拼多多被薅羊毛事件复盘

本篇文章2329字，读完约6分钟

羊毛聚会正在成为企业的存在。

2018年12月17日，星巴克推出了营销活动“星巴克应用注册新人仪式”，遭到了黑灰色羊毛党的大规模攻击。他们使用大量手机号码注册星巴克应用的假账户，并成功收到活动优惠券，导致星巴克的营销活动在两天内停止。

2019年1月20日凌晨，黑灰羊毛生产方利用电子商务平台，与“100元无门槛凭证”的漏洞薅羊毛进行了斗争，造成了巨大的经济损失。

可以说，如何防范毛方是防范和控制所有电子商务平台的一大挑战。

薅羊毛路线图

下面，我们通过网络上流传的截图来谈谈ip地址监控和防范的必要性。

此屏幕截图的红色方框中标记的内容指出了常见的羊毛派对惯例:

(1)在同一个ip地址下，有多个帐户；

(2)这批账户从凌晨3: 00到9: 00交易虚拟商品。

根据这两个特点，可以清楚地看出，羊毛党的预防需要两个阶段的监控:

(1)实时监控同一ip地址的多账户行为，包括监控同一ip地址上的大规模账户注册和短时间登录。当同一ip地址在短时间内出现大量注册和登录行为时，系统需要立即识别其潜在风险。

(2)在异常时间段(通常在凌晨2: 00到8: 00之间)，如果系统已经触发了异常组登录的警告，则需要实时监控和防止在同一ip地址上的多个账户中发生的大量交易。

在这里，我们将对许多遭遇进行深入分析，发现这种黑色财产漏洞是一个连续的链式缺口。如果链条中的任何一个环节得到控制，黑羊毛党造成的损失就可以大大减少。

下面，我们来谈谈羊毛聚会中必要的链节点，然后对每个节点进行初步分析:

第一步:黑羊毛党需要一个账户注册过程。为了赚取更多的利润，它需要大量的注册账户；

第二步:账户注册完成后，用账户进行测试，发现“100元无门槛券”可以用来充值消费漏洞；

第三步:发现漏洞后，通过大量注册账户收集凭证；

第四步，收到代金券后，直接进行大量的薅羊毛活动，比如充值手机账单来兑现；

第五步:进行套现活动，如用手机话费充值游戏卡，然后垄断游戏卡，从而达到套现的目的。

反欺诈风险控制了解上述链节点，通过对关键节点进行有针对性的风险控制和保护，可以降低潜在的套现风险。具体步骤如下:

在第一步中，我们需要注意批量帐户注册(垃圾注册)，它通常显示在同一ip地址下一段时间内的连续注册监控。

第二步属于单个账户的探索性行为，此时难以识别其存在的风险特征，只能通过对账户安全行为的持续预判来预防。例如，苏宁金融的极端账户预警系统就是通过监控账户异常行为、集团识别、异常交易识别等方式，提前对可疑账户进行预判。

当黑生产商进行到第三步时，批量活动的特征出现了，即大量的帐户登录行为在短时间内发生在同一个ip地址。

当我们转到步骤4时，批处理活动的另一个特征将在此时出现，即在相同的ip地址，短时间登录的帐户具有相同的交易行为(如充值电话费用)。

当进行到步骤5时，黑色产品已经被成功兑现，并且反欺诈识别工作失败。

识别黑色分子的杀手

我们如何识别这些黑色分子，以避免被他们薅羊毛？

首先，我们在帐户注册阶段采取措施防止垃圾注册。核心是在短时间内识别出大量具有相同ip地址的注册账户。短时间内，同一个ip的账户注册活动远远超过平时，短时间内登录时间密集。如果平台监控这种行为，它应该知道可能会有问题。

其次，我们还定期对账户进行团伙识别。我们通过帐户登录行为的一致性来判断哪些帐户具有步骤3所示的组特征。通常，黑人生产者参与的活动具有一定的规模效应，他们的行为通常具有帮派关联，表现为一段时间内的密集一致行为，如相同的知识产权，或同一时间内的密集收券或密集消费。通常，这种行为分析需要一定的历史积累，如月度、半年度和一年间隔的账户行为一致性分析，以及进一步的账户分组。按历史分组的账户和ip被分别监控，以达到预防的目的。例如，苏宁金融分析一段时间内每个账户的行为，以便提前识别账户安全性，防止未实时识别的集团毛方信息:

表1异常账户组行为的统计分析

最后，当交易发生时，我们还将实时监控同一交易在短时间内在同一ip地址上集中发生的行为，拦截已标记为异常的账户组的交易。通常，我们的重点是预防和控制异常时段(凌晨2: 00至8: 00)的交易活动。例如，最常见的用户行为以朝九晚五的活动为特征:

相反，许多黑色产品在清晨更活跃。主要原因是该系统通常在清晨值班，当发现漏洞时，运行时间更充足。

以品多多被黑色产品攻击为例。凌晨两三点，black products发现“100元无门槛优惠券”可以无限制地使用，于是他们使用该程序批量注册自己的账户，然后收到优惠券。代金券收款后，可直接用于手机账户充值。

这样，同样的操作被大量复制，可以在短时间内实现数千个账户的手机充值操作。在接下来的日子里，你可以通过出售充值的手机号码，如购买游戏卡，来进一步套现和获利。

如果我们预先限制单个ip上注册的账户数量，我们在一段时间内不能超过xx，然后结合各种业务规则进行手机充值(比如将账户的到达时间从清晨推迟到清晨)。经过多重组合防控，可以避免潜在的套现风险。

当然，仅仅依靠单个ip地址的这些特性来监控羊毛党并不能保证一切都会好起来。

例如，近年来投入使用缓慢的ipv6地址将对当前ip地址聚合的特性产生严重影响。因为ipv6的可用地址远远超过当前ipv4的可用地址，所以每个帐户完全可以独立使用一个ip。就新技术而言，黑色产品完全有可能分散一致的行为，这要求我们实时控制电子商务平台上账户行为特征的变化。因此，ipv6的推广应用增加了难度，也给金融黑财产的防控带来了新的挑战。

此外，登录设备和关系网络的分析是识别和防止黑产品的非常重要的方面。在未来，我们将慢慢谈论每个维度的有趣发现。