能引发海内资损规模最大的黑灰产事宜。

1月20日凌晨，有网友称拼多多存在重大Bug，“只需支付4毛钱，就可以充值100元话费”“有大批用户开始薅羊毛，一晚上200多亿都是话费充值”。
根据网友晒出的截图，这次拼多多的100元无门槛券全场通用(分外商品除外)，有效期为一年。

拼多多方面表示，当日凌晨有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。

针对该事宜，拼多多称目前上海警方已以“网络诱骗”的罪名备案并成立专案组，并依据“财产保全”的干系规定，对涉事订单进行批量冻结。
拼多多平台正合营警方，对涉事订单进行溯源追踪，并终极依据警方的调查结果对干系订单做出依法依规处理。

对付丢失高达200亿的说法，拼多多回应称这一数字不实。
拼多多称黑灰产团伙大量盗取优惠券，涉案总金额达数千万元，估量本次事宜造成的终极实际资损大概率低于千万元。

━━━━━

一个Bug引发的薅羊毛事宜？

▲图/视觉中国

1月20日上午9点5分，小南在自己的“闺蜜群”里收到一条链接，闺蜜见告她，只要点击这个链接，就可以领取拼多多的100元优惠券。

“我以为便是一样平常的匆匆销或者拉新优惠活动，就下载了拼多多App，选来选去，订了一个一贯想买的智能音响。
”小南见告新京报，她领取的这个优惠券是“无门槛，一年有效期”。

“这个链接是我的室友在她的朋友群里看到的，然后再转发到我们闺蜜群里。
后来看到网上的热搜，我才知道自己的行为可能涉及薅羊毛。
”小南表示，“1月20日上午10点20分，我用优惠券购买的商品就已经联系了顺丰快递，连快递单号都见告我了，但截至现在该商品还处在‘商家正关照快递公司取件’的状态。
”

在最新的情形解释中，拼多多表示黑灰产团伙所利用的“优惠券漏洞”盗取的干系优惠券，为拼多多此前与江苏卫视《非诚勿扰》开展互助时，因节目录制须要分外天生的优惠券类型，仅供现场高朋利用。

然而，黑灰产团伙通过非正常路子天生的二维码扫码后得到干系优惠券，该二维码多流传于社交平台干系黑灰产群。
通过该二维码，原来每个认证信息的用户可且仅可领取一张无门槛100元优惠券，而非此前网络流传的单个ID可以“无限领取”。

因此，黑灰产团伙通过“养猫池”（用手机卡蓄养大量虚拟账号）等不法手段，实现N张手机黑卡同时作业，批量盗取该种优惠券，并通过手机话费、Q币等虚拟充值的办法，试图在短韶光内迅速转移此类不当所得，涉案优惠券总金额达数千万元。

拼多多风控团队卖力人表示，黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后，期望达成“法不责众”的效果，迅速通过网络和社交群将二维码分享出去，勾引一些普通消费者跟风扫码。

拼多多强调，此种类型的优惠券从未在任何时候、以任何办法涌如今平台正常的线上匆匆销活动当中，乃至从未有任何线长进口，拼多多亦未曾针对该类型优惠券天生任何二维码。
但二维码详细的天生及传播过程，仍待警方调查后公布终极结论。

值得把稳的是，职业羊毛党看中充话费和Q币是自动发货，因此将优惠券迅速兑现。
对付拼多多而言，能否向三大运营商以及腾讯追讨这一次丢失成疑，目前拼多多亦未透露是否有追讨资损的详细方案。

━━━━━

收回优惠券合理吗？

涌现Bug被用户“薅羊毛”的征象在海内互联网行业中时有发生。

2018年元旦期间，腾讯视频发起优惠充值活动，但由于活动做事器后台数据涌现非常，有部分用户在充值一个月时涌现该当支付优惠价18元实际仅被扣费0.2元的状况。
当时这一漏洞共引来39万用户参与。

其后腾讯公告称，这是公司的事情失落误，公司将这些非常订单全部兑现，且不再扣费。
终极，腾讯为这个Bug付出超过5000万元的代价，但同时赢得网友的好评。

但拼多多并未“顺应民意”自掏腰包。
在创造漏洞后，拼多多在当日9时旁边紧急将所有优惠券的领取办法下架，同时取消了用户已领取但未利用的优惠券，留神到，当时拼多多还对App进行了优化更新。
为了补偿用户，拼多多向受影响用户发放5元无门槛优惠券，有效期为50年。

拼多多表示，这次事宜与其他公司一系列因Bug所致资损事宜存在实质差别，这一次是“套券诱骗”的网络诱骗案件。
“如按照网络中前者被以‘ATM机误吐钞’征象做类比，后者则相称于造孽团伙撬开ATM机后履行盗窃。
”

电子商务研究中央主任曹磊认为，从法律任务认定和用户权柄保护角度出发，如果是平台主动推出的活动，那么应按照官方解释来兑现承诺，也就相称于在线跟用户签订协议，平台当然要实行。
“但拼多多干系声明已经显示，是通过一个过期的优惠券漏洞盗取了优惠券。
根据《条约法》干系规定，拼多多取消或收回优惠券是不须要承担法律任务的。
”

他表示，如果这次拼多多涌现优惠券漏洞是黑产羊毛党恶意行为，这类交易属于存在“重大误解”订立的条约，“（拼多多）是可以哀求撤销的。
”

北京康达状师事务所状师韩骁亦认为，拼多多收回已经领取但还没有利用的优惠券，这一做法并不会和刚出台的《电商法》相冲突。
这次事宜中，拼多多采取收回已领取但未利用的优惠券这一办法来应对，属于合理的补救方法。

另据理解，当日11时旁边，拼多多的事情职员已经向部分商家发出关照，凡是已利用100元无门槛券的订单不许可发货。

根据《电商法》第四十九条规定，电子商务经营者发布的商品或者做事信息符合要约条件的，用户选择该商品或者做事并提交订单成功，条约成立。
当事人另有约定的，从其约定。
电子商务经营者不得以格式条款等办法约定消费者支付价款后条约不成立；格式条款等含有该内容的，其内容无效。

曹磊表示，拼多多这一做法与《电商法》不冲突。
“恶意利用系统漏洞获取的优惠券，不能有效地折抵付款中的相应付款责任，以是该当视为未完成付款责任，不受电商法第四十九条第2款的约束，商家可以不发货。
”

中国政法大学知识产权中央特约研究员赵盘踞则见告，如果用户已经利用优惠券购买拼多多上第三方商家的商品，用户和商家之间的条约已经成立，拼多多可以去深究用户的任务，但不能阻挡商家发货。

━━━━━

为何会发生“薅羊毛”事宜？

关于风控的问题，拼多多表示公司一贯有风控体系培植，而且本次事宜不涉及任何数据安全问题，平台消费者原来正常领取的优惠券利用不会受到影响。
为进一步加强“分外优惠券”干系风控体系，拼多多透露公司已成立技能专组。

对付拼多多“被薅羊毛”一事，某反诱骗安全团队专家陈锋（化名）表示，有许多手段可以防止平台被恶意“薅羊毛”，包括限定优惠券的总数以及优惠券的运用处景，“比如设置最多10万张券，只能用于满200元的实物订单，再加上最根本的防薅羊毛策略，就能担保不出大问题”。

对付为何风控系统没有监测到非常情形，拼多多回应称事宜发生时正值平台大匆匆，其间有大批量平台正常发放的优惠券被花费。
直至当日上午9时，遭盗取优惠券和正常优惠券的总和打破平台预设阈值，系统才监控到非常并自动报警后，拼多多在第一韶光修复干系漏洞。

根据网友截图，这次事宜中拼多多的优惠券属于“无门槛全场通用”，还有网友晒出了充值话费、购买Q币的截图，有的充值金额乃至高达5万元。
“在此事宜中，拼多多的业务规则涌现了问题，最基本的防薅羊毛手段都没有设置。
”陈锋称。

在陈锋看来，目前确实存在专业的“羊毛党”，针对不同平台，这些羊毛党拥有注册账号（涉及手机号、接码平台等）、下贱支付渠道、洗濯转移渠道等等，而灵通与否以及设备的专业程度则决定了这些羊毛党的收入。

━━━━━

羊毛党的行为涉嫌犯罪吗？

事实上，在《拼多多做事协议》7.1禁止行为中已明确，用户利用拼多多平台外挂和/或利用拼多多平台当中的Bug来得到不正当的利益赫然在列。

韩骁表示，用户利用系统漏洞大量领取平台的优惠券并以此获利，可能涉嫌盗窃罪，若获利数额达到干系标准，则有可能须要承担刑事任务。
不过他强调，如果是平台的普通客户，并非故意识地通过这一安全漏洞大量领取优惠券牟利，而仅领取了数量较少的优惠券，没有盗窃的主不雅观故意，客不雅观上获利也未达到量刑标准，则并不构成盗窃罪。

对付薅羊毛黑产是否涉嫌违法犯罪，陈锋表示比较难以判断，“一样平常而言首先必须有公司报案，而此前的实际案例中，最多的情形可能会协商，协商不成按诱骗来办，但终极是否违法或者犯罪还要看公检法机关的定性。
”

拼多多在最新的公告中表示，对付遭裹挟的普通消费者，平台主不雅观意愿上不会进行进一步追责，但不支持此类非正常行为。

电子商务研究中央特约研究员、北京盈科（杭州）状师事务所状师方超强认为，黑产灰实际上是一个网络术语，并没有明确的观点和外延；从拼多多事宜来看，所谓“黑产灰团队”，有几个事实应该是明确的：1.应该是主动探求系统漏洞，而非进行系统毁坏和修改；2.主不雅观上知道是漏洞；3.客不雅观上利用漏洞牟利；4.优惠券应该是具有一定代价的财物。
从犯罪构成要件看，个人认为涉嫌盗窃罪。

中国政法大学传播法研究中央副主任朱巍则表示，当平台涌现优惠券Bug，且缘故原由不明时，分两类情形：第一，若是涉及打算机系统毁坏涌现Bug的，属于《刑法》毁坏打算机信息系统罪，情节特殊严重有五年以上的刑期。
第二，若是不涉及系统毁坏，仅是利用漏洞，这类环境严重的话，实践中涉及盗窃罪、侵害知识产权罪，不严重的话，薅到的券属于不当得利，应予返还。

在这次拼多多事宜中，黑灰产团队在刷了足够多的优惠券赚牟利润后，出于“法不责众”的生理将优惠券链接公布于众。
朱巍认为，除了自己刷，还发布干系信息的人，传播这类信息可能涉及前面罪名的共犯，也可以单独构成传授犯罪方法罪，或构成扰乱市场秩序的行政惩罚。

在朱巍看来，少量刷的人，一样平常不构成犯罪，但其“所得属于不当得利，应及时予以返还”。
若是在事实公布后还刷的，就构成盗窃罪。

曹磊表示，对黑灰产的认定从严格意义上讲，该当由相应的监管部门，或者是公安网监来进行认定。
当然，平台方如果能够供应充分有效的证据、材料，也将有助于监管、法律、公安等部门进行认定。

━━━━━

对拼多多影响有多大？

凭借着社交电商全新打法，成立仅三年韶光的拼多多已经是海内最成功的独角兽企业之一。
摩根士丹利近日发布研报，首次把拼多多纳入研究范围，给予“增持”评级，并把目标股价定为29美元。

拼多多财报显示，去年第三季度，拼多多实现营收33.72亿元，同比增长697%，环比增长24%；去年前三季度共实现74.66亿元营收，同比增长约12倍。
但并不乐不雅观的是，拼多多净亏损进一步扩大，去年第三季度亏损10.98亿元，远高于前年同期的2.21亿元；去年前三季度共亏损77.93亿元，前年同期为5.39亿元。

拼多多仍在投入大量的资金拉新，通过冠名综艺节目等办法连续拉动用户增长率和生动度。
财报显示，去年第三季度拼多多的发卖及营销用度高达32.3亿元，同比增长655%，紧张缘故原由是由于品牌推广活动及线上线下广告及匆匆销活动增加所致。

拼多多狠砸营销用度的另一个主要缘故原由是获客本钱在走高。
2017年三季度，拼多多单个新用户的获客本钱为13元，但去年上半年已经飙升至55元。

值得一提的是，只管拼多多在去年第三季度投入的研发用度同比增长828%，但其研发用度仅为发卖和营销用度的1/10。

新京报把稳到，拼多多已于1月20日下午在招聘平台发布多个与风控干系的职位，包括风控总监、风控策略/模型专家等。

经由这次事宜后，拼多多的研发用度或许将保持高增速。

━━━━━

薅羊毛黑产已发展出高度分解的家当链

陈锋对表示，“薅羊毛”行为指的是新兴消费群体搜集网贷平台、电子商城、银行、实体店等各渠道的优惠匆匆销活动、免费业务之类信息，注册大量“小号”仿照大量正常用户参与活动，从而以相对较低本钱乃至零本钱换取物质上的实惠，这一群体被称为“羊毛党”。

━━━━━

不仅薅羊毛，还刷好评、做水军

新京报采访多位专家理解到，目前薅羊毛黑产拥有高度分解的家当链条，紧张包括：上游的软件开拓职员、脚本开拓职员、接码平台等供应可以批量注册账号的工具；中游黑产团队通过购买大量手机SIM卡，再通过这些软件工具和猫池等硬件设备将自己仿照成大量普通用户，恶意注册各平台账号并养号，在“薅羊毛”机会涌现时利用大批量的账号赚取收益；下贱拥有能够快速将优惠券等平台内资金转移出去的支付以及洗濯转移渠道。

有熟习网络黑产的人士见告，从事薅羊毛黑产所必须的“硬件”包括手机SIM卡、猫池等，软件则包括接码平台、动态IP技能等。
“例如为了限定薅羊毛行为，许多平台会记录注册用户的IP，此时上游供应技能支持的黑产能够通过动态IP技能形成比较大的动态IP池，再租售给下贱薅羊毛黑产团队利用。
”

在他看来，拥有了上游的软硬件设备，薅羊毛黑产就具备了大批量注册平台账号并领取优惠券的条件。
而当刷完优惠券后，还须要能够快速变现的渠道。
“在这次拼多多事宜中，大量黑产选择将优惠券变现为系统自动发货的Q币、手机话费等。
目前，存在将Q币和手机话费等合理变现的灰产平台，一些购物网站上也可以买卖优惠券，这都是羊毛党们的变现渠道。
”

“羊毛党们‘薅羊毛’的实质便是，其能够模拟成大量用户，让发放优惠券的企业识别不出来。
但一样平常来讲，拥有大量账户的黑产团队能做的不但有薅羊毛这一件事，大量账号能够用来刷好评、做水军等，”该人士表示。

━━━━━

打击薅羊毛黑产要从源头开始

在采访中，多名专家对新京报表示，要打击薅羊毛黑产，最有效的办法是直接打掉其家当链上游的恶意注册工具供应商。

新京报理解到，辽宁省公安厅曾就恶意注册上游工具软件发起名为“610”的专案打击。
曾经参与该案件的一名网络安全专家称，在专案中，其锁定了头部恶意注册工具软件数款，个中一款名为XXTouch的按键精灵软件能够仿照人操作手机的行为，并拥有可大略单纯化履行改机工具的功能，包括伪装手机信息、GPS信息功能。
“简而言之，在不考虑效果的情形下，XXTouch一款软件已经做到恶意注册除IP变动外的所有环节技能供应，在其看似中立的伪装下，实际上为恶意注册黑产配备了全套武器。
”

该专家表示，对付打击恶意注册，最好的办法是能够斩断恶意注册黑产链最上游，从生态上挤压恶意注册的生存空间。
这包括假造设备硬件信息实现多开的改机工具，没有改机工具，恶意注册不具备履行性；以及赞助自动化操作的群控和按键精灵软件，没有自动化，恶意注册无法摆脱高昂的人力本钱。

但他同时认为，由于恶意注册软件在黑产圈遍及，导致恶意注册事情室的开设门槛极低，一次集群行动可以打掉一个地区的一批团伙，但是很可能其他地区立时就有新的团伙如雨后春笋般冒出。

新京报 陆一夫 罗亦丹 编辑 李薇佳 王进雨 校正 何燕

━━━━━

黑产“薅羊毛”便是犯罪

该还的总归要还。
一大早，前天参与拼多多薅羊毛狂欢的一些用户创造，拼多多平台逼迫取消了部分订单，也有充值话费的网友创造，自己的话费被运营商逼迫退回。
但没想到的是，如今薅羊毛也可以理直气壮地站在道德高地。
一些用户在接管采访时义愤填膺，认为自己只是领了个优惠券，平台不该逼迫取消，不少人认定平台的错不应该让用户承担丢失。

尊重他人财产权，是根本社会规则的一部分，而薅羊毛和网络黑产，多数情形下做的事，都是数据时期的敲诈和盗窃。

在拼多多供应的详细声明中，能清晰看到羊毛党是如何侵略企业利益的。
声明显示，羊毛党们所利用的优惠券，是拼多多与某电视节目互助中临时天生的优惠券，并且，从未公开涌如今任何一次匆匆销活动之中，也没有开放过入口。
而黑产团队通过非正常路子创造漏洞并天生二维码，在公开范围内进行了传播。

这已经是很明显的技能犯罪，与传统意义上的“薅羊毛”完备是两码事。
普通来说，这即是是一个专业团队创造了他人门锁上的漏洞，攻破门锁进行盗窃，并且，为了免除任务，干脆将大门洞开，让所有人都进来搬点东西回家，以制造一种“公开拓放优惠券”的假象，来免除盗窃任务。

因此，用户抱怨平台不该收回优惠券完备没有任何道理可言。
不管是碰着他人家门洞开，还是高速路碰着货车翻车，用户都没有情由拿走原来属于平台的东西。
这是对他人财产权的基本尊重，失落主也理所应该可以采纳各种手段索回丢失资产。

对付像拼多多这样的新晋电商巨子，这次攻击事宜暴露了其风控体系的根本漏洞。
但更值得反思的是，一起实质上是严重的盗窃公司财务案件，为何在公共舆论里陷入了一种无罪化的狂欢?

不能由于技能盗窃的便利和无障碍，围不雅观者就轻松包涵他人，宽容自己。

“羊毛党”三个字刚见诸报端时，的确曾享受过一阵子道德豁免的特权。
当时，互联网公司由于风控体系和制度设计问题，常常涌现一些能够被用户利用的打折漏洞，继而，羊毛党也在很多民气中，有了一种“个体通过精明算计与商业巨子讨价还价”的假象。
但随着技能和风控手段升级，普通人意义上的“薅羊毛”空间险些不存在了。
羊毛党成为一个专业的犯罪团伙，他们节制大量的手机黑卡，利用互联网公司的技能漏洞猖獗获利。
事实上，现在有不少羊毛党，便是利用技能漏洞进行高科技犯罪、游走在敲诈和盗窃边缘的专业团伙。
曾有专业机构做过统计，海内网络黑产高下游从业者超过160万人，每年产值超过1000亿元，从传统的银行、保险公司再到电商平台，都成为他们攻击的工具。

这是对商业环境和共识堂堂皇皇的陵犯。
公众年夜众应该认识到，黑产团队并不是什么草莽英雄，也不是什么草根代表，他们既陵犯了企业的利益，也剥夺了用户红利，并终极毁坏了企业与用户之间的信赖贯串衔接。
而打击黑产和羊毛党，也应该成为大数据时期最主要的共识。
文/胡涵（媒体人）

值班编辑 吾彦祖 花木南