薅上一天,够吃一年。这成了2019年新年前的一场“盛宴”,而这场盛宴的受害者是拼多多。因为一个后台的Bug而引发出了群体性的薅羊毛事件。目前拼多多已经向上海警方报警,上海警方也以“网络诈骗”的罪名成立了专案组,并根据“财产保全”的有关规定,对涉事的账号进行了批量冻结。
一个BUG引发出来的群体性薅羊毛事件
一个过期的优惠券漏洞,导致了一个国内资金损失最大的黑灰产事件。事情的原委如何,且听小编细细道来。
在1月20日凌晨,有网友爆料称,拼多多平台存在一个重大的BUG,这个漏洞是一个过期的优惠券引起的。也就是说,用户只需要支付4毛钱,就可以充值100元话费。正因为有这样的一个漏洞,导致了大量的用户开始薅羊毛。
一些黑灰产的从业者开始利用这个漏洞,通过大量的手机号注册新用户,并通过这个漏洞一夜之间卷走了拼多多200多亿的话费充值资金。有网友将这个过期券截图晒到网上,这个拼多多的100元无门槛全场通用的优惠券,其有效期为1年。
对于这个事件,拼多多方面表示,就在20日凌晨,黑灰产团伙通过这个过期的优惠券漏洞,从平台上盗走了价值数千万元优惠券,并从中谋取非法利益。
对于损失达到200亿元的说法,拼多多方面表示,这个数字不属实。此次黑灰产团伙*取盗**的优惠券,涉及到的金额达到数千万元,预计这个漏洞给拼多多造成的最终资金损失低于千万元。
这一事件发生之时正好在拼多多“年货节”大促期间,此时正好有大批量平台正常发放的优惠券被用户消耗掉,黑灰产业链正好利用这个“浑水摸鱼”的时机下手。当时,遭到*取盗**的优惠券和正常优惠券的总和突破了平台的预设最高值,系统监测到异常情况并自动报警,拼多多在第一时间修复漏洞,并报警。
该事件揭开了国内黑灰产业链的“冰山一角”
据2018年5月发布的《数字金融反欺诈白皮书》显示,2017年国内的黑灰产从业人员超过了150万人,这个产业链的产值更是达到了千亿级别。而与此相对的网络安全市场的规模却不到400亿元。
黑灰产业链形成了一个非常完整的链条体系,包括了暗扣话费、广告流量变现、手机应用分发、木马刷量、勒索病毒等等众多子产业,可以说在互联网空间中,网络黑灰产无处不在,而通过平台优惠券“薅羊毛”的方式,正是黑灰产的重要盈利模式之一。
在互联网上,业内通常会把专门伺机“薅羊毛”的黑灰产团伙称之为“羊毛*党**”,这些团伙通常关注快速发展的公司,这些公司会有很多注册送优惠券的活动,这些团伙在发现漏洞后则会从接码平台上申请大量手机号进行注册并获取优惠券,然后兑换优惠券从中牟利。
据了解,因这种犯罪活动受害的不仅仅是拼多多一家公司。2018年12月17日,在星巴克APP注册新人礼营销活动中,黑灰产团伙就利用大量手机号注册星巴克APP的虚假账号,然后领取活动优惠券。而在短短一天之中,星巴克就为这场营销活动付出了高达上千万的损失。
或许黑灰产团伙从大平台卷走数千万可能会对公司发展造不成多大影响,但是很多初创公司在发展的初期亟待通过营销活动注册用户量,但是一些小的平台被卷走营销费用后,收获到的只是一大堆毫无价值的“僵尸用户”,这只会加速这些小公司破产。
建立群防群治的社会共治体系
业内人士分析,网络黑灰产已经形成分工明确、体系完整的协作产业链条。而且黑灰产团伙在变现和反侦察方面也有自己的一套经验。在拼多多实践中,黑灰产团伙在*取盗**优惠券后,通过手机话费、Q币等虚拟资产充值的方式,在短时间内迅速转移不当所得,有的团伙份子在一夜之间就牟取了高达50多万的非法利润。
另外,黑灰产团伙为了达成“法不责众”的效果,迅速通过网络和社交平台将二维码分享给更多的网友,吸引大批网友跟风,并编制谣言混淆视听,已达到自身掩盖违法行为的目的,借此来逃避公安机关的侦查,逃避刑责。
近年来,国内黑灰产的技术手段越来越厉害,形式也越来越多样化,并且黑灰产绝大部分的违法活动都在云业务和移动应用中出现。这也给传统安防体系带来了新的挑战。因此,要防治黑灰产“毒瘤”,电商企业需要建立系统化的安全机制,并应用大数据分析技术来发现和解决问题,有效修复漏洞,不给黑灰产团伙留下可乘之机。