楠木軒

黑手伸向電商後台 揭“羊毛客”惡意“薅”電商產業鏈

由 完顏翠琴 發佈於 科技

又到年中消費季,為提振消費,各大電商平台加大優惠力度,不少消費者也瞄準機會下單心儀商品。但記者日前調研發現,一些通過不法手段“薅羊毛”的惡意“羊毛客”卻“圍剿”平台企業,破壞市場秩序。

黑手伸向電商後台

“羊毛客”針對優惠券、現金紅包進行“薅羊毛”,是近年來線上購物不斷髮展所形成的消費行為。據互聯網業內人士介紹,“羊毛客”大體分為兩類:一類主要由普通消費者組成;另一類則將“薅羊毛”變成黑灰產業鏈,與普通消費者親自領取平台各種優惠不同,他們大多利用黑客軟件,以機器代替人批量、惡意獲取優惠券、現金紅包,從中獲利。

24歲的王某某住在北京市昌平區一處出租房內,因為對軟件製作感興趣,他加入了幾個技術研發類的QQ羣,當得知有人通過製作黑客軟件進入電商平台系統“薅羊毛”,王某某便萌生了製作這類軟件出售賺錢的想法。他購買了一條軟件源代碼進行改寫,把製作出的3款軟件通過QQ羣出售,疫情期間還專心做起了產品研發升級和售後服務工作。

利用黑客軟件,一些惡意“羊毛客”進入某大型電商後台,繞過風控系統騙取了大量優惠券和現金紅包,造成企業損失400餘萬元。該企業報案後,北京市公安局大興分局通過對軟件層層破譯,最終鎖定幕後黑手王某某,並以涉嫌違反刑法相關規定對其依法刑事拘留。據警方介紹,通過出售黑客軟件,王某某累計獲利20餘萬元。

記者調查發現,利用黑客軟件“薅羊毛”被稱為“暴力羊毛客”,他們隱藏在一些社交軟件羣組及論壇中,加入“暴力羊毛客”需要按月繳納幾百至一千元不等的費用租用外掛軟件。“暴力羊毛客”“涉獵”範圍廣泛,除了搶券、搶紅包外,也針對銀行卡、短視頻平台及部分APP推出的新用户優惠及返現等活動“薅羊毛”。

一位資深網絡安全專家介紹,“暴力羊毛客”帶來的流量不是簡單的翻倍,通常情況下,他們會打開多台虛擬機,虛擬成百上千的用户同時參與搶購,增加成功搶券的概率。一次點擊可能帶來成百上千個訪問,使得瞬間流量超過服務器的支撐能力,甚至造成系統癱瘓。

“失控”狀態引發關注

記者調查發現,大量惡意“羊毛客”長期處於失控狀態,主要原因是缺乏有效制約機制。專業“羊毛客”小新(化名)介紹:“外掛軟件的開發技術並不難,它類似搶票軟件,反覆利用機器代替人刷券或票,現在黑產比較成熟,有很多專業開發這類軟件的人,可以輕易買到。”

除了常規操作外,一些“羊毛客”更專注於利用平台系統漏洞進行惡意“薅羊毛”。記者在一些“羊毛客”論壇和羣組中看到,“某某平台百元紅包秒提Bug”“某某平台漏洞單優惠”等信息比比皆是。一位自稱有着多年“薅羊毛”經驗的消費者説,個別商家或店鋪在設定價格或優惠措施時一旦出現操作失誤,信息就會被迅速捕捉,發給“羊毛客”。

北京市朝陽區人民法院公佈的案例顯示,此前,一位銷售臍橙的商家將26元4500克誤寫為4500斤,導致產生了高達700萬元的訂單金額。之後,店鋪發出公告稱,因為此次操作失誤,店鋪已無力承擔。

朝陽法院法官趙鑫説,如果因為賣家標錯價格或數量導致消費者以低價買得產品,買賣合同依法仍然成立並生效,但法律規定重大誤解可撤銷合同。如果買家明知交易無法實際履行仍下單購買,且在網絡購物成本幾乎為零的情況下,法院或者仲裁機構有可能認定買家因撤銷合同不具有實際損失,而認定商家無須賠償損失。尤其對有惡意“羊毛客”參與的這類交易,法院更會考慮這一因素。

與“羊毛客”很難界定其法律責任不同,為“薅羊毛”編寫專用程序工具的黑客或承擔刑事法律責任。去年,蘇寧風控中心發現網站遭遇外掛軟件惡意攻擊,發佈的各類優惠券被大量搶購。當地警方偵查發現,一個廣州犯罪團伙在QQ羣中大量兜售專門在蘇寧搶券的外掛軟件,初步統計近200人使用過該軟件進行搶券。團伙中6名嫌疑人最終因涉嫌破壞計算機信息系統罪被警方依法刑事拘留。

形成系統化的合力

業內人士指出,惡意“羊毛客”破壞了正常的商業秩序。警方表示,將持續開展“淨網2020”專項行動,對為“薅羊毛”製作專用程序工具的違法犯罪行為,加大偵查打擊力度;同時,對電商平台的網絡安全情況加強監督檢查,督促電商平台落實網絡安全義務。

“一些平台有反‘薅羊毛’、識別虛假流量的技術能力,比如某個IP地址同時對該平台系統發起多次操作,可能會被平台認定為顯著的機器行為或惡意行為,並對其進行反擊,這需要平台付出較大的帶寬和服務器成本。”一位網絡安全專家表示。

中華全國律師協會網絡與高新技術專業委員會副主任兼秘書長陳際紅説,黑灰產業羣體應用的技術手段多樣,企業需要使用更多數據維度和指標,構建更復雜的策略、模型進行防禦。要整合互聯網安全企業資源,形成有效的系統化合力。

四川法邦律師事務所律師李佳澤説,要遏制惡意“羊毛客”,相關法律法規的完善也不可或缺。網購平台的發展改變了交易環境,帶來便利的同時也存在着風險,法律法規的及時跟進和完善,是市場發展和公平交易的必要保障。

警方表示,互聯網公司應健全安全審核機制,強化系統監測,加強合規審查,避免被違法犯罪分子利用。一旦發現有違法犯罪現象,要注意保存相關數據,留存電子證據,第一時間向屬地公安機關報案。