电商薅羊毛研究报告

薅羊毛是从业者众多的一项黑灰产业，并且根生于各大互联网行业中，是企业风控管理的重要对象。极验着力于与黑灰产的对抗已有多年，这篇报告主要是根据我们在风控行业长期的观察和实践，输出一些观点和结论。

背景与现状

电商行业背景

据国家统计局公布的数据显示， 2019 年全国网上零售额 106,324 亿元，同比增长16.5%。2019 年全国网购用户数量突破 7 万亿，淘宝、京东作为传统电商的两大巨头占据着一半以上的市场规模，同时也涌现出了像拼多多、京喜等社交类电商。

如今的格局是线下商超并未被挤走，线上购物虽然是巨头独大，但也有众多平台瓜分市场。激烈竞争使得各种优惠活动、引流招数层出不穷。很多商家平台甚至不惜血本，使出大手笔。但是平台和商铺给消费者的回馈却成就了羊毛党的发家致富，各种购物狂欢节也成了羊毛党的盛宴。优惠券抢不到，秒杀根本没戏，让普通用户日渐失去参与活动的热情。

2018 - 2020 年电商薅羊毛大事件

2018 年 9 月，某通信公司自营电商平台的电子优惠券被薅羊毛，羊毛党利用虚假信息实现200 万元的优惠券变现。

2018 年 12 月星巴克营销活动，遭受黑灰产大规模攻击，损失可能达1000 万元。

2019 年 1 月某支付公司网上商城推出“每周五消费满 100 元立减 30 元”活动被恶意薅羊毛，涉案金额达2000 余万元。

2019 年 1 月拼多多遭遇黑产团伙盗取优惠券，涉案总金额达数千万元。

2019 年 2 月郎酒集团为回馈消费者开展了微信扫码派送红包活动，却有大量未出售的郎酒二维码红包被盗刷，盗刷金额累计达30 余万元，涉及销售客户 10 万名，销售营业额近千万元。

2019 年 11 月天猫“果小云旗舰店”被恶意薅羊毛，总计被下单700 万元，10 万元保证金被扣，店铺倒闭。

2020 年 1 月京东家电优惠券设置漏洞被恶意利用，羊毛党在极短的时间里，出现了24 万笔低价订单，涉及商品金额7000 万。

2020 年 5 月，各地发放消费券，昆明大额消费券被挂上二手交易平台转让。

2018 年 - 2020 年间出现多起电商活动恶意薅羊毛大案，涉及金额几百万甚至数千万元。

恶意薅羊毛简介

“薅羊毛”指的是消费者盯着线上电商平台或线下商铺店家做促销活动的时候，利用各种途径和平台优惠券、积分，使自己购买商品、服务的价格是最便宜的，得到的赠品、礼品是最多的，实现利益的最大化。因为消费者得到的优惠其实是平台或商家让出的利润，故而将消费者获取优惠的行为称为“薅羊毛”。

因为有利可图，于是有人便利用大量账号和自动化软件，绕过平台设定的限制规则，大量的囤积实物或优惠券。然后再以较高的价格倒手赚取差价，这种行为我们叫做恶意薅羊毛，也是本文讨论的薅羊毛黑灰产业。

商家让利搞活动本身是互惠双赢的事情，因为大批恶意羊毛党的涌入，使得电商平台的运营生态遭到破坏，商家及平台的优惠并没有到达有效用户的手中，更出现了诸多恶意攻击或者寻找漏洞致使商家蒙受巨额损失的情况。

薅羊毛黑灰产分析

薅羊毛黑灰产业发展已久，业内估计薅羊毛从业者超过百万，市场规模逾 1000 亿。在最近的两年里爆发了不少大规模的恶意薅羊毛事件，让人唏嘘的同时也应反思该产业链到底在如何发展，我们又有什么应对方法？近两年我们对薅羊毛黑灰产的观察：

1. 薅羊毛黑产账号交易市场完备

中国电商行业发展已有十五年，形成了以淘宝、京东为首的综合型电商平台长青，垂直类移动电商互相撕拼，拼购类社交电商后来居上瓜分下沉市场的多头格局，竞争异常激烈。为了抢占市场，平台联合商家推出大量的优惠活动，带来了羊毛党的滋生。

一般情况下优惠券、秒杀商品都会有风控限制，一个账号只能领取一张或者限购一件。想要大批量的薅取资源，就需要大量的账号。作为黑产的核心资源市场，账号买卖异常活跃并且交易流程化、规范化。集中体现在两个方面：账号类型齐全、账号买卖等级分类和价格体系完善。

1.1 账号类型齐全

在黑产市场上，有专门做各大电商平台账号买卖的平台。账号买卖平台众多，账号类型极其丰富。购物类账号几乎涵盖了各种类型的电商平台，应有尽有。

1.2 账号买卖等级分类，价格体系完善

账号买卖平台提供的账号分门别类，不同等级的账号价格不同，用途也不尽相同。比如淘宝的账号：包括实名和未实名，实名账号按照其等级价格逐渐增加，未实名的白号主要用于发布广告，价格相对便宜。实名账号中等级越高价格也越贵，比如实名 1 钻账号可以卖到 50～90 元一个。京东账号则按照京享值或者账号等级来计算价格，其中钻石账号最贵，可以卖到 15～30 元一个。其他的电商平台账号的等级分类并不多，主要是新号和老号。

还有一些年份久远或者淘气值高的淘宝账号卖价会更高（不同的平台卖价会有偏差）：

这些账号的来源包括三方面：养号、盗取和收购。

养号：利用卡商提供的手机号和黑客提供的注册机批量注册，这种号一般是未实名白号，量大价格便宜。实名号则还需要从资料商处获得“四件套”进行实名认证，然后再慢慢进行等级号的培养。

盗取：这也是黑产账户的一大来源。曾在 2016 年，浙江警方破获一起大案，犯罪嫌疑人利用手中已有的信息对淘宝进行撞库，经过 9900 万次对比之后获得了 2059 个淘宝真实账户。而这些账户的去向是被犯罪嫌疑人用于刷单、抢单以及售卖给黑产团伙。（来源：2016 年京华时报）

收购：购买一些真实用户的高等级号，这种类型较少。

2. 软件供应市场已经形成专业的 BAAS 服务

SAAS 服务即按需为用户提供软件服务。同样在黑灰产业中，也形成了非常专业的 BAAS服务（ Black production-as-a-Service）。目前黑产的软件市场主要包括三大类型的软件：提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。

在该领域内存在很多的技术服务公司，他们有专业的销售、研发工程师和售后工程师。黑产近两年软件服务方面的变化主要包括以下两个方面：

2.1自动化软件不断集成新的功能，形成具有规模的一体化软件服务

早期的黑产软件是一些黑客或者技术从业人员根据自身需求研发的，比如注册账号需要批量注册机，抢优惠券就编写个自动抢券插件，抢购商品就研发一个抢购软件。随着各大平台的风控手段越来越多，包括增加验证码、设置风控规则、利用技术检测风险账号等，使得简单的自动化脚本很容易被识别进而封号。

因此，现如今的黑产软件服务提供方一般都会提供一整套的服务。比如一款抢购软件，会集成账号供给、自动打码、秒换IP、自动支付等多项功能。

某下单软件研究

简介：专门做一元购项目

功能：软件是脚本全程自动化运行，无需人工，一台电脑挂机即可。主要包括：自动换号登录、查找商品、识别验证码、更换 IP、下单、支付。

软件价格：包含电脑的价格 3980 元；无需电脑只有软件 2980 元（提供远程安装和售后服务，并赠送 200 个小号）

软件完成下单支付后会生成一个数据记录，从这份数据记录中可以发现，该软件的下单完成率较高，仅有几单显示无效-违规订单。

该软件的销售人员介绍，这是他们公司的主打产品，销量非常好。一般一个京东白号可以做 3-7 单，一天下来可以实现 250-400 单，每单的利润在 5-10 之间，也可能会更多，一天1000 的营收不成问题。他们不仅提供软件服务，也提供账号，白账号 4 毛钱一个。

黑灰产市场上专业的技术服务不断集成和软件各项功能的不断完善，一方面使得黑产的准入门槛不断降低，完全不懂技术的人群也能很快参与其中；另一方面，技术的复杂化使得黑产市场的分工更加细致，懂技术的一部分人可以规避触碰法律红线的风险，将这些风险转嫁到更多人的身上。黑产市场分工使得专业的人只做专业的事情也给风控带来了新的挑战，未来更将是技术与技术的赤裸对抗。

2.2 移动平台占据主流，改机软件成为黑产必备神器

现在各大平台的主要战场是移动端，近两年移动端的作弊成了黑产技术突破的重要阵地，因此改机工具在黑灰产市场成了炙手可热的神器。

改机工具是指能够在安卓或者 iOS 设备上运行的 app，能够修改包括 Android_Id、IMEI、手机序列号、WIFI-MAC、WIFI-Name、安卓系统版本、ROS 固件、手机号码、手机型号、手机品牌、CPU 型号、手机制造商、GPS 定位、通话记录模拟、手机短信模拟等各类手机系统信息的修改功能。通过不断刷新伪造设备指纹，让一台手机在信息上呈现多台设备的信息，极大的降低黑产的硬件成本。

一款改机软件的功能列表

在我们发现的异常用户中，最常见的改机神器包括 Xposed 、 supersu 和 Magisk 。Xposed 在圈内家喻户晓，很多改机 app（应用变量、深海等）都要在 Xposed 框架下才能安装使用。

Xposed 框架是一款可以在不修改 APK 的情况下影响程序运行(修改系统)的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。在这个框架下，手机可以加载很多插件 App，这些插件 App 可以直接或间接劫持、篡改、伪造一些信息。有了 Xposed 后，理论上插件 APP 可以 hook 到系统任意一个Java 进程 zygote。但是随着安卓系统的更新，Android 8.0 以上的 Xposed 官方版本没有再更新，于是 magisk 成为了后起之秀，在改机神器中脱颖而出。

Magisk 和 Xposed 都是改机平台，具体改机功能需要单独模块实现。由于开放性，这两个平台模块生态丰富，被黑产用来非法牟利。除了上述我们提到的对手机各种信息的修改，还有可以实现微信自动抢红包、撤回信息、远程打卡、修改 UI 设计。

安卓手机由于其系统更加开放而受到羊毛党们的青睐：

由于改机工具的存在，这些环境信息基本上都可以更改，变得不再可信。在我们的分析中，还发现有的甚至将安卓品牌的手机系统信息改为 iOS 。

要通过伪造设备信息，使得在一台手机上呈现多台手机信息，黑灰产大概率篡改的信息前十：

在我们检测到的异常流量中，显示的手机品牌厂商的分布如下：

总的来说用于作弊的设备大部分是主流安卓手机品牌，并且是中低端机型。黑灰产批量修改安卓信息的时候，会有一个信息库，根据安卓系统、手机型号、手机品牌、cpu 等信息随机匹配出一个看起来正常的手机信息。如果一些很老的手机型号，系统版本却很新，就不符合逻辑；还有像 cpu 信息和手机品牌不匹配也很容易被发现。

改机工具的存在主要是伪造设备信息，降低硬件成本。目前已经有手段可以应对设备信息造假，通过数据分析，结合环境指纹和行为信息，即使黑产全部数据都是伪造的，也同样可以识别。

3. 羊毛党群体数量十分庞大，职业带领业余群体

根据极验黑产研究专家估计，全国羊圈活跃人群百万以上。羊毛党分为职业羊毛党和业余羊毛党，职业羊毛党专职从事薅羊毛活动，业务内容包括寻找漏洞、搜集各种线报信息、培训业余羊毛党赚取学费等。业余羊毛党则是一些学生、宝妈或者一些想赚点外快的人员，主要是在群里跟随职业羊毛党赚取一些辛苦费。

3.1 职业羊毛党吃肉

项目羊毛：这类职业羊毛党多是懂技术，精通破解脱壳卡 bug 的人。他们往往管理着几个甚至十几个薅羊毛群，并不断在网络上寻找风控薄弱的产品或者活动。找到漏洞和 bug 后，就写脚本测试，最后将信息以及软件还有教程统统发布到群里（羊毛界不贪独食）。

培训收费：网络上有很多黑灰产论坛、贴吧都有大量的羊毛广告，吸引一些小白人员进群。而很多群的管理员会向大家兜售薅羊毛技能。不同的项目收费不同，有的比较小的项目远程视频授课 50 元一次，有的则 188，有的 588，当然也有一千、两千的。而愿意出钱的人还不在少数。

某在校大学生向我们透露，他刚开始是在贴吧看到的广告，便加入一个群，交了 288 的拜师费，跟着撸货撸券。后来加的人和群越来越多，对这个行当了解越多，自己也学习了一些脚本技术，便开始建自己的微信群，每天把自己在其他 QQ 群拿到的消息转发过去，然后写一些简单的教程，收费 50 元一人，收徒加上薅羊毛月入 5000 不是问题。

3.2 业余羊毛党喝汤

剩下的就是业余羊毛党，他们的主要目的是赚点外快。业余羊毛党混迹在各大 QQ 群和微信群，等待羊头的信息，发现有合适的项目便会行动起来。除了一些大 bug，业余羊毛党们平时都是赚点小钱。

秒杀活动免费拿商品：群里会时不时发布一些秒杀或者优惠活动信息，业余羊毛党们可以通过非常低廉的价格买到商品，然后低价转手赚钱。

代下单拿佣金：还有一种是代下单，一单的佣金大概在 3-15 块钱不等。这种模式需要自己先垫付资金，然后等收货方收到货品后返回佣金和实际付款。

总的来说，业余羊毛党所能赚到的钱就要少很多了，还有拜师费、软件钱、购买账号等成本。

根据一位宝妈的反馈，她通常能购买一些廉价的商品然后在闲鱼或者朋友圈出售（包括一些纸巾、洗衣液等生活用品），还有代下单赚点佣金。每个月多的时候能赚几百块，少的时候几十块。

4. 收货销货渠道丰富，利润空间很大

变现为王，收销货是整个产业链中最重要的一环。薅羊毛黑产的收销货渠道十分成熟，销货渠道也很丰富，涵盖了各种实物和非实物商品种类，价格体系健全，为上游撸货羊毛党的变现提供了流动性支撑。

4.1 实物销货渠道众多，各大 QQ 群实时报价

经过长时间的沉淀和积累，实物销货的体系可以说已经非常成熟了，并且这种货物的转手几乎是无风险。

实物种类很多，在羊圈比较火爆的就是日用品、电子产品、酒水、护肤化妆品。日用品的利润空间不大，主要是走量，每天能够薅到的数量相当可观。而电子产品、酒水以及护肤品等则是利润很大的暴利商品。比如 iPhone 11 ，撸货羊毛党的利润在 150-200 元之间，而收货商的利润则可以在 200-300 之间。部分销货报价：

以上只是部分价格，还有一些撸货量非常大的群里，收货群主每天生活用品的量能到几百上千件，为了能够销出去会按照统一的价格，比3块统统卖出去。而像苹果手机、酒水、纪念币等物品，收货商一般会提供动态的报价，甚至一天之中上午和下午的报价都会不同，也会按照实时的报价给撸货羊毛党结算。

4.2非实物销货 C2C 网络平台

非实物包括优惠券、购物卡、话费等资源，这些也是黑产薅羊毛非常受欢迎的一类物资。

非实物资产的交易需求催生了一批交易网站。这些网站优惠券种类非常丰富，涵盖了商超购物、影视下载、游戏点卡、甜品饮品、生活服务、美食生鲜、话费油卡、运动出行等方方面面。优惠券买卖平台相当于一个 C2C 平台，用户可以在该平台买券，也可以卖券。买券的方式很简单，就像我们平时在淘宝购物一般。卖券则需要上传可以验证优惠券的二维码、券号或者是兑换码。

作为平台方，每单基本上是赚取一元左右的差价。而卖券方的利润则很大，基本上是赚取一张优惠券三分之二以上的利润。真正想要购物的消费者，买这些优惠券实际的优惠力度少了很多，平台的让利大部分都被羊毛党赚取了。

各种货品从平台经过羊毛党、销货商最后到消费者手中，灰色资产得以洗白，商家的让利和平台的补贴就这样一层一层的流入到羊毛灰色产业链的各色人手中。

对抗技术实践

当然，各大电商平台也都在积极的应对恶意薅羊毛。2015 年之后，很明显的可以感受到，各大平台包括像淘宝、京东、拼多多等越来越重视自身的风控建设。随着投入的加大和技术的进步，与会黑产的对抗日益激烈，转变较为突出的技术实践包括：

1. 全面监控，梯度防御

过去的风控思路倾向于通过某一规则或者策略拦截所有黑产，这其实是难以实现并且被攻破的风险系数很大。现在的风控思路则更加倾向于全面监控，有梯度的防御。在腾讯云的安全分享会上，京东的风控安全人员表示：目前京东有 2000 多个不同维度的数据指标去做安全评估。一批订单过来之后可以在 30 到 50 毫秒的时间内通过规则的模式去做实时的识别，如果有问题的话会过滤掉，到下一批大概在 10 分钟到 1 小时之间再做识别。

这是目前较为有效的防御策略，极验业务安全研究专家认为可以对流量进行分区，最底层要做好业务底线，防止业务熔断；然后是常规观察，将可疑流量分离出来做进一步的精准分析；对可以确定的黑产流量直接进行封禁。

2. 多维度联控，精准防御

传统风控更专注于通用性，利用很多规则识别可能有异常表现的账户，然后利用策略引擎对这些账户进行封禁。比如，有的风控策略是对改机软件进行检测，一旦账号有改机现象，就会标记为异常进而封禁。这种一刀切的做法在很大程度上确实可以打击黑灰产用户，但是也会造成误封。因为一个用户出现改机，他也有可能是想修改手机的系统模板或者为了玩游戏等情况。

所以传统风控很明显的硬伤就是用户体验。互联网产品有一个很大的特点是必须注重用户体验，误封会极大的伤害用户体验，尤其是在大流量的互联网时代。所以新的风控思维应该由通用性转向精准性，也就是我们深知 Pro 提出的流量识别。流量识别不仅仅是发现可能异常账号，还会结合包括业务行为、业务逻辑以及账户的关联数据等多个维度来分析，精准识别不同类型的流量。比如在一批改机流量中，可以定位到哪些是竞争对手恶意请求，哪些是无恶意行为用户，哪些是渠道假量，哪些是恶意攻击。然后再针对不同类型的流量实施不同策略的风控方案。在必须兼顾用户体验和安全性的未来，精准性是风控发展的必然。

3. 引入多种AI技术，智能防御

近两年，风控与黑产的对抗已经转入 AI 战场，各种 AI 算法在风控中的应用成了新兴的研究热点。AI 技术在风控中的应用有很成熟的，也有在不断探索的。AI 技术的引入为风控带来了很大的提升。

提高了风控运行效率：

AI 模型的引入可以迅速提取怀疑样本，缩小后续的观测范围。比如一些基础模型可以直接过滤掉自动化脚本简单粗暴的作弊，并且准确率很高。这也是近年来，自动化脚本成本逐渐增加的一大原因。

加速了精准策略的产出：

过去由专家根据经验、数据分析提取规则，设置策略。黑产在对抗过程中不断试探风控规则，一旦黑产发现规律，策略就很可能失效，那么又需要再想新的防御策略，这其实是很难的。有了 AI 模型，它也可以输出学习到的规则策略，或者辅助专家进行规则的提取，这给防御带来了很大的产出提升。

提升风控系统自检能力：

一个完备的风控系统有很多规则策略，比如某天出现了异常流量，那排查是什么策略失效其实非常依赖风控人员丰富的经验和风险感知能力，这是很被动的。AI 模型独立于人工经验之外，可以利用 AI 模型建立一套有效的参考机制，比如规则筛选和模型筛选异常比例，这种自检能力能够帮助我们快速排查问题，及时找到应对策略。

未来趋势分析

电商平台乃至全互联网行业与网络黑产的斗争正在逐步升级，黑产也在对我们不断改进的风控措施实施更加有针对性、智能化的攻击。并且随着黑产市场从业人员以及分工细化的进程，我们仍将面临巨大的黑灰产防控压力。

1. 薅羊毛黑灰产业

从前面的报告内容可以发现，电商薅羊毛黑灰产业规模巨大，从业人员基数广，并且有技术能力不弱的一部分中间力量，在未来几年我们认为该黑灰产业有以下三点发展趋势。

人肉众包是黑产发展的最大趋势

因为自动化脚本的成本日益高昂，甚至无法通过自动化脚本绕过一些风控环节，黑灰产逐渐转向了人肉众包模式。最早的是对抗验证技术的打码平台，前两年兴起的众包刷量，还有薅羊毛也开始有众包模式了。我们所在的一些羊毛群便是由收货商发布商品链接和代下单佣金，由群里的兼职散客代下单。而这些都是真实用户，他们有着真实的信息、真实的设备、全国各地不同的 IP 地址，甚至还会表现一些正常的行为，这种模式给我们风控带来了新的挑战。

黑灰产也会利用AI技术作弊

技术的发展是一把双刃剑，我们可以利用AI提高风控能力，黑灰产也会引入AI技术用以作弊。比如，较为典型的是对传统验证码的识别，随着计算机视觉技术的突破，识别传统的字符型验证码变得非常容易。也有黑产尝试利用AI技术实现更加拟人化的自动化攻击。这也是未来对抗中我们要重点关注的方向。

利用规则漏洞或者技术漏洞类的薅羊毛仍然不可避免

最近两年发生的重大薅羊毛事件均是由平台方的规则或者技术漏洞造成的，这种漏洞具有相当的偶然性，并且仍不能百分之百避免。还有相当的一部分具备技术能力的黑灰产从业人员，可能制造漏洞，给平台带来损失。

2. 监管趋势

面对上述未来趋势，企业首先可以解决的问题是严格把握活动规则、底层安全，避免出现失误被黑灰产所利用，带来巨大的经济损失。其他战场上，对抗还将升级。未来也有两个方向可期：

法律监管力度不断增加，未来犯罪成本提升

2018 年，全国首起抢购软件开发案判决结果公布。案件是 2014 年、2015 年间三人开发了抢购小米、魅族手机、天猫商品的软件，并在官方网站上大量销售。法院认为，其中2名被告人提供专门用于侵入、非法控制计算机信息系统的程序、工具，情节特别严重；1 名被告人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其二人提供程序、工具，情节严重。据此，判处前者有期徒刑 3 年，缓刑 4 年，二人均并处罚金***3 万元；判处后者有期徒刑 2 年，缓刑 3 年，并处罚金*** 1 万元。

2019 年也有较多相关案例出现：

相关律师表示：薅羊毛可能涉嫌诈骗罪。这两年国家对网络环境的监管力度不断加大，对此类网络黑灰产也会不断通过法律法规监管完善。

由技术分析向多维度、关联数据分析转变

未来的风控将面临巨大的挑战，一方面是黑产人肉众包的模式加大风控的难度，另一方面国家对隐私监管的范围不断收紧，有利于普通用户保护隐私的同时，也让黑产更容易伪装自己。所以，风控必须从传统的技术分析转向多维度、关联数据分析转变。也就是说，分析用户的手机是否有改机、分析黑产软件脚本代码这样的技术分析将逐渐变得不实用，从用户业务行为出发结合多维度数据（设备、IP、账号关联、团伙数据等）发现黑产将越来越重要。

*本文作者：GEETEST极验，转载请注明来自FreeBuf.COM

转载请注明来自网盾网络安全培训，本文标题：《电商薅羊毛研究报告》

标签：报告电商薅羊毛