6·18大促“羊毛党”盯上优惠券 黑灰产再现“假客服”骗局

2022-04-10 01:19发布


随着“6·18”大促的临近,广大“剁手党”们已经在为购物摩拳擦掌。与此同时,电商大促也成为黑灰产薅商家“羊毛”以及对网购用户进行各类诈骗的高峰期。


新京报贝壳财经记者调查发现,对商家优惠券“薅羊毛”,对网购用户以“假客服”、“假快递”等为名设立骗局是几类常见的“套路”。消费者仍需提高警惕。


优惠券刚出就一扫而空?


“羊毛党”专业设备众多


“大促期间,这么多优惠券,但我就从来没有抢到过5块钱以上的,零点准时蹲守在手机旁都会落空。”经常参与“6·18”、“双十一”的消费者李女士抱怨说。


为什么优惠券和红包往往在刚刚放出时就会被“一扫而空”?据了解,这或许与专业抢优惠券的黑灰产“羊毛党”有关。


“羊毛党往往提前数月就开始紧锣密鼓地准备,就为了在购物节中大‘薅’一次。”数美科技一位安全专家告诉新京报贝壳财经记者,以当前的“6·18年中购物节”为例,平台和商家推出了跨店满减、超级红包、开宝箱等各种新奇的营销方式,但在大型购物节中,这些黑产往往伺机而动,利用批量账号和自动化软件,绕过平台设定的限制规则,大量地囤积红包和优惠券,然后将这些红包和优惠券放到黑市以不同方式进行再变现。


“在大型电商活动前的几个月,黑产们就已经蠢蠢欲动。他们会通过爬虫软件或其他手段监测各类平台:哪些电商平台将在什么时间放出优惠券?哪些平台存在潜在漏洞?这些信息都掌握在情报层黑产的手中。”数美科技安全专家表示,“由于单个IP、单个设备能薅的羊毛非常有限,而且通过简单的规则就能被检测出来,所以黑产团伙为了大规模获利,一般会提前准备好批量的设备、IP、手机号、账号等资源。到这里,跟真实用户一起抢优惠券的‘机器人’,就多了数十万、数百万,真实用户手动抢到优惠券的概率也就成倍下降。”


“自5月24日起,电商平台开启6·18购物节预售活动,黑产开始活跃,在数美科技的平台上,自5月24日起拦截的黑产账号比平时翻倍,并在5月31日达到顶峰,当日拦截黑产账号2708万个。”数美科技安全专家告诉新京报贝壳财经记者,抢红包和优惠券的最终目的是变现套利,“在这一层,有人会将羊毛党们薅到的红包和优惠券回收起来进行变卖,完成最终获利。”


6月15日,贝壳财经记者在某二手平台以相关关键词搜索,发现不少卖家号称能够帮助用户下单,获得“深度”打折。记者发现,其中一个600元优惠券售价50元。“我帮你代下单,比如京东可以让微信好友付款,我填你的收货地址,下单后把链接发给你,你直接付款就行。”卖家告诉记者。



根据数美科技6月15日向贝壳财经记者提供的其在某黑产“羊毛群”里发现的线索,在今年6·18期间的某优惠活动中,真人可以领券以3500元购买某4000元的手机,购买后寄送到黑产给到的统一地点,黑产用3850元回收,抢券者可获得350元利益。


需要注意的是,“薅羊毛”涉嫌犯罪,如海淀区人民检察院官微曾披露一则案件,其中被告人黄小天(化名)针对某母婴App的优惠活动,使用技术手段批量虚假注册账号,并利用这些账号“薅羊毛”,最终其因涉嫌提供侵入、非法控制计算机信息系统程序罪被判处有期徒刑三年六个月。


中国政法大学传播法研究中心副主任朱巍表示,针对羊毛党攻击,且原因不明时,分两类情况:


第一,若是不涉及系统破坏,仅是利用漏洞,这类情形严重的话,实践中涉及盗窃罪、侵害知识产权罪,不严重的话,薅到的券属于不当得利,应予返还,情节严重或者数额巨大的则可能触犯刑法;第二,若是涉及计算机系统破坏出现Bug的,属于《刑法》破坏计算机信息系统罪,情节特别严重有五年以上的刑期;第三,传播这类信息的可能涉及前面罪名的共犯,也可以单独构成传授犯罪方法罪,或构成扰乱市场秩序的行政处罚。


用户突增,到整点就活跃


商家需注意:“狼来了”


“黑产会不断试探平台的漏洞,这些漏洞分成两种:运营活动设计漏洞、风控的漏洞。”6月15日,腾讯天御产品总监郭佳楠告诉贝壳财经记者。


“第一种,不论平台有没有漏洞,只要平台被黑灰产盯上,在6·18等电商大促之前,黑产都会用新手机号注册海量账号,领取平台的活动优惠券,集中购买某种产品,再寻找优惠券的规则漏洞,比如满减活动中‘满100-20’,黑灰产买到后批量退货,因为产生了退款,平台只能返给他一个不需要满减的20元优惠券,黑产又用20元优惠券去买二十一块钱的商品,因此,实际上黑产只要花一块钱就可以买到原本20块钱的东西,或者他会批量把这些券卖掉,赚取利益。”


“第二种,一些商家做了大转盘活动,但准备时间短,考虑不周全,一个正常账号一天可以玩三次,但是黑灰产发现了转盘背后的逻辑,一个人玩了40多万次,把所有奖品薅走,这就是利用了规则的漏洞。如果你发现自家平台的注册用户突增,但这些用户没有进一步行为,活跃时间只有一秒,或者只在整点活跃,那么这个平台就要注意了,这是‘狼来了’的征兆。”郭佳楠表示。



黑产产业链。腾讯安全提供


东鹏特饮技术负责人、深圳市鹏讯云商科技有限公司总监董文波曾公开表示,东鹏特饮曾做过“扫码抢红包”促销,有一部分扫码用户是贪小便宜购买二维码扫码的小羊毛,小羊毛的危害度事实上相对比较低,因为他毕竟还是真人在那里,但也是最难以追踪的。职业羊毛党在早期的时候就会拿很多号码一直养在那里,之后等着品牌商的活动,然后通过一些技术的手段,采用脚本的方式去快速刷取以获利。


“2015年东鹏特饮开始做扫码送红包时就发现,有不少异常的扫码行为,我们内部估算有5%被羊毛党薅掉了,后来引入技术团队发现,事实上被羊毛党薅掉的红包大概有8%-10%。”董文波表示。


有熟悉黑灰产的人士告诉贝壳财经记者,真正顶尖的职业羊毛党正是通过寻找优惠活动漏洞的方式进行薅羊毛操作的,“这类职业羊毛党自称‘项目组’,具体运行方式是寻找新发布的优惠活动存在的漏洞(即‘项目’),之后利用技术开发专门针对该活动的脚本程序,再辅以群控的成千上万台设备,一拥而上进行薅羊毛。他们往往精通技术,是真正的黑灰产,也是各类互联网公司的风控团队严防死守的对象。


贝壳财经记者在一个羊毛党讨论群里发现,针对不同地区的优惠活动,黑产团队推出了不同的脚本,如修改IP地址的工具、自动点赞的工具、模拟新用户的模拟器等,多种工具构成了职业黑灰产利用漏洞薅羊毛的“武器”。


一名群控软件销售商告诉贝壳财经记者,群控软件是养号和薅羊毛的标配:“从微信维护、养号到全自动引流营销,所有功能在安装了群控软件后仅需要在电脑上一键操作即可完成。100控与200控(即可使用软件控制100台或200台手机)的设备售价1888元和2888元不等。比如现在不少App看新闻就能领金币,你拿几百台手机挂一晚上,什么都不干都能收入数百元。”


“限时购”“首单0元购”


优惠信息暗藏“杀机”


“首单0元购”、“下载领红包”、“预先降价”……电商大促期间,此类广告信息以及链接往往铺天盖地,但其中,往往隐含着一些黑灰产设置的“钓鱼信息”。


有网友表示,此前他曾接收到一则电商大促降价优惠的短信,点击链接进入后,他发现该平台上一些商品的价格比实体店要低40%,于是心动付款。“但在付款时,我老是被跳转到一个第三方支付平台,跟支付宝付款界面挺像的,当时我也没在意,付款后,我感觉有点不对劲,才发现碰到了钓鱼网站。”


“不法分子会以‘提前购’、‘预售’、‘限时购’、‘预先降价’等为诱饵,向用户发送包含木马链接的短信或者微信消息。用户点击后,木马病毒随即植入手机窃取用户信息。而除了网购链接被植入木马、钓鱼网站,还有不法分子会在‘预售’活动上做文章,骗取买家‘定金’。”南通市公安局警方提示称,“‘预售’是近几年来‘双十一’期间各大网购平台普遍采用的营销方式,很多商家为了抢占先机,会提前通过短信或微信,将新品预售信息发给老顾客。而这一环节,正好给骗子提供了一条诈骗渠道。”


此外,还有“拉新返佣”的平台以“0元购”等噱头吸引消费者下载相关App,但其实另有目的。


6月15日,新京报贝壳财经记者在一个“发福利”QQ群里看到一个“新人免单”、“0元购抢免单”的某网购App广告,QQ扫码后,弹出了“网页被多人投诉”的提示。


通过微信扫码并下载该App后,贝壳财经记者发现其索取了用户包括地理位置、相机、音频等在内的多个敏感权限。进入App后,虽然界面有包括“6·18热销好物”、“6·18免息购”、“预售免息福利”等信息,但并未有广告中声称的“0元购”和“新人免单”等信息,取而代之的是“下一单奖励0.8元、拉1人注册奖励1元”、“区块链生态圈竞拍夺宝”等涉及“拉新返佣”的内容。



“此类App就是以0元购等为由头,实则是要求你‘拉下家’,有可能是一种资金盘,消费者需要警惕。”有熟悉黑灰产的人士告诉记者,“此外,该App索取多个敏感权限,有可能会上传个人信息。”


南通市公安局表示,购物短信不要轻信,慎点不明链接,同时尽可能给手机装上杀毒软件,提供安全的上网环境。


泄露客户信息


假客服、假快递防不胜防


“我曾经接到一个自称是某电商平台客服的电话,对方告诉我之前购买的东西因为出现了质量问题会退款给我,我确实买过所以相信了对方的身份,并且加了她提供的微信。”6月14日,天津的孙女士告诉贝壳财经记者。


孙女士表示,对方通过微信发送了一个二维码,扫码之后需要填写身份证和银行卡号等信息,并让其下载一个App,此时孙女士发觉可疑就没有进行下一步操作,而是咨询了此前购买物品的官方客服,结果客服告知孙女士并不需要退款,孙女士应该是遇到了“假客服”诈骗。


厦门警方通报的案例里,罗女士被“假客服”以“工作失误被列入客户代理商名单”为由要求其配合去银行“解除”业务,并诱使罗女士输入一串所谓的代码(实际上是收款账户)后点击“确认”,最终诈骗10000元。


对于此类骗局,杭州市公安局公开表示,骗子通常会以退款或者退货为理由假冒客服要求消费者点击其提供的木马网站或钓鱼网站等链接,骗取持卡人银行卡账号、密码及动态验证码,消费者需要警惕此类骗局。


南通市公安局则发布提示称,在与对方沟通过程中,如果出现“卡单”“调单”“激活订单”等词语,网友们基本可断定是骗局。如果不能确定订单是否真的出问题,一定要通过电商平台官方热线或客服咨询,多方核实后再行处理,切勿轻信不明短信或电话。


需要注意的是,在此类案件中,黑灰产多是掌握了网购客户的信息后才实施诈骗。泗洪县公安局刑警大队四中队副中队长翁乾宽就曾在接受央视采访时表示,其在一则假诈骗案中发现诈骗分子手机里有400多条网购数据,其中就包括被害人的。


贝壳财经记者发现,当精准掌握用户信息后,还有一类冒充发货商家的“快递到付”骗局。


如网友“Suddenlyo”表示,其收到一个到付快递,以为是合作公司文件,打开后才发现是诈骗快递,但到付费用49元已经支付了。此外,甚至还有掌握了消费者真实物流信息的诈骗分子抢在真实物流抵达前先发送到付快递进行诈骗的案例。


对此,杭州公安局提醒,此类骗局中,骗子首先以非法渠道获取公民个人信息及快递单号假冒客服先行联系消费者,最终以货到付款名义骗取钱财,因此消费者签收包裹前一定要按照确认的官网信息,看是否是自己的包裹。


新京报贝壳财经记者 罗亦丹 编辑 徐超 校对 贾宁