艺曦
近几年,O2O商业形式成主流,各O2O平台为吸引用户采用了“返利”“发红包”等激励措施。自2010年团购网站间的千团大战,到2014年滴滴和快的之間的24亿天价补贴大战,再到最近共享单车的红包大战,“血本红利”在激战市场之余,也滋生了一批觊觎“红包”的羊毛党。他们通过手机黑卡四处薅羊毛,甚至薅到一些平台陷入亏损境地。
羊毛党的攻击战
2016年8月,某上市公司旗下的全资子公司要力推直播软件,为激励用户注册,推出了“现金奖励”政策,但凡用户在该直播平台上注册,且每天直播10分钟,第一天奖励30元,第二天30元,第三天还是30元,以后每天还有10元奖励,并且第二天即可提现。如果直播获取观众多,还有排位奖。
这滋生了一批“偷取红利”的注册用户,他们用单个账号主播,领取现金奖励,再用无数的小号去刷礼物,兑换现金,粗略算下来,“偷红利”的人一天可收入数万甚至十几万元。
结果是,2016年底,据统计数字,该直播软件的活跃用户仅有112万,与其投入的16亿资金极其不成比例(净亏损约10亿元,该公司被ST),仅仅主播分成就达到了近14亿,其中不知道有多少大都被“偷红利者”偷走了。
当下,偷红利者被称为“羊毛党”,他们的偷利行为被称为“薅羊毛”,指的就是那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。他们专门盯着各种外卖APP、打车软件之间的烧钱返利活动,甚至百度上有专门的“羊毛党吧”,里面有羊头来分派“薅羊毛”的任务。
如果你以为这些羊毛党只是在网上偷取便宜的“小商贩”,那你就大错特错了。国内的“羊毛党”俨然已形成了利润丰厚、组织严密、组织化程度极高的灰产组织。上到BAT,下到不知名互联网公司,只要举办市场活动,都可能面临羊毛党的巨大威胁。甚至,羊毛党有能力对投入十亿级别、上市公司这样的庞然大物发动攻击。
进入2017年,羊毛党们的新猎物就是共享单车。就在ofo正式推出红包车活动没几天,一份“ofo红包漏洞攻略技巧分享”就在网络上刷屏:首先更新ofo到最新版本,root手机,安装虚拟GPS地址的软件。此类软件网上一搜一大把,比如“微定位”“手机定位器”等。使用虚拟GPS地址的软件,设置收据及所在GPS地址为红包区域。然后打开ofo软件,点击使用单车,手工输入已掌握的ofo编号,ofo软件开始计时,提示该共享单车为红包车。等待10分钟后,设置手机GPS位置为500米以外,结束用车。最后点击领取红包。
这一秘籍利用了ofo小黄车本身不具备定位,而是根据手机GPS定位判断用户位置的“漏洞”,仅用虚拟GPS地址软件,就欺骗系统用户是进行了大于500米、超过10分钟的骑行活动。也就是说,羊毛党利用定位修改软件和批量手机号软件,足不出户就做到骑行ofo小黄车并领取其派发的红包。依照法律,羊毛党的这种行为涉嫌诈骗。
“薅羊毛”的黑产业链
早期的“羊毛党”们主要活跃在O2O平台或电商平台。随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,互联网金融成为“羊毛党”们的“新猎物”。
2015年9月,广东一P2P平台下定决心彻查“羊毛党”,请外部技术公司进行监测。在某一次促销活动中,外部技术合作公司为其提供的数据显示:参与促销活动的客户中,接近70%都是“羊毛党”。
因为互联网金融的促销从几十元到上百元不等,“羊毛党”能赚取的利润倍增,所以更愿意投入更加专业的设备。手机黑卡成为羊毛党们的“秘密武器”。无论一个P2P平台的风控体系如何完善,以手机号为“基石”的P2P注册制也让他更易受到攻击,“羊毛党”们愿意购买大量的廉价智能手机用于注册账户,购买大量小额手机卡,通过猫池(GSMMODEM池,用于短信集群收发的专业设备)+自动化管理软件成功实现短信批量接收验证码的功能。
由此,羊毛党们到互联网金融平台大量的注册新用户,平台的活动经费大量地落入羊毛党的口袋中,活动的效果大打折扣,据威胁猎人CEO毕裕表示,目前在其手机黑号的数据库中,大约有1亿条左右的数据,其中80-90%是物联网卡。这种卡月租极低,有的是零月租。可以以公司的名义批量购买和注册,从而绕过了严格的手机卡实名。
除了大量的物联网卡之外,还有少部分的实名卡和海外卡,这部分黑卡占到所有黑卡的大约10%。来自缅甸、越南、印尼、泰国等东南亚国家的手机卡开始流入国内手机黑卡产业。这些卡支持GSM网络,进入国内后可以直接使用,无需实名认证。同时,这些手机卡基本是0月租,收短信免费,成本低,非常适合手机黑卡产业使用,且使用比例越来越高。
更可怕的是,有的P2P平台与羊毛党之间也存在“暗箱操作”的利益关系。为了吸引更多的用户来到平台,P2P领导私下与羊头合作,这些领头羊第一时间获取羊毛信息,就通过QQ群、公众号、个人网站广布“红利”信息。一来P2P网站获得了用户注册流量,让风投对他们的运营能力深信不疑,二来领头羊就能赚到几万元甚至十几万元的“人头费”。
恶果就是,大多数“羊毛党”并不会真正转化为平台的客户,在大量的补贴资金被羊毛党们“薅”走之后,羊毛党们撤退,僵尸账号永远不再活动,有的平台直接就被薅羊毛薅到倒闭。
如何防范被“薅”?
今年来,“羊毛党”引起监管机构的重视。早在9月30日,北京市互联网金融行业协会就发布了《关于坚决打击“羊毛党”模式的通知》;接着10月14日,协会又发起成立了“打击羊毛党联盟”。协会认为,此类行为不仅增加了网贷机构的运营成本,也会让网贷机构受到流动性风险冲击,要求各会员单位及个人如有类似合作要立即停止并整改,不支持违规机构申请备案。
当然,众多P2P平台也对羊毛党们十分戒备。例如,某游戏充值类APP,刚拿到了一笔投资,想投几百万做活动,为了规避羊毛党的攻击,该游戏平台的CEO和风险控制团队仔细核算几天后,拿出了活动方案:凡是新用户注册,可以得到标称价值68元的大礼包,但实际上可兑换的硬通货,是可以满30减5元充话费,或者满30元减5元买Q币。
原本以为,每个用户只给5元好处,而且需要手机号、身份证(人脸识别)、手机imei合一,这样的风控,即使有漏洞,漏洞也不会很大吧。事实上,这个活动做了不到1周就无疾而终。根据该APP事先发布的新闻稿、投入的配套广告资源等估算,此次损失应该在300万以上。
单个新用户5元,就值得羊毛党去薅吗?那个充值APP的风控团队也许不知道,现在的黑产军团已经不是过去那种:某某大佬养了10万张卡,每张卡成本五六十元,每单至少要赚十几元才有得赚。在互联网上,有个叫“接码平台”,在这个平台上,你只要提出需求,比如注册饿了么账户,就有卡商满足你。通常情况下,一条外卖账户的验证短信,仅需要0.1-0.2元。假设羊毛党小Q发现饿了么要举办新用户满20减16的活动,那他从接码平台买短信验证码,从Q群买银行卡绑定信息,综合成本大约在1-2元,而红包的价格在8-9元之间。小Q的利润每单在8元左右。如果小Q从接码平台买1万个号,再花100-200元买个自动注册机(专门定制的注册机在500-1000元),一天之内,他就可以从饿了么获取8万元的利润。
为此,专家建议,作为互联网公司,在举办市场活动之前,应该从专业的黑产情报公司获取手机黑号识别服务。在注册或活动流程中接入审计策略,让企业投入的经费能得到有效利用,并尽量减少因黑卡产业带来的损失。