这几天,拼多多遭遇了上市以来最大的麻烦。
1月20日凌晨,拼多多被网友曝出存在重大安全漏洞,用户可领取100元无门槛券,且使用次数不受限制,此消息一出,大量用户开始薅羊毛。根据网友晒出的截图,有人用0.4元充值了100元话费,有人晒出账户内有超过50万Q币余额,网上甚至有传闻称,拼多多“因为黑产被薅走200亿”。当然,从拼多多回应来看,很多与本次事件有关系的截图都是谣言。
1月20日上午9点多,拼多多修复了这个Bug,撤销了100元优惠券,之前领到未使用的优惠券被全部下架,拼多多对此也做出了回应,表示这次事件是黑灰产利用拼多多在一个节目(非诚勿扰)录制现场面向观众提供的优惠券,拼多多从未在线上以任何形式公布过这一优惠券,黑灰产团伙拿到这一优惠券后,进行了大量的套利,出于“法不责众”的心态将优惠券大面积扩散给普通用户。
拼多多说这“类似于犯罪团伙撬开家门实施盗窃之后自己也有些害怕,打开大门招呼更多普通路人进入受害者家中搬取。”
拼多多已在第一时间报案,警方出于财产保全原则,已对优惠券订单进行批量冻结。
针对这一事件,罗超频道接受了36kr“观察+”栏目采访,谈到了自己的看法,本文还想借拼多多“优惠券门”事件,来谈一谈互联网上泛滥的羊毛党。
优惠券事件给拼多多上了一课
如果真是黑灰产操作,意味着对应团伙将被追究刑责。不过,普通用户在不知情的情况下使用对应优惠券,应该不需要承担刑事责任,我身边就有几个朋友,就享受到了这一优惠券“福利”。
拼多多对订单进行批量冻结的做法,引发了一些用户的不满。拼多多的优惠券虽然不是官方有意面向普通用户发放,但用户却可以正常领取和使用,这说明拼多多本身有一定责任,要求普通用户去甄别网上看到的优惠券来源是什么也不现实。
站在拼多多角度来看,它现在无法甄别普通用户和黑灰产团伙的订单,警方出于调查目的也要对订单进行冻结。这样看拼多多冻结所有订单,合理,但不合情,拼多多后期还需要给消费者一个说法。
拼多多在回应中表示:“为充分保障正常参与平台各项活动的消费者的利益,在“年货节”和“春节不打烊”活动期间,拼多多将追加一亿元年货红包津贴,向平台消费者进行发放。”不过拼多多没有道歉,而是将普通用户的行为定性为消费者遭裹挟,“平台主观意愿上不会进行进一步追责,但拼多多不支持此类非正常行为。”拼多多还表示将坚决打击黑灰产团伙,不会存在半分妥协与让步。
在我(欢迎添加我个人微信luochaozhuli交流)看来,这一事件对拼多多不见得是坏事,一方面,订单大都被冻结,损失可以追回,不存在网上谣言中的上百亿损失。另一方面,拼多多是一家成立才三年的公司,体量却有276亿美元,壮大太快,自然会有很多不完善的地方,这样的问题被暴露得越早,结果越好。
苍蝇不盯无缝的蛋,拼多多给电视台活动现场提供的优惠券为什么可以被公开使用?为什么这么久不失效,为什么可以被这么多人用?这体现出当时活动设置不周,以及整体风控体系薄弱。
电商平台距离钱很近,容易被黑产、黄牛、骗子们盯上,而且普通用户中也有一些“坏用户”,因此反欺诈、反刷单、反黄牛、反假货等等,因为电商和金融平台距离钱很近,所以容易被黑产、黄牛、骗子们盯上,而且普通用户也有一些“坏用户”,这要平台要从技术层面,结合大数据,与运营、法务、商务等配合,反欺诈、反刷单、反黄牛、反假货,构建强大的风控体系。
如果拼多多有完善的风控体系,这个优惠券根本不可能流出,更不可能被大面积使用,就算被规模化使用也可以提前接到预警。
这次事件也给拼多多上了一课,要求它未来投入更多资源去做风控。阿里、京东都是成立十年以上的公司,这些年在与黑产、灰产、黄牛和平台上的“坏用户”的博弈中不断积累经验,完善风控体系,相比之下,拼多多更年轻,可以多向阿里、京东等前辈学习,或者招揽优秀的风控人才加入。出现这样的事情是预料之中的,任何公司走向伟大,变得成熟前,都会经历这样那样的磨难,拼多多也不例外。
互联网上泛滥成灾的羊毛党
像拼多多这次遭遇的黑灰产“薅羊毛”事件,并不少见。
2017年4月,京东旗下京东白条闪付的线下优惠活动出现BUG,用户使用含特定关键字商户名的任意POS机支付均可获得满减优惠,接着出现了许多不法分子趁机赚取京东白条的优惠,甚至有人声称“六小时就赚了130万”。对此,京东采取了报警处理,联合公安、银联成立专案组坚决打击,并警告内部人士如果参与务必主动交代。
2018年初,腾讯视频出现了一个漏洞。原本18元一月的腾讯视频VIP会员,9折开通只需要0.2元,该漏洞被发现之后,迅速在QQ群中散播,根据腾讯的统计,此次充值成功的用户达到39万,充值笔数涉及287万笔。这一次腾讯选择自己“背锅”,1月7日,腾讯发布公告称,0.2元就充值成功的VIP身份有效,充值成功的账户时长全部有效。
不同薅羊毛事件性质不同,有的是平台自身的bug或者运营的疏漏导致,有的是被黑客非法入侵人为制造了漏洞,拼多多优惠券事件,属于后者。但不论什么形式,羊毛党都已成为互联网的阴霾。
跟当年单纯地享受着企业福利的小白用户不同,今天的羊毛党,已经是有组织的产业化运作。
首先,羊毛党们会有很多方法去发现,甚至去制造薅羊毛的机会;
其次,羊毛党们有专业的工具和技术来支持他们薅羊毛,比如“猫池”,可以让他们拥有大量的手机号码,甚至可以模拟不同IP。
再次,互联网上有很多羊毛党社群,羊毛党们互通消息。羊毛党们有系统化流程,专业羊毛党在自己薅到规模化羊毛后,往往会对其扩散以吸引普通用户,达到法不责众的效果,这也会让一个漏洞在修复前会被大面积扩散。
最后,羊毛党们薅走的羊毛,比如礼券、商品,也会有专业的分销渠道进行回收。
有新闻报道称,有专业羊毛党已月入数十万,如果是公司化运作,收入更是惊人。
羊毛党行为又可以分为两类。一类是违法行为,就像拼多多这次事件中借助或者制造系统漏洞来套取平台利益的做法;另一类则是合法行为,比如一个公司做了锦鲤活动,奖品很有吸引力,羊毛党就会用旗下的海量僵尸用户去参与抽奖活动,大幅提高中奖几率。
羊毛党主要存在于电商、金融等距离钱近的领域,他们有一部分利用批量手机号等常见作弊行为冒充正常用户获得平台优惠、参与平台抽奖、套取平台补贴;另一部分是通过微信群或者类传销的组织架构组织正常用户薅羊毛,部分正常用户成为兼职羊毛党。也有将两种玩法结合的羊毛党。
消费者在不知情时利用平台漏洞消费一般不构成犯罪,只要及时返还即可。如果明知是漏洞还去利用的,则涉嫌犯罪,这就像有人家里门锁坏了,你进去拿东西,虽然没撬锁,依然是盗窃行为。《货车高速路侧翻20吨苹果遭哄抢 警方采取强制措施》,从这样的新闻也能看到,普通用户薅羊毛也不是没有法律风险。
如果有组织的黑产团伙利用平台漏洞获利,一定会被追究刑事责任。现在平台重点防范和打击的,正是专注于薅羊毛并且以此为重要收入来源的人或组织,也就是所谓的专业羊毛党。
技术是治理羊毛党的一大利器
羊毛党的繁荣,严重损害互联网平台和消费者的利益,也影响了互联网经营秩序。
据同盾科技的数据表明,2017年前三季度,企业平均每天要遭受241万次薅羊毛攻击,约有110万个薅羊毛团队在互联网中“兴风作浪”,造成的损失在千万级别;《阿里聚安全2016年报》显示,2016年互联网业务活动中缺乏安全防控的红包/优惠券促销活动,70%-80%的促销优惠会被羊毛党薅走。
短期内羊毛党可以给电商平台营造聚集大量人气的假象,但长远来看,这不利于消费者的实际体验,因为他们难以拿到优惠,这会导致互联网平台大量的资源被白白浪费。
对此,电商平台也都开始利用技术来解决这种问题,比如审核新用户的手机号码、身份信息以及IP地址,直到通过后才会将其默认为真实用户,阿里对商家店铺进行大数据系统监测识别,如果发现“薅羊毛”的行为,将通知商家不要发货,已发货的也会做召回处理。
总的来说,核心思路都是大数据,通过不断获取用户行为数据,不断强化用户信用体系建设,就可以将用户中的“羊毛党”找出来,可以及时发现异常用户和异常行为,降低损失。
不过,羊毛党也在适应这种技术上的打压。黑产团队的黑客和技术人员发现系统漏洞后,会提供大量自动化工具,提高羊毛党的工作效率。普通羊毛党会借助安卓模拟器、改码设备以及VPN等自动化工具伪造新的IP地址,满足电商平台审核的要求,经过这些年的博弈,羊毛党的攻防技术已经演进到较高水平,甚至有通过大数据和人工智能技术绕过电商平台风控策略监管的趋势。
电商平台也开始利用AI技术加强防御,比如腾讯的天御系统搭建了多层安全体系,可从数据安全、风控服务等对营销黑产进行分析和对抗,使得羊毛党薅羊毛的成功率大幅下降。
羊毛党与平台间的对抗已经从当年的人海战术上演到今天的全面对抗,技术越来越重要,但平台只依赖技术来打击防范羊毛党也是远远不够的。
羊毛党治理打击要多管齐下
要想真正打压羊毛党,不仅电商平台要做出实际行动,更加需要国家政策、产业共同来推动。罗超频道(欢迎加我个人微信:luochaozhuli交流)认为有如下措施可以应对羊毛党泛滥的现象:
1、法律法规的进一步完善。
目前已经陆续出现薅羊毛组织被拘役和罚款的案例,不过此前据《每日经济新闻》表示,目前,国家对于羊毛党还没有出台专门的法律法规。
2019年1月,电子商务研究中心主任曹磊在接受采访时呼吁有关部门和执法机构加大对这些不法的“羊毛党”等灰产的打击力度,特别是在《电商法》实施之后,消费者有了更公平明亮的环境,羊毛党的容身空间将会被进一步挤压,相信未来会有专门的法律法规出台,规范电商市场行为,才能对黑产分子起到真正的震慑作用,羊毛党的“薅羊毛”成本也将大幅上升。
2、电商平台成立联盟打击。
羊毛党都是多平台运作,就算在一个平台被发现,还可以去“祸害”下一个平台。正是因为此,信息互通将十分重要,各大平台间如果能够将数据交叉挖掘,就可以大幅提高发现羊毛党的几率。
跨平台反羊毛党,在一些行业也有探索。2018年9月30日,北京互联网金融行业协会发布《关于打击“羊毛党”模式的通知》,协会要求各会员单位及个人如有类似合作要立即停止并整改,10月14日,北京互联网金融行业协会成立了打击羊毛党联盟,通过此前建立的“信息盲交换系统”来识别羊毛党。
跨平台反黑产会是趋势,不过难点在于各平台都不想让自己的数据被同行获取,所以它们采取的方案是“彼此系统之间唯一的联系是加密索引。”随着区块链等数据加密共享技术的发展,相信未来会有更多跨平台协作方案,在共享数据的同时保护平台各自的商业机密和用户的数据隐私。
3、用技术来干掉羊毛党。
此次拼多多出现“薅羊毛”问题,在很大程度上也是因为拼多多在预警和风控上没有做到位。据一位Saas平台的技术负责人表示:“这个事件说明拼多多缺少基本的熔断机制,没有预警。如果风控意识足够高,风控团队和系统是可以拦截的。”
如今AI技术、生物识别技术、大数据技术、智能身份验证技术都在日趋完善,基于新技术,平台有更多办法可以强化对用户行为的识别,与此同时不影响用户体验。
比如人脸识别技术,今天在手机App上就越来越多,未来平台开展优惠补贴营销活动,也可以与这样的技术多多结合,将羊毛党拦截在门外,或者提高他们的参与门槛。
4、营销风控越来越重要。
羊毛党的兴起,就与互联网撒币营销的流行有直接关系,这些年互联网平台轰轰烈烈的补贴大战给他们贡献了大量的真金白银。
曾经互联网营销满是套路,消费者拿到的实处很少,今天随着互联网获客成本的大幅增长,互联网营销都是真金白银,不论是支付宝的锦鲤营销,还是BAT的春晚撒币,都是很有吸引力的福利。春晚红包,每个人平均只能领取几元红包,但如果一家羊毛党公司拥有数十万甚至数百万僵尸用户,其能获取的利益就会十分可观,百度今年与春晚联合的红包活动金额规模史上最高,在10亿元以上,现在很可能已经被羊毛党盯上,如何防范也会是一大考验。
互联网平台要做真金白银的营销,一定要做好风控。在羊毛党猖獗的今天,营销风控,将会成为互联网风控的一个重要新分支。
5、定向营销变得更流行。
如果互联网平台在营销模式上进行创新,也可以有效防范羊毛党,特别是定向优惠营销的思路,从根源上杜绝羊毛党。所谓定向营销,就是优惠、抽奖、补贴只面向特定人群提供。
比如精准优惠券技术,电商平台可以通过对用户的消费数据进行画像分析,实现优惠券等优惠物品的精准投放,直接不给羊毛党机会;再比如电商平台这些年流行的会员模式,用户要花可观的金额才能成为会员,成为会员后就会得到专属优惠,这样的机制自然也会将羊毛党拒之门外。
电商平台和羊毛党等黑产对抗会长期处在一个持续抗衡的博弈中,会是一场无限的猫鼠游戏。