重磅 | FreeBuf 釋出黑鏡調查:深淵背後的真相之「薅羊毛產業」報告
你以為網線對面的人跟你一樣是平等的,你以為你們都思想自由。
但你可能無法想象他在利用網路做著一些打破你底線的事情;而他也無法理解他和同類只是在“正常”地生活,怎麼就成了你眼中的異類。
小 A 可能是你擡頭不見低頭見的同事,很多時候埋頭工作少言寡語;但在網線那端,他輕輕點選幾次滑鼠、隨手打上幾段話、開發幾個小軟體、或者收幾個“徒弟”,也許就一天就能拿到你一個月的工資;
小 B 可能是你一起上課一起吃飯的同學,平時努力鑽研課業,是老師同學眼中的乖學生;但在網線那端,他呼朋引伴,與“兄弟姐妹”共享活動資訊,齊心協力朝著“生活費自給自足”甚至“致富”的目標前進……
他們駐紮在 QQ 群中,各種娛樂平臺、理財平臺、電商平臺、支付平臺、銀行主頁等頗受他們的青睞;優惠資訊、自動化工具、手機卡、四要素資訊、廣告商等是他們沸騰的主要因素。在群裡,他們侃侃而談,彷彿大千世界由他們主宰;在群裡,他們插科打諢,卻不知他們的上層,更是大有文章;他們追逐利益,卻在狂歡中忘記了現實世界的法律規則……他們也許不在乎這些規則;也許是真的不懂這些規則;又也許,這些規則不夠強硬,不足以給他們震懾……
小 A 和小 B 只是他們所在群體的一個縮影,在網際網路經濟飛速發展的當今,越來越多的行業與群體湧現出來,一條條產業鏈也應運而生。
要問小 A 和小 B 是誰?他們其實是薅羊毛產業鏈中的小小一環。這個產業鏈,讓商家從愛到恨,如今無比頭疼。這個產業鏈,聚集了大量年輕網民,他們來自五湖四海,聚集在人口大省和外來人口大省,背後對映著教育、社會監管、法律等多個層面的社會問題。
薅羊毛是什麼?其起源如何?有怎樣的發展?
如今的薅羊毛產業鏈是什麼樣子的?
薅羊毛團夥規模如何?
羊毛黨的年齡組成、地域分佈是怎樣的?
薅羊毛對企業和社會有怎樣的影響?
企業應當如何對抗產業化的薅羊毛行為?
薅羊毛產業背後隱藏著怎樣的社會問題?
本文所說的薅羊毛,是指積極參與各種營銷活動(包括但不限於滿減、返現、抽獎、優惠券等活動),但並不能給平臺帶來實際的活躍使用者增長的行為。這些行為的主體,就叫羊毛黨。還有一些羊毛黨把薅羊毛當做職業,利用商家或者平臺的漏洞,來大量攫取利益,甚至進行詐騙。如今,還有很多組織有序、規模不小的羊毛團夥,形成一條完整的產業鏈,對商家造成的損失以及帶來的社會問題更加嚴重。
根據 CNNIC 2017 年 7 月釋出的《第 40 次中國網際網路絡發展狀況統計報告》,截至 2017 年 6 月,我國網民規模達 7.51 億,中國手機網民規模達 7.24 億。如此大規模的數量預示著大量的網路需求;而如此大規模的流量一旦變現,就意味著龐大的利潤。隨著技術飛速發展、資訊傳遞越來越便捷,主流網際網路產品和服務之外又圍繞著“流量”衍生出了一條條地下產業鏈。這些產業鏈將越來越多的流量吸附進去,逐漸形成了一個個深淵。
FreeBuf 與同盾科技攜手,針對涉及灰產和黑產的“薅羊毛產業鏈”進行深入調查和研究分析,形成了這份《「薅羊毛產業」報告》。本報告藉由同盾科技的智慧風控引擎所捕捉到的數十億風險行為資料,以及深入調查幾十個薅羊毛 QQ 群,接觸幾千名 QQ 群成員;通過資料分析、調查問卷等方式,解讀如今讓商家避之不及的“羊毛黨”團伙運作流程,並揭祕依託 QQ 群發展的羊毛黨真實故事。以期讓業內對當今薅羊毛產業有整體、直觀的瞭解,並通過真實案例展示企業在技術或業務邏輯上存在的、易被黑客利用的漏洞,藉以提醒企業、專案管理者在產品或業務中重視安全問題,並給予相關決策者一定的參考和指引。
同時,在調查過程中,本文還發現這條產業鏈背後存在著深刻的社會問題,對我國教育、普法、社會監管等多個領域都有一定的警醒意義。
報告重要發現:
1. 薅羊毛行為已經從單人發展到群體化、規模化,形成了薅羊毛團夥和一條完整的產業鏈,並且呈現出全網流竄的趨勢;
2. 2017 年前三季度,羊毛黨的主要集中領域為各大娛樂平臺;符合我國近年來以智慧財產權為核心的網路娛樂應用新興商業模式迅速增長的網際網路發展趨勢;
3. 薅羊毛的攻防技術已經涉及到人工智慧、生物認證等前沿科技;
4. 2017 年前三季度,企業平均每天遭受 241 萬次薅羊毛攻擊;前三季度薅羊毛總數超越過去三年的總和,造成的損失在千億級別;
5. 2017 年前三季度,約有 110 萬個薅羊毛團夥在網際網路中“興風作浪”;
6. 一部分羊毛黨以 QQ 群為依託,也發展出一條 QQ 群薅羊毛產業鏈;
7. 薅羊毛 QQ 群成員中以 90 後和 00 後居多,他們本應專注於學習,卻沉迷於薅羊毛;這反映出我國教育、普法等方面的問題;
8. 薅羊毛 QQ 群成員中男女比例特徵明顯:男性 QQ 使用者更愛薅羊毛;
9. 薅羊毛 QQ 群成員在廣東、山東、河南等人口大省或外來人口大省分佈較多,表明我國在這些地區的社會監管的力度和廣度都有待提升;
10. 企業應當引起警惕,使用合適的安全產品和安全服務。
薅羊毛本是黑色產業鏈中的冰山一角,甚至嚴格來說更偏向灰產。當我們認真取證,剖析之後,能發現它在黑產之外也已經逐漸發展成了一種社會現象。整個產業鏈背後,其實還有更多值得我們反思的東西。
一種社會現象的背後往往存在錯綜複雜的利益關係,只修復其中一環也很難改善大局。要想完全解決問題,需要社會各界的通力合作。對於企業來說,不僅要採取合理的防禦應對措施,也要意識到自己應當擔負起相應的社會責任。比如現在很多企業已經在開展”校企結合“活動,將教育與就業緊密聯絡起來,就是很好的實踐。而對於政府和教育部門來說,出臺、細化政策,落地實施,加強監管也十分重要。而從這個產業鏈中涉及的技術角度來說,如今我們都在關注新技術的發展與落地,卻不想在這方面,攻擊者比防禦者走得更快更遠。網路安全沒有銀彈,每個人都只能不斷向前。
社會是個萬花筒,當你變換角度,總能看到不一樣的色彩。有明亮豔麗,就有灰暗陰沉。忽視和逃避都不能解決問題,單純的批判也毫無意義。只有正視、承認這些問題的存在,瞭解問題背後的原因,才能想辦法減少黑暗,增加光明。
出品
FreeBuf 研究院
內容及資料支援
同盾科技反欺詐研究院
漏洞盒子
關於 FreeBuf 研究院
FreeBuf.COM 是鬥象科技旗下、國內領先的網際網路安全新媒體,每日釋出最專業的安全資訊、技術剖析,分享國內外最新安全資源,是最受安全從業者與愛好者關注的網路安全網站與社群。FreeBuf 研究院則集結了行業內經驗豐富的安全專家和分析師,常年對資訊保安技術、行業動態保持追蹤,呈現最專業的安全行業現狀和趨勢分析。
關於同盾科技
同盾科技有限公司成立於 2013 年,總部位於浙江杭州,是國內專業的第三方智慧風險管理服務提供商。自創立以來,同盾始終堅持“跨行業聯防聯控”的理念,將人工智慧與風險管理深度結合,為非銀行信貸、銀行、保險、基金理財、三方支付、航旅、電商、O2O 、遊戲、社交平臺等多個行業客戶提供高效智慧的風險管理整體解決方案。
打賞支援這些評論亮了
- (8級)FreeBuf常務處主任 據說下一篇黑鏡調查是——“博彩篇”…… )19( 亮了
- 羊毛黨 糟了!被揭老底了 :eek: )10( 亮了
- 周鴻偉 不錯不錯,看起來很專業。以後跟我司合作,資料更多 )6( 亮了