(原標題:拼多多被羊毛黨薅走上千萬?那些你不知道的黑灰產)
拼多多稱警方已以「網絡詐騙」的罪名立案;專家表示,打擊薅羊毛黑產要直接打掉惡意註冊工具提供商。
一個過期的優惠券漏洞,可能引發國內資損規模最大的黑灰產事件。
1月20日凌晨,有網友稱拼多多存在重大Bug,「只需支付4毛錢,就可以充值100元話費」「有大批用戶開始薅羊毛,一晚上200多億都是話費充值」。根據網友曬出的截圖,此次拼多多的100元無門檻券全場通用(特殊商品除外),有效期為一年。
拼多多方面表示,當日凌晨有黑灰產團夥通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券,進行不正當牟利。
針對該事件,拼多多稱目前上海警方已以「網絡詐騙」的罪名立案並成立專案組,並依據「財產保全」的相關規定,對涉事訂單進行批量凍結。拼多多平臺正配合警方,對涉事訂單進行溯源追蹤,並最終依據警方的調查結果對相關訂單做出依法依規處理。
對於損失高達200億的說法,拼多多回應稱這一數字不實。拼多多稱黑灰產團夥大量盜取優惠券,涉案總金額達數千萬元,預計本次事件造成的最終實際資損大概率低於千萬元。
一個Bug引發的薅羊毛事件?
黑灰產團夥利用漏洞盜取數千萬優惠券
1月20日上午9點5分,小南在自己的「閨蜜群」裡收到一條連結,閨蜜告訴她,只要點擊這個連結,就可以領取拼多多的100元優惠券。
「我以為就是一般的促銷或者拉新優惠活動,就下載了拼多多App,選來選去,訂了一個一直想買的智能音響。」小南告訴新京報記者,她領取的這個優惠券是「無門檻,一年有效期」。
「這個連結是我的室友在她的朋友群裡看到的,然後再轉發到我們閨蜜群裡。後來看到網上的熱搜,我才知道自己的行為可能涉及薅羊毛。」小南表示,「1月20日上午10點20分,我用優惠券購買的商品就已經聯繫了順豐快遞,連快遞單號都告訴我了,但截至現在該商品還處在『商家正通知快遞公司取件』的狀態。」
在最新的情況說明中,拼多多表示黑灰產團夥所利用的「優惠券漏洞」盜取的相關優惠券,為拼多多此前與江蘇衛視《非誠勿擾》開展合作時,因節目錄製需要特殊生成的優惠券類型,僅供現場嘉賓使用。
然而,黑灰產團夥通過非正常途徑生成的二維碼掃碼後獲得相關優惠券,該二維碼多流傳於社交平臺相關黑灰產群。通過該二維碼,原本每個認證信息的用戶可且僅可領取一張無門檻100元優惠券,而非此前網絡流傳的單個ID可以「無限領取」。
因此,黑灰產團夥通過「養貓池」(用手機卡蓄養大量虛擬帳號)等不法手段,實現N張手機黑卡同時作業,批量盜取該種優惠券,並通過手機話費、Q幣等虛擬充值的方式,試圖在短時間內迅速轉移此類不當所得,涉案優惠券總金額達數千萬元。
拼多多風控團隊負責人表示,黑灰產團夥在盜取金額巨大的優惠券並轉移其不當所得後,期望達成「法不責眾」的效果,迅速通過網絡和社交群將二維碼分享出去,誘導一些普通消費者跟風掃碼。
拼多多強調,此種類型的優惠券從未在任何時候、以任何方式出現在平臺正常的線上促銷活動當中,甚至從未有任何線上入口,拼多多亦未曾針對該類型優惠券生成任何二維碼。但二維碼具體的生成及傳播過程,仍待警方調查後公布最終結論。
值得注意的是,職業羊毛黨看中充話費和Q幣是自動發貨,因此將優惠券迅速兌現。對於拼多多而言,能否向三大運營商以及騰訊追討這一次損失成疑,目前拼多多亦未透露是否有追討資損的具體方案。
收回優惠券合理嗎?
拼多多稱是「套券詐騙」 專家:收回優惠券是合理的補救措施
出現Bug被用戶「薅羊毛」的現象在國內網際網路行業中時有發生。
2018年元旦期間,騰訊視頻發起優惠充值活動,但因為活動伺服器後臺數據出現異常,有部分用戶在充值一個月時出現應該支付優惠價18元實際僅被扣費0.2元的狀況。當時這一漏洞共引來39萬用戶參與。
其後騰訊公告稱,這是公司的工作失誤,公司將這些異常訂單全部兌現,且不再扣費。最終,騰訊為這個Bug付出超過5000萬元的代價,但同時贏得網友的好評。
但拼多多並未「順應民意」自掏腰包。在發現漏洞後,拼多多在當日9時左右緊急將所有優惠券的領取方式下架,同時取消了用戶已領取但未使用的優惠券,記者留意到,當時拼多多還對App進行了優化更新。為了補償用戶,拼多多向受影響用戶發放5元無門檻優惠券,有效期為50年。
拼多多表示,此次事件與其他公司一系列因Bug所致資損事件存在本質差別,這一次是「套券詐騙」的網絡詐騙案件。「如按照網絡中前者被以『ATM機誤吐鈔』現象做類比,後者則相當於非法團夥撬開ATM機後實施盜竊。」
電子商務研究中心主任曹磊認為,從法律責任認定和用戶權益保護角度出發,如果是平臺主動推出的活動,那麼應按照官方說明來兌現承諾,也就相當於在線跟用戶籤訂協議,平臺當然要執行。「但拼多多相關聲明已經顯示,是通過一個過期的優惠券漏洞盜取了優惠券。根據《合同法》相關規定,拼多多取消或收回優惠券是不需要承擔法律責任的。」
他表示,如果此次拼多多出現優惠券漏洞是黑產羊毛黨惡意行為,這類交易屬於存在「重大誤解」訂立的合同,「(拼多多)是可以要求撤銷的。」
北京康達律師事務所律師韓驍亦認為,拼多多收回已經領取但還沒有使用的優惠券,這一做法並不會和剛出臺的《電商法》相衝突。此次事件中,拼多多採用收回已領取但未使用的優惠券這一方式來應對,屬於合理的補救措施。
另據記者了解,當日11時左右,拼多多的工作人員已經向部分商家發出通知,凡是已使用100元無門檻券的訂單不允許發貨。
根據《電商法》第四十九條規定,電子商務經營者發布的商品或者服務信息符合要約條件的,用戶選擇該商品或者服務並提交訂單成功,合同成立。當事人另有約定的,從其約定。電子商務經營者不得以格式條款等方式約定消費者支付價款後合同不成立;格式條款等含有該內容的,其內容無效。
曹磊表示,拼多多這一做法與《電商法》不衝突。「惡意利用系統漏洞獲取的優惠券,不能有效地折抵付款中的相應付款義務,所以應該視為未完成付款義務,不受電商法第四十九條第2款的約束,商家可以不發貨。」
中國政法大學智慧財產權中心特約研究員趙佔領則告訴記者,如果用戶已經使用優惠券購買拼多多上第三方商家的商品,用戶和商家之間的合同已經成立,拼多多可以去追究用戶的責任,但不能阻止商家發貨。
為何會發生「薅羊毛」事件?
拼多多稱事件發生時正值平臺大促 不涉及數據安全問題
關於風控的問題,拼多多表示公司一直有風控體系建設,而且本次事件不涉及任何數據安全問題,平臺消費者原本正常領取的優惠券使用不會受到影響。為進一步加強「特殊優惠券」相關風控體系,拼多多透露公司已成立技術專組。
對於拼多多「被薅羊毛」一事,某反詐騙安全團隊專家陳鋒(化名)表示,有許多手段可以防止平臺被惡意「薅羊毛」,包括限制優惠券的總數以及優惠券的應用場景,「比如設置最多10萬張券,只能用於滿200元的實物訂單,再加上最基礎的防薅羊毛策略,就能保證不出大問題」。
對於為何風控系統沒有監測到異常情況,拼多多回應稱事件發生時正值平臺大促,其間有大批量平臺正常發放的優惠券被消耗。直至當日上午9時,遭盜取優惠券和正常優惠券的總和突破平臺預設閾值,系統才監控到異常並自動報警後,拼多多在第一時間修復相關漏洞。
根據網友截圖,此次事件中拼多多的優惠券屬於「無門檻全場通用」,還有網友曬出了充值話費、購買Q幣的截圖,有的充值金額甚至高達5萬元。「在此事件中,拼多多的業務規則出現了問題,最基本的防薅羊毛手段都沒有設置。」陳鋒稱。
在陳鋒看來,目前確實存在專業的「羊毛黨」,針對不同平臺,這些羊毛黨擁有註冊帳號(涉及手機號、接碼平臺等)、下遊支付渠道、清洗轉移渠道等等,而消息靈通與否以及設備的專業程度則決定了這些羊毛黨的收入。
羊毛黨的行為涉嫌犯罪嗎?
律師:可能涉嫌盜竊罪,看司法機關定性
事實上,在《拼多多服務協議》7.1禁止行為中已明確,用戶使用拼多多平臺外掛和/或利用拼多多平臺當中的Bug來獲得不正當的利益赫然在列。
韓驍表示,用戶利用系統漏洞大量領取平臺的優惠券並以此獲利,可能涉嫌盜竊罪,若獲利數額達到相關標準,則有可能需要承擔刑事責任。不過他強調,如果是平臺的普通客戶,並非有意識地通過這一安全漏洞大量領取優惠券牟利,而僅領取了數量較少的優惠券,沒有盜竊的主觀故意,客觀上獲利也未達到量刑標準,則並不構成盜竊罪。
對於薅羊毛黑產是否涉嫌違法犯罪,陳鋒表示比較難以判斷,「一般而言首先必須有公司報案,而此前的實際案例中,最多的情況可能會協商,協商不成按詐騙來辦,但最終是否違法或者犯罪還要看公檢法機關的定性。」
拼多多在最新的公告中表示,對於遭裹挾的普通消費者,平臺主觀意願上不會進行進一步追責,但不支持此類非正常行為。
電子商務研究中心特約研究員、北京盈科(杭州)律師事務所律師方超強認為,黑產灰實際上是一個網絡術語,並沒有明確的概念和外延;從拼多多事件來看,所謂「黑產灰團隊」,有幾個事實應當是明確的:1.應當是主動尋找系統漏洞,而非進行系統破壞和篡改;2.主觀上知道是漏洞;3.客觀上利用漏洞牟利;4.優惠券應當是具有一定價值的財物。從犯罪構成要件看,個人認為涉嫌盜竊罪。
中國政法大學傳播法研究中心副主任朱巍則表示,當平臺出現優惠券Bug,且原因不明時,分兩類情況:第一,若是涉及計算機系統破壞出現Bug的,屬於《刑法》破壞計算機信息系統罪,情節特別嚴重有五年以上的刑期。第二,若是不涉及系統破壞,僅是利用漏洞,這類情形嚴重的話,實踐中涉及盜竊罪、侵害智慧財產權罪,不嚴重的話,薅到的券屬於不當得利,應予返還。
在此次拼多多事件中,黑灰產團隊在刷了足夠多的優惠券賺取利潤後,出於「法不責眾」的心理將優惠券連結公布於眾。朱巍認為,除了自己刷,還發布相關信息的人,傳播這類信息可能涉及前面罪名的共犯,也可以單獨構成傳授犯罪方法罪,或構成擾亂市場秩序的行政處罰。
在朱巍看來,少量刷的人,一般不構成犯罪,但其「所得屬於不當得利,應及時予以返還」。若是在事實公布後還刷的,就構成盜竊罪。
曹磊表示,對黑灰產的認定從嚴格意義上講,應該由相應的監管部門,或者是公安網監來進行認定。當然,平臺方如果能夠提供充分有效的證據、材料,也將有助於監管、司法、公安等部門進行認定。
對拼多多影響有多大?
目前營銷費用驚人? 正在招一大撥風控專家
憑藉著社交電商全新打法,成立僅三年時間的拼多多已經是國內最成功的獨角獸企業之一。摩根史坦利近日發布研報,首次把拼多多納入研究範圍,給予「增持」評級,並把目標股價定為29美元。
拼多多財報顯示,去年第三季度,拼多多實現營收33.72億元,同比增長697%,環比增長24%;去年前三季度共實現74.66億元營收,同比增長約12倍。但並不樂觀的是,拼多多淨虧損進一步擴大,去年第三季度虧損10.98億元,遠高於前年同期的2.21億元;去年前三季度共虧損77.93億元,前年同期為5.39億元。
拼多多仍在投入大量的資金拉新,通過冠名綜藝節目等方式繼續拉動用戶增長率和活躍度。財報顯示,去年第三季度拼多多的銷售及營銷費用高達32.3億元,同比增長655%,主要原因是由於品牌推廣活動及線上線下廣告及促銷活動增加所致。
拼多多狠砸營銷費用的另一個重要原因是獲客成本在走高。2017年三季度,拼多多單個新用戶的獲客成本為13元,但去年上半年已經飆升至55元。
值得一提的是,儘管拼多多在去年第三季度投入的研發費用同比增長828%,但其研發費用僅為銷售和營銷費用的1/10。
新京報記者注意到,拼多多已於1月20日下午在招聘平臺發布多個與風控相關的職位,包括風控總監、風控策略/模型專家等。
經過此次事件後,拼多多的研發費用或許將保持高增速。
薅羊毛黑產已發展出高度分化的產業鏈
陳鋒對記者表示,「薅羊毛」行為指的是新興消費群體搜集網貸平臺、電子商城、銀行、實體店等各渠道的優惠促銷活動、免費業務之類信息,註冊大量「小號」模擬大量正常用戶參與活動,從而以相對較低成本甚至零成本換取物質上的實惠,這一群體被稱為「羊毛黨」。
不僅薅羊毛,還刷好評、做水軍
新京報記者採訪多位專家了解到,目前薅羊毛黑產擁有高度分化的產業鏈條,主要包括:上遊的軟體開發人員、腳本開發人員、接碼平臺等提供可以批量註冊帳號的工具;中遊黑產團隊通過購買大量手機SIM卡,再通過這些軟體工具和貓池等硬體設備將自己模擬成大量普通用戶,惡意註冊各平臺帳號並養號,在「薅羊毛」機會出現時利用大批量的帳號賺取收益;下遊擁有能夠快速將優惠券等平臺內資金轉移出去的支付以及清洗轉移渠道。
有熟悉網絡黑產的人士告訴記者,從事薅羊毛黑產所必須的「硬體」包括手機SIM卡、貓池等,軟體則包括接碼平臺、動態IP技術等。「例如為了限制薅羊毛行為,許多平臺會記錄註冊用戶的IP,此時上遊提供技術支持的黑產能夠通過動態IP技術形成比較大的動態IP池,再租售給下遊薅羊毛黑產團隊使用。」
在他看來,擁有了上遊的軟硬體設備,薅羊毛黑產就具備了大批量註冊平臺帳號並領取優惠券的條件。而當刷完優惠券後,還需要能夠快速變現的渠道。「在此次拼多多事件中,大量黑產選擇將優惠券變現為系統自動發貨的Q幣、手機話費等。目前,存在將Q幣和手機話費等合理變現的灰產平臺,一些購物網站上也可以買賣優惠券,這都是羊毛黨們的變現渠道。」
「羊毛黨們『薅羊毛』的本質就是,其能夠模仿成大量用戶,讓發放優惠券的企業識別不出來。但一般來講,擁有大量帳戶的黑產團隊能做的不只有薅羊毛這一件事,大量帳號能夠用來刷好評、做水軍等,」該人士表示。
打擊薅羊毛黑產要從源頭開始
在採訪中,多名專家對新京報記者表示,要打擊薅羊毛黑產,最有效的方式是直接打掉其產業鏈上遊的惡意註冊工具提供商。
新京報記者了解到,遼寧省公安廳曾就惡意註冊上遊工具軟體發起名為「610」的專案打擊。曾經參與該案件的一名網絡安全專家稱,在專案中,其鎖定了頭部惡意註冊工具軟體數款,其中一款名為XXTouch的按鍵精靈軟體能夠模擬人操作手機的行為,並擁有可簡易化實施改機工具的功能,包括偽裝手機信息、GPS信息功能。「簡而言之,在不考慮效果的情況下,XXTouch一款軟體已經做到惡意註冊除IP更改外的所有環節技術提供,在其看似中立的偽裝下,實際上為惡意註冊黑產配備了全套武器。」
該專家表示,對於打擊惡意註冊,最好的辦法是能夠斬斷惡意註冊黑產鏈最上遊,從生態上擠壓惡意註冊的生存空間。這包括偽造設備硬體信息實現多開的改機工具,沒有改機工具,惡意註冊不具備實施性;以及輔助自動化操作的群控和按鍵精靈軟體,沒有自動化,惡意註冊無法擺脫高昂的人力成本。
但他同時認為,由於惡意註冊軟體在黑產圈普及,導致惡意註冊工作室的開設門檻極低,一次集群行動可以打掉一個地區的一批團夥,但是很可能其他地區馬上就有新的團夥如雨後春筍般冒出。