這幾天,拼多多遭遇了上市以來最大的麻煩。
1月20日淩晨,拼多多被網友曝出存在重大安全漏洞,使用者可領取100元無門檻券,且使用次數不受限制,此消息一出,大量使用者開始薅羊毛。根據網友曬出的截圖,有人用0.4元充值了100元話費,有人曬出賬戶内有超過50萬Q币餘額,網上甚至有傳聞稱,拼多多“因為黑産被薅走200億”。當然,從拼多多回應來看,很多與本次事件有關系的截圖都是謠言。
1月20日上午9點多,拼多多修複了這個Bug,撤銷了100元優惠券,之前領到未使用的優惠券被全部下架,拼多多對此也做出了回應,表示這次事件是黑灰産利用拼多多在一個節目(非誠勿擾)錄制現場面向觀衆提供的優惠券,拼多多從未線上上以任何形式公布過這一優惠券,黑灰産團夥拿到這一優惠券後,進行了大量的套利,出于“法不責衆”的心态将優惠券大面積擴散給普通使用者。
拼多多說這“類似于幫派撬開家門實施盜竊之後自己也有些害怕,打開大門招呼更多普通路人進入受害者家中搬取。”
拼多多已在第一時間報案,警方出于财産保全原則,已對優惠券訂單進行批量當機。
針對這一事件,羅超頻道接受了36kr“觀察+”欄目采訪,談到了自己的看法,本文還想借拼多多“優惠券門”事件,來談一談網際網路上泛濫的羊毛黨。
優惠券事件給拼多多上了一課
如果真是黑灰産操作,意味着對應團夥将被追究刑責。不過,普通使用者在不知情的情況下使用對應優惠券,應該不需要承擔刑事責任,我身邊就有幾個朋友,就享受到了這一優惠券“福利”。
拼多多對訂單進行批量當機的做法,引發了一些使用者的不滿。拼多多的優惠券雖然不是官方有意面向普通使用者發放,但使用者卻可以正常領取和使用,這說明拼多多本身有一定責任,要求普通使用者去甄别網上看到的優惠券來源是什麼也不現實。
站在拼多多角度來看,它現在無法甄别普通使用者和黑灰産團夥的訂單,警方出于調查目的也要對訂單進行當機。這樣看拼多多當機所有訂單,合理,但不合情,拼多多後期還需要給消費者一個說法。
拼多多在回應中表示:“為充分保障正常參與平台各項活動的消費者的利益,在“年貨節”和“春節不打烊”活動期間,拼多多将追加一億元年貨紅包津貼,向平台消費者進行發放。”不過拼多多沒有道歉,而是将普通使用者的行為定性為消費者遭裹挾,“平台主觀意願上不會進行進一步追責,但拼多多不支援此類非正常行為。”拼多多還表示将堅決打擊黑灰産團夥,不會存在半分妥協與讓步。
在我(歡迎添加我個人微信luochaozhuli交流)看來,這一事件對拼多多不見得是壞事,一方面,訂單大都被當機,損失可以追回,不存在網上謠言中的上百億損失。另一方面,拼多多是一家成立才三年的公司,體量卻有276億美元,壯大太快,自然會有很多不完善的地方,這樣的問題被暴露得越早,結果越好。
蒼蠅不盯無縫的蛋,拼多多給電視台活動現場提供的優惠券為什麼可以被公開使用?為什麼這麼久不失效,為什麼可以被這麼多人用?這展現出當時活動設定不周,以及整體風控體系薄弱。
電商平台距離錢很近,容易被黑産、黃牛、騙子們盯上,而且普通使用者中也有一些“壞使用者”,是以反欺詐、反刷單、反黃牛、反假貨等等,因為電商和金融平台距離錢很近,是以容易被黑産、黃牛、騙子們盯上,而且普通使用者也有一些“壞使用者”,這要平台要從技術層面,結合大資料,與營運、法務、商務等配合,反欺詐、反刷單、反黃牛、反假貨,建構強大的風控體系。
如果拼多多有完善的風控體系,這個優惠券根本不可能流出,更不可能被大面積使用,就算被規模化使用也可以提前接到預警。
這次事件也給拼多多上了一課,要求它未來投入更多資源去做風控。阿裡、京東都是成立十年以上的公司,這些年在與黑産、灰産、黃牛和平台上的“壞使用者”的博弈中不斷積累經驗,完善風控體系,相比之下,拼多多更年輕,可以多向阿裡、京東等前輩學習,或者招攬優秀的風控人才加入。出現這樣的事情是預料之中的,任何公司走向偉大,變得成熟前,都會經曆這樣那樣的磨難,拼多多也不例外。
網際網路上泛濫成災的羊毛黨
像拼多多這次遭遇的黑灰産“薅羊毛”事件,并不少見。
2017年4月,京東旗下京東白條閃付的線下優惠活動出現BUG,使用者使用含特定關鍵字商戶名的任意POS機支付均可獲得滿減優惠,接着出現了許多不法分子趁機賺取京東白條的優惠,甚至有人聲稱“六小時就賺了130萬”。對此,京東采取了報警處理,聯合公安、銀聯成立專案組堅決打擊,并警告内部人士如果參與務必主動交代。
2018年初,騰訊視訊出現了一個漏洞。原本18元一月的騰訊視訊VIP會員,9折開通隻需要0.2元,該漏洞被發現之後,迅速在QQ群中散播,根據騰訊的統計,此次充值成功的使用者達到39萬,充值筆數涉及287萬筆。這一次騰訊選擇自己“背鍋”,1月7日,騰訊釋出公告稱,0.2元就充值成功的VIP身份有效,充值成功的賬戶時長全部有效。
不同薅羊毛事件性質不同,有的是平台自身的bug或者營運的疏漏導緻,有的是被黑客非法入侵人為制造了漏洞,拼多多優惠券事件,屬于後者。但不論什麼形式,羊毛黨都已成為網際網路的陰霾。
跟當年單純地享受着企業福利的小白使用者不同,今天的羊毛黨,已經是有組織的産業化運作。
首先,羊毛黨們會有很多方法去發現,甚至去制造薅羊毛的機會;
其次,羊毛黨們有專業的工具和技術來支援他們薅羊毛,比如“貓池”,可以讓他們擁有大量的手機号碼,甚至可以模拟不同IP。
再次,網際網路上有很多羊毛黨社群,羊毛黨們互通消息。羊毛黨們有系統化流程,專業羊毛黨在自己薅到規模化羊毛後,往往會對其擴散以吸引普通使用者,達到法不責衆的效果,這也會讓一個漏洞在修複前會被大面積擴散。
最後,羊毛黨們薅走的羊毛,比如禮券、商品,也會有專業的分銷管道進行回收。
有新聞報道稱,有專業羊毛黨已月入數十萬,如果是公司化運作,收入更是驚人。
羊毛黨行為又可以分為兩類。一類是違法行為,就像拼多多這次事件中借助或者制造系統漏洞來套取平台利益的做法;另一類則是合法行為,比如一個公司做了錦鯉活動,獎品很有吸引力,羊毛黨就會用旗下的海量僵屍使用者去參與抽獎活動,大幅提高中獎幾率。
羊毛黨主要存在于電商、金融等距離錢近的領域,他們有一部分利用批量手機号等常見作弊行為冒充正常使用者獲得平台優惠、參與平台抽獎、套取平台補貼;另一部分是通過微信群或者類傳銷的組織架構組織正常使用者薅羊毛,部分正常使用者成為兼職羊毛黨。也有将兩種玩法結合的羊毛黨。
消費者在不知情時利用平台漏洞消費一般不構成犯罪,隻要及時返還即可。如果明知是漏洞還去利用的,則涉嫌犯罪,這就像有人家裡門鎖壞了,你進去拿東西,雖然沒撬鎖,依然是盜竊行為。《貨車高速路側翻20噸蘋果遭哄搶 警方采取強制措施》,從這樣的新聞也能看到,普通使用者薅羊毛也不是沒有法律風險。
如果有組織的黑産團夥利用平台漏洞獲利,一定會被追究刑事責任。現在平台重點防範和打擊的,正是專注于薅羊毛并且以此為重要收入來源的人或組織,也就是所謂的專業羊毛黨。
技術是治理羊毛黨的一大利器
羊毛黨的繁榮,嚴重損害網際網路平台和消費者的利益,也影響了網際網路經營秩序。
據同盾科技的資料表明,2017年前三季度,企業平均每天要遭受241萬次薅羊毛攻擊,約有110萬個薅羊毛團隊在網際網路中“興風作浪”,造成的損失在千萬級别;《阿裡聚安全2016年報》顯示,2016年網際網路業務活動中缺乏安全防控的紅包/優惠券促銷活動,70%-80%的促銷優惠會被羊毛黨薅走。
短期内羊毛黨可以給電商平台營造聚集大量人氣的假象,但長遠來看,這不利于消費者的實際體驗,因為他們難以拿到優惠,這會導緻網際網路平台大量的資源被白白浪費。
對此,電商平台也都開始利用技術來解決這種問題,比如稽核新使用者的手機号碼、身份資訊以及IP位址,直到通過後才會将其預設為真實使用者,阿裡對商家店鋪進行大資料系統監測識别,如果發現“薅羊毛”的行為,将通知商家不要發貨,已發貨的也會做召回處理。
總的來說,核心思路都是大資料,通過不斷擷取使用者行為資料,不斷強化使用者信用體系建設,就可以将使用者中的“羊毛黨”找出來,可以及時發現異常使用者和異常行為,降低損失。
不過,羊毛黨也在适應這種技術上的打壓。黑産團隊的黑客和技術人員發現系統漏洞後,會提供大量自動化工具,提高羊毛黨的工作效率。普通羊毛黨會借助安卓模拟器、改碼裝置以及VPN等自動化工具僞造新的IP位址,滿足電商平台稽核的要求,經過這些年的博弈,羊毛黨的攻防技術已經演進到較高水準,甚至有通過大資料和人工智能技術繞過電商平台風控政策監管的趨勢。
電商平台也開始利用AI技術加強防禦,比如騰訊的天禦系統搭建了多層安全體系,可從資料安全、風控服務等對營銷黑産進行分析和對抗,使得羊毛黨薅羊毛的成功率大幅下降。
羊毛黨與平台間的對抗已經從當年的人海戰術上演到今天的全面對抗,技術越來越重要,但平台隻依賴技術來打擊防範羊毛黨也是遠遠不夠的。
羊毛黨治理打擊要多管齊下
要想真正打壓羊毛黨,不僅電商平台要做出實際行動,更加需要國家政策、産業共同來推動。羅超頻道(歡迎加我個人微信:luochaozhuli交流)認為有如下措施可以應對羊毛黨泛濫的現象:
1、法律法規的進一步完善。
目前已經陸續出現薅羊毛組織被拘役和罰款的案例,不過此前據《每日經濟新聞》表示,目前,國家對于羊毛黨還沒有出台專門的法律法規。
2019年1月,電子商務研究中心主任曹磊在接受采訪時呼籲有關部門和執法機構加大對這些不法的“羊毛黨”等灰産的打擊力度,特别是在《電商法》實施之後,消費者有了更公平明亮的環境,羊毛黨的容身空間将會被進一步擠壓,相信未來會有專門的法律法規出台,規範電商市場行為,才能對黑産分子起到真正的震懾作用,羊毛黨的“薅羊毛”成本也将大幅上升。
2、電商平台成立聯盟打擊。
羊毛黨都是多平台運作,就算在一個平台被發現,還可以去“禍害”下一個平台。正是因為此,資訊互通将十分重要,各大平台間如果能夠将資料交叉挖掘,就可以大幅提高發現羊毛黨的幾率。
跨平台反羊毛黨,在一些行業也有探索。2018年9月30日,北京網際網路金融行業協會釋出《關于打擊“羊毛黨”模式的通知》,協會要求各會員機關及個人如有類似合作要立即停止并整改,10月14日,北京網際網路金融行業協會成立了打擊羊毛黨聯盟,通過此前建立的“資訊盲交換系統”來識别羊毛黨。
跨平台反黑産會是趨勢,不過難點在于各平台都不想讓自己的資料被同行擷取,是以它們采取的方案是“彼此系統之間唯一的聯系是加密索引。”随着區塊鍊等資料加密共享技術的發展,相信未來會有更多跨平台協作方案,在共享資料的同時保護平台各自的商業機密和使用者的資料隐私。
3、用技術來幹掉羊毛黨。
此次拼多多出現“薅羊毛”問題,在很大程度上也是因為拼多多在預警和風控上沒有做到位。據一位Saas平台的技術負責人表示:“這個事件說明拼多多缺少基本的熔斷機制,沒有預警。如果風控意識足夠高,風控團隊和系統是可以攔截的。”
如今AI技術、生物識别技術、大資料技術、智能身份驗證技術都在日趨完善,基于新技術,平台有更多辦法可以強化對使用者行為的識别,與此同時不影響使用者體驗。
比如人臉識别技術,今天在手機App上就越來越多,未來平台開展優惠補貼營銷活動,也可以與這樣的技術多多結合,将羊毛黨攔截在門外,或者提高他們的參與門檻。
4、營銷風控越來越重要。
羊毛黨的興起,就與網際網路撒币營銷的流行有直接關系,這些年網際網路平台轟轟烈烈的補貼大戰給他們貢獻了大量的真金白銀。
曾經網際網路營銷滿是套路,消費者拿到的實處很少,今天随着網際網路獲客成本的大幅增長,網際網路營銷都是真金白銀,不論是支付寶的錦鯉營銷,還是BAT的春晚撒币,都是很有吸引力的福利。春晚紅包,每個人平均隻能領取幾元紅包,但如果一家羊毛黨公司擁有數十萬甚至數百萬僵屍使用者,其能擷取的利益就會十分可觀,百度今年與春晚聯合的紅包活動金額規模史上最高,在10億元以上,現在很可能已經被羊毛黨盯上,如何防範也會是一大考驗。
網際網路平台要做真金白銀的營銷,一定要做好風控。在羊毛黨猖獗的今天,營銷風控,将會成為網際網路風控的一個重要新分支。
5、定向營銷變得更流行。
如果網際網路平台在營銷模式上進行創新,也可以有效防範羊毛黨,特别是定向優惠營銷的思路,從根源上杜絕羊毛黨。所謂定向營銷,就是優惠、抽獎、補貼隻面向特定人群提供。
比如精準優惠券技術,電商平台可以通過對使用者的消費資料進行畫像分析,實作優惠券等優惠物品的精準投放,直接不給羊毛黨機會;再比如電商平台這些年流行的會員模式,使用者要花可觀的金額才能成為會員,成為會員後就會得到專屬優惠,這樣的機制自然也會将羊毛黨拒之門外。
電商平台和羊毛黨等黑産對抗會長期處在一個持續抗衡的博弈中,會是一場無限的貓鼠遊戲。