黑产过双11：薅一天，吃一年？这里有防“薅羊毛”最强指南 | 硬创公开课（总结+视频）

就在大家熬着夜、盯在电脑前等着抢各类优惠券和“秒杀”商品时，黑产从业者也深谙“有需求就有市场”的道理，组织撸货大军在“双11”这一天疯狂汇聚，抢券秒货。据“一本财经”报道，一张减30的券，能卖到8块，有人在“双11”活动中可以赚到20万，真是薅上一天，够吃一年！

在这条“薅羊毛”的产业链中，有提供各家电商账号的卡商，有开发“抢货软件”的黑客，还有各大 QQ群中指挥千万“羊毛党”的“羊头”……在各路人马的分工协作下，商家的“返利”“促销”，被黑产分食殆尽。

那么，这些黑产的现状和新的发展趋势有哪些？如何通过技术手段对其进行防范？

嘉宾介绍

若想获得此次公开课完整 PPT，请关注微信公众号宅客频道（微信ID：letshome），回复“ 防羊毛党 ”。

今天主要分享的内容是以下四点：

第一点，薅羊毛的一些案例、危害。

第二点，薅羊毛的形势、趋势和一些产业链。

第三点，营销广时该如何防范羊毛党。

第四点，针对羊毛党，怎么做到多方面的防控。

薅羊毛的案例、危害

案例一，返还双倍的天猫积分的生日礼包（针对电商）。

在 2015 年的“双11”，黑客利用 6 家店铺，冒充 10 万多个天猫商城会员，通过虚假刷单了 14 亿，获取了 7亿多积分，总共骗取天猫 671 亿万元。

案例二，ofo推出小黄车抢现金红包活动（针对共享行业）

今年 4 月份，ofo 划定了一个红包车区域，在这个区域里随便打开一辆小黄车，骑行 10 分钟以上并超过 500米，就能获得一个随机红包，金额最低一两块，最高五千块。

案例三，壹文财富被曝逾期。

这些团长（羊头）通过 QQ 群或者其它在线群发布一些任务，里面的羊毛党就会进行投资、注册，羊毛党完成注册后拿着截图来给团长看，会直接返现他一部分推广的资金，同时这个羊毛党投资的钱也可以拿到一些利息，包括后期一些投资的红包。这就完成了整个的接单、注册投资、交单返现，这就是薅羊毛的过程。

羊毛党的危害

通过上面这三个案例，我们可以很直观地感觉到羊毛党的危害。

1、运营成本高，推广费用在短时间都被羊毛党薅干，导致资损。

3、对服务器带来一定的压力，严重的话会导致服务器宕机，影响活动的正常进行。

羊毛党的形式

最初是线下会出现一些优惠活动，限时优惠、满减折扣，还有一些成团的团购，最初羊毛党在这个范围的时候还比较小。

后面，就演变成线上线下同时进行，只不过最初线下可能会多一些。随着电商的发展，在线上也会有各种活动，比如拉新、注册新用户红包，或者是邀请好友返现，每个好友邀请一个得多少的现金红包，还有优惠券、满减券、点券，这是电商时代。

到14年左右开始，随着 P2P 的出现，又出现了新形式的薅羊毛，也是通过拉新和募集资金邀请新用户，有投资体验金、邀请用户的一些返现。互金这一块儿主要是拉新、引流、募集资金。

羊毛党的趋势

1、初期是小作坊。

2、包工头。

其实，在这一块儿有比较多的欺诈产生。之前经常会看到新闻，学生被骗，或者是某某被骗，主要也是在这里，他刷单自己投入资金，前期他投资会给他一定的返现，随着后面投的钱多，就会被骗，会遇到直接拿着钱跑路的情况。

3、专业刷手。

这个团体已经是比较专业的了，基本上已经形成了上下游完整的产业链。

14年之后，开始出现针对互金的羊毛党。

“薅羊毛”的产业链

刚才我们讲到，专业刷子有已成型的产业链。

职业刷手也会在论坛或群里发一些作案的手法还有教程出售，由黑客来寻找漏洞，制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。

最后面的就是一些套现和协助销赃，比如说我们在某一次活动搞的一些充值卡、优惠卡，这个销赃的时候会折扣收买给代理商、店铺，比如说充值卡，充值卡抢到的是多少面额的，可能折扣卖给商家，商家再以一定的折扣再卖给用户，中间就会赚取一些差价。

产业链攻防的对抗情况

最开始的就是弱防护，弱防护基本像专业杀手或者是黑灰产就通过模拟器，基本上就可以达到集中式的一些方位，或者做一些薅羊毛的事情。

验证（电话验证），电话验证我们就会上下形成一些短信，包括一些语音验证，这是攻的手段，防的手段也有专业的设备，比如说猫池，卡商就会把一些卡放到猫池的设备上，可以简单理解成虚拟的手机，手机设备可以插多张卡，他这个设备连接到电脑，就可以直接读取上行的短信，并且他下行发短信。

后期的一些防范手段又出现了各种验证码，像图文的、文字、问答式的，包括现在出现了一些滑动的行为式的，还有点击式的。攻的手段也有打码平台，后台是人工打码，就是人工来识别验证码。所以，攻防对抗是不断在持续演进。

除了产业链这些攻防对抗的手段，我们还需要做哪些？

1、端上做保护。

比如说针对一些批量刷接口的情况，可以做一些接口协议上的保护，还有业务逻辑上的一些防护，比如一些活动的一些逻辑防护（推理的一些算法，或函数之类的）。

2、完善产品逻辑。

比如刚才的薅样毛案例一，天猫商城的生日积分，它就是业务规则上有漏洞，包括有些产品逻辑上也有漏洞，比如限制这个活动只能参加一次，或者一天只能参加几次，这个是业务上的漏洞。还有开发代码上有一些漏洞，实际上也是逻辑上的遗漏。

3 、防撞库和脱库、用户的信息保护。

怎么来防范羊毛党（针对双十一、双十二以及日常的一些活动）

我就结合一些实际的经验，主要从活动前、活动中、活动后，列了一些方案。

活动前。 我们一定要对活动的方案进行全面检查，并且找专业的安全人员来进行一些 review。

1、完善业务逻辑。 比如领取现金红包，可以限制一天领取的次数，包括整个活动期间的领取次数，还有金额的限制。

2、设置活动门槛。

3、端上做些安全防控。 刚才也讲到了，大家经常会忽视掉端上的，以为端上做一些加固就可以达到一定的安全水平，其实这只是心理上的一些安慰。现在比较专业的黑灰产对于一般的加固很难做防护了，现在基本上看黑灰产做一些批量注册、刷活动也好，他基本上都绕过了这个安全，通过直接解析你的协议来进行一些刷接口。

我今天也看到了一篇文章，像 ofo 的锁通过蓝牙和手机服务端进行通信，验证之后获取一把锁的钥匙，通过蓝牙传给锁的硬件，就可以达到开锁。其实，它这个蓝牙的协议就被破解了，所以它在这种协议保护上肯定做得不够。

4、业务应用一定要增加风险识别能力。 我们对正常的用户请求能识别出他的请求是正常的还是可疑的，或者就是异常有问题的，我们可以实时对这个活动做一些相响应。

活动中。 主要还是对活动权益的消耗速度做一些监控。

1、建立活动监控。

这个很重要，比如我们可以监控每 5 分钟、每小时，甚至每一分钟我们权益的消耗速度，比如我推广分用，我本来预算一天投放的金额假如是 100 万，但是你遇到一些羊毛党，可能在一分钟基本上就把你的预算领一大半，甚至是领完。

2、有能力动态调整领取的概率。

比如像抽奖类的，我们可以动态调整一些中奖概率，根据活动权益消耗的速度来动态调整（概率和发放数量）。

3、建立风险大盘。

4、服务器的自我保护机制。

包括大家基本上能力了解到，像天猫双十一，它的服务器都有一些流量控制，或者限流、降级，基本上它能保证部分用户的正常使用，而不是说遭到羊毛党或恶意请求之后，整个服务器不可用，导致所有用户都不能参加活动。

活动后。这是容易忽视的地方，活动后可能这个权益被羊毛党甚至是其他恶意的用户领取了，但是活动后我们也可以对他做一些监控和各控制。

比如领取权利的使用。我们可以限制一些使用的范围，比如满100或几百才能使用，像理财产品我们可以提高一些门槛，比如投资1万以上才能使用某些折扣券或者是理财券，半年期或者一年期起。

权益的一些使用方式也要做一些监控，它是不是集中在某些店铺来集中消耗，看一下权益消耗的占比，也能发现一些问题，可以及时低止损。

针对羊毛党，怎么进行多方面防护

1、业务。

活动前的一些评审和预案，就是在活动开始前要做一些安全评审，包括活动的玩法有没有漏洞，还有活动运营中的一些预案，怎么应对一些突发情况。

比如我投入的一些预算的消耗，甚至一些比如说针对服务器，或者是活动进行中的一些异常情况都要有应对方案。还包括活动前的一些黑板名单的一些准备，比如某些特定高价值的用户，还有比较低质量、长久不活跃的用户，看我们的活动目的是怎样的，要准备一些名单，有定向的一些运营方案。

2、技术风控体系。（很重要的一方面）

风控体系这块儿就可以对我们的某些活动，避免一些恶意的薅羊毛、黄牛甚至其它的一些恶意行为（比如欺诈），都可以做一些保护。

这个活动的前端保护主要就是刚才讲到的端上的一些保护，对业务逻辑的一些防护，还有接口协议上的一些防护，还有系统的一些自我保护，就是防止恶意流量直接压垮服务器，包括我们实时风险的一些识别，及时阻断恶意请求，避免我们后续的运营的一些成本，比如说怎么发放奖品、甚至一些奖品的使用。

活动中对风险大盘的监测（也很重要）。我们及时要做到心中有数，知道我们现在活动的一些情况，正常用户、恶意用户或者疑似用户的一些访问情况。还有事后风险的一些报告分析、实施的分析。

3.法律上对活动做一定程度上的保护。

这个实施风控体系要求还是比较高的，先要做好一个完整的，或者是比较成熟的一个防控体系，最重要的几点。

1、稳定性。

做一些保证，不能因为风控体系的引入，导致正常的业务逻辑走不通，或者是运行过程中导致各种使用不了的情况。

2、性能。

一定要在毫秒级就要返回，不能用户在一次抽奖或者一次领红包进来之后，业务系统请求风控体系，就在这里卡上很长一段时间，这个在用户体验上就非常不好。

3、风险识别的一些层次和维度。（最重要）

风控体系就是上面绿色的这一部分，首先从端上我们也会先做一些保护，保护我们一些业务逻辑，比如像web、H5上面就可以做一些像 js 的一些加固，包括 APP、端上的一些加固和保护，接口协议也会做一些保护，还包括抗 constID 布点，我们也设备指纹，能定位到一台设备。

最后，就是智能分析，这个主要就是结合实事的数据和历史的行为数据，我们可能在一个更长跨度的时间序列上做一些行为上的分析和关系上以及各种特征上的一些挖掘，来补充这种维度数据，辅助我们实施决策的一些准确率。这块儿就涉及到线下的一些建模和一些特征挖掘。

这块儿就是风控体系的一些架构。

2、企业的私有化环境里。

业务系统的最下面这一部分就是整个风控体系，业务系统通过WebAPI就可以接入风控体系，风控体系主要分了这几部分。

部分一，实时决策。

实时决策就是刚才提到的，通过业务系统请求WebAPI一个请求进来，比如说用户注册或者抽奖的一个请求进来，我就可以实时判断他这次请求是正常的，还是有风险的，或者是有一定的嫌疑。

实时决策的右边，策略模型管理和智能分析。这块儿我们进行多层次的防护，比如记忆时间序列的、记忆行为的、记忆名单的、记忆关系的、记忆环境信息的，统一的策略和模型我们是在这两块儿进行处理。

部分二，策略模型。

主要是灵活做一些灵活的策略的配置，还有我们线下训练的模型的一些在线服务，可以多综合地来识别这次请求。

部分三，智能分析。

实时决策和策略模型这块，基本上针对的是实时和进线的，智能分析这一块侧重在离线，就是更长期的一个行为上的判断。这块儿也是我们多维度、多层次的一个防控的设计。

部分四，智能监控。

我们可以实时监控到整个风险的一些情况，还有智能分析的一些数据情况，还有整个风险的态势，就是一些趋势，包括其它的一些各种监控功能，还有一些未定性监控包括一些报表，可能都在我们智能监控这块儿会有。

上面这个风控管理控制台，这个主要是给安全管理员使用，他用来管理，刚才提到的上面的一些安全策略或者一些指标、模型、名单、统筹的风险大盘情况，包括地域分布的，地域城市，包括IP、设备情况、用户情况，基本上通过这个控制台都可以做统一的一些管理。

整个体系最上面，大数据基础架构这边，我们自己整套体系都是基于数据平台来做的，包括数据存储上，海量数据存储还有一些计算，都是在底层的一个架构上来给一个支撑，这个是整个风险体系的一个架构。

刚才提到的多层次、多维度的防控体系，这个多层次决策体系：

1、实时决策。

提供毫秒级的一些相应，利用一些策略和请求的一些实时计算，同步识别风险，直接阻断恶意风险，正常用户直接放过，有疑似的风险会通过一些二次验证，比如验证码、短信或其它验证方式进行一些验证。

2、进线分析。

我们会有秒级、分钟级、小时级、天级、月级的一些计算，我们会计算各种特征，为实时决策这一块儿提供一些指标参数。

指标主要对一些，像安全策略，会使用到多个特征，指标是安全策略里面的某一个特征项，这个指标主要是对实时数据做一些初步的加工，来更方便地给这个安全策略使用。

进线分析，也可以从多维度来监测安全的一些状态，能及时发现一些异常，并给据报警。

3、离线挖掘。

还有刚才提到的，除了多层次的一些防护，我们还要对活动中的数据做一些监控，还有一些管理，我们这个有风险。

1、风险大盘。

我们通过风险大盘就可以直观地来看我们一些风险的现状和风险的一个趋势展示，可以让管理员登录系统，第一时间能够快速地获取到目前系统的一些风险的情况。

2、事件接入。

事件接入主要是针对活动，前端请求进来的一些接入引档，怎么来接入这个风控，包括我们预设的一些指标、策略，还有预设的其它的一些模型的使用和配置。

3、策略配置。

主要就是控制台，就是刚才的最上方，给管理员操作的一个风控控制台，提供了详细的策略的配置界面，管理员就可以根据各种风险类型，来选择这个系统，使用哪些默认的策略，也可以自定义一些安全的策略和规则。

策略配置这块儿，我们也可以引入一些观察模式和灰度模式，让策略上线过程中，我们可以不影响正常业务使用，只是做效果的观察，也可以导入少量的灰度流量进来进行一些验证。

4、监控与报告。

系统提供了自动化的监控的能力，我们可以从左图上看到，我们实施的风险情况、正常请求情况、趋势图，也可以持续监测一些关键的指标，一旦发生异常情况，我们就可以直接触发我们的监控，可以得到通知。

这个报表功能也可以定制化一些日报、周报、月报的能力，帮助管理者可以更好地掌握业务安全的一些状态。

无感验证（正常用户没任何感知），疑似用户，基本上超过90%的正常用户基本上是无需要验证打扰的，对于疑似用户的风险请求，我们就记忆行为特征的一些验证技术，实时确认请求的真实性，发现这个请求意有疑似风险的时候我们会弹出验证，让他来输入一些验证码，或者是进行一些滑动验证，或者上行短信进行验证，这个基本上就可以实时拦截超过 95% 的一些恶意请求。

无感验证就两个层次：

层次一，正常用户不打扰，直接过去了。

层次二，对可疑的用户验证完之后，确认它是可信的身份之后，下次再防卫就不需要再滑动或者再认证，直接就通过了。

基本内容就是这些。

我们目前也在招聘一些职位，包括j'ava工程师、大数据开发、安卓、前端、算法工程师、算法专家，都有相应的岗位，大家可以访问一下我们的官网了解一下顶象技术。

问题1，这些羊毛党都是专职的吗？都是哪些人在做呢？

回复：羊毛党也有区分的，比如是“羊腿”、“羊头”这些东西，基本上也是有层次感的，像刚才介绍过的一些小作坊或者个人的，这些羊毛党，他也基本上就是在校学生或者家庭主妇，也是从一些信息共享的论坛或者QQ群里赚一些零花钱，可能这些是相对比较业余的，也只是看一些经验，有一些活动就参加一下。

有专职的，职业的羊毛党，就是做职业刷手，这种职业刷手的也收入基本上都是很高的，这些人通过我们的检测来看，各种团伙啊，这种年龄层次上还是比较年轻，学历也是初中、高中，甚至不到高中，甚至是小学毕业、初中毕业，但基本上都很聪明，这些人很有想法、能找到平台或规则的漏洞。

问题2，现在对薅羊毛的黑客会有一些画像吗？从哪几个维度来做画像？

回复：刚才也讲到了，我们上面有个分析平台，就是在实时防控上，可能会基于时间序列，我们做一些短期的实时指标，或者一些训练好的模型，甚至一些名单，或者一些环境信息、进线指标我们也可以做一些分析。在离线分析这一块儿，我们会综合他的各种行为，包括常用访问页面行为、登录行为、点击的行为、环境关系上的、访问的一些轨迹、行为上，我们会对用户做一些画像，还有综合他的各种维度信息。

问题3，有没有针对中小企业的解决方案啊？

比如，最近在进行的双十一活动，已经有很多的企业已经在试用我们的（产品），包括我们免费的SaaS服务、私有化部署，已经在使用了。

问题4，双十一活动中，你们如何防止无辜用户被错杀？

回复：在双十一活动中，包括之前参加的历届的一些双十一活动，像用户被错杀，基本上在任何一家活动进行中，可能都会遇到这种错杀的情况，但是比例很低，大部分的黑灰产像刚才提到的95%的，基本上都会我们拦截掉，被无辜错杀的这些用户，也可以完善我们的风控模型，当成一些样本来重新训练我们的模型，因为攻防对抗本来就是在实时的演进过程中。

问题5，对普通的淘宝商家而言，做个活动还得部署风控体系，会不会成本太高？

问题6，风控对模拟器的检测是怎么做到的？

回复：具体的方法方式我在端这块儿也不是特别了解的，不过我们产品有端产品和业务风控产品。

我们在端产品上，我们已经能检测到是不是虚拟器、模拟器、虚机，我们都能检测到，具体检测的技术手段，专家会比较清楚，我这块儿主要就是在业务防控这边，可能是相对比较清楚一些。

问题7，是因为有风险数据的积累，所以错杀率低吧？

回复：风险数据积累只是一方面的，整个风控体系其实数据只是最初的一个层次，后面还有多层次的。包括从时间序列上的一些聚合、环境信息上的、模型策略上的，数据这一层面，只能说黑名单只能先拦一道，这是历史数据的一些积累。

比如有一些人在黑名单里边，他可能就永远在黑名单里。所以，数据对我们来说只是一个层次，风控产品是能集成数据的，包括我们风险体系里边有黑名单，也可以集成其它的，比如说策略、模型、指标和其它的。