薅羊毛黑产攻防录：1秒定生死的水下暗战

1000毫秒，即1秒钟，是一位消费者网购下单时能忍受的等待时间。在你的耐心范围内，是一场网络安全工程师和黑客之间的对决，前者必须在几百毫秒内揪出并拦截来自后者的大流量攻击，避免他们抢走平台给消费者的优惠券。

换个角度看，这1秒钟也是你跟黑客间的战争，只不过一旦安全人员失手，你往往也一败涂地。当你在想抢下一款电商平台的大促产品时，你大概不知道，很多时候和你拼手速的并不是人类，而是黑客撒出去的机器账号军团。

我们所说的黑产羊毛党，不是日常抢个几块到几十块不等的红包以自娱的普通人，而是大规模靠技术或人工手段，钻漏洞以薅羊毛获取利润的群体。仅在中国，专门以薅羊毛为生的就有几百万人，或“全职”或“兼职”。从搜集优惠信息、购买账号、销售工具、实施攻击到倒卖、分赃，薅羊毛已经形成了一条分工细致的成熟产业链。

红包、优惠券、抽奖、打折、秒杀……都是他们紧盯的“机会”。堆积起来的“羊毛”利润可观，团伙作案的黑客羊毛党，月收入上百万者大有人在。

在中国电商行业迅速崛起的10年里，薅羊毛黑产群体也逐渐庞大。美团安全部门接受36氪采访时表示，因为电商行业规模的加大和移动端技术研发更新迭代的迅速，今年黑产的技术手段和攻击变化频次有很大提升，防控的技术壁垒要求越来越高。

正如互联网的繁荣不止，安全工程师和羊毛党之间的攻防战也永不停息。

 交易狂欢背后的风控战

2017年11月11日，这一天结束时阿里的电商成交额是1682亿元。消费者和商家看到的是一座金矿，但对于阿里，特别是安全部门和云计算这类技术支撑部门，双十一恰恰是一年中压力最大的时候。

电商造节，巨大的流量集中在一天释放出来，在这24小时内，电商平台的技术和安全防空要承受住庞大流量的冲击，其中不少流量就来自于黑产羊毛党的“贡献”。

所以阿里安全部安全工程师魏峰把双十一看作紧张的大考。为了这几百毫秒刀光剑影的“守门”，阿里安全和天猫等其他业务团队会提前半年开始准备。

年中拿到天猫促销商户的策划方案后，风控部门会先弄清楚每个活动的玩法，挖掘游戏和流程中可能出现哪些让黑产有机可乘的漏洞，根据情况或改变游戏、或想办法降低风险。在此之后，要设置常规的防羊毛党风控流程。

魏峰们甄别黑客的过程，是以微妙的方式体现在消费者的购物流程中的：

对于普通人，我们购物时屏幕上显示的是登陆、操作、下单、支付……不过这些环节在魏峰眼里，就是一道一道的门，用户每走过一个流程，就是过一道安检，每个安检口都埋藏着不同的甄别黑客的方法。

“比如你经常买买买，住址稳定，手机和电脑IP固定，我们就会把它加密存储，做成一个可信任的安全环境，当你在这个环境下操作，就被认为是安全的。但比方说当你用别人的手机登陆自己账号购物，或者连接公共场所的wifi，系统就会有所警觉，多设置些审查门槛，比如此时支付会让你输入短信验证码，甚至要求刷脸，弹出窗口警示风险。”魏峰解释称。

安全防控的最高境界是让用户无感知，尽可能的减少对用户的干扰，避免流程体验过于冗长，但同时也要保证风控的严密和甄别的精准性，如何取个平衡是最有技术含量的部分。

在阿里安全部门的设计中，被系统认定为优质或安全环境中的用户，一般只用过四五道工序，以保证下单顺畅，但如果被认为有欺诈风险的账户、商家刷量或者疑似羊毛党，检验工序就会上升为十几道甚至二十道，进入更复杂的风控流程。

“黑灰产的人或许能把某一方面伪造好，但是不可能把所有环节都伪造。其实风控策略的本质就是人与人之间的博弈。”魏峰举例称，用同一台设备注册三个账号会引起安全工程师的警惕，但为了避免误伤，安全工程师会同时考量其他维度，而黑客意识到这种风险，也会避免用同一台注册太多账号，防止被发现后一串账号全部被废。双方的每次较量，就存在于对其中微小变量的把控中。

羊毛大军的黑色运作链    

羊毛党赚的是商家和平台的补贴差价。传统的羊毛党会以促销价大批量抢购促销品，再另找渠道卖出去，赚取价格差。而另一类羊毛党，则跟商户串通好，赚取电商平台的补贴。假意下单，商户在后台收到订单后不发货，而后两者再瓜分平台给的补贴金额，既刷了商户的量，也省去了羊毛党卖不出去把货砸在手里的风险。

不过运作这样一场薅羊毛，流程复杂, 薅一次羊毛需要跑通5个环节：评估风险并找到适合下手的活动－获取手机号－用手机号注册帐号并通过平台的认证－获取设备（手机）－购买秒杀工具－操作薅羊毛－分赃。

在高段位的薅羊毛里，上述链路中的每一个环节都有成规模的公司在运作。

由于每个环节都需要付出成本，羊毛党会谨慎选择攻击对象，衡量不同对象的攻击难度和需要付出的代价。根据京东安全部门的观察，羊毛党在发动攻击前会在各种信息共享群里互通消息，呈现出从点到面的传播，选择优惠补贴力度大的线上项目大量集中购买。

开始薅羊毛的前提是批量掌握大量帐号，有经验的黑客能同时控制上万甚至几十万个帐号。获取帐号的第一步是拿到手机号，而黑产的手机号提供者，多为卡商。

卡商是运营商的合作者，主业是帮运营商分销手机卡，不过很多卡商利用手头的卡号资源做起了to B的手机卡运营。简单说，就是羊毛党可以向卡商购买手机号或者收到的短信验证消息。这个环节的平均成本是1毛钱一个号。

有了手机号，羊毛党还要解决平台帐号的注册，需要身份证、手机号、甚至照片这类实名认证信息。大量包含这类信息的数据包，在黑市中非法交易，这成了羊毛党的购买渠道，一个帐号的成本在几毛钱左右。

每逢重要的电商大促前夕，秒杀工具这类作弊软件的销量都会攀升。

秒杀工具的作用是让羊毛党可以批量下订单，惯常的卖法是几百元包月，通过大量羊毛党混迹的QQ群中销售，极“好用”的工具可以卖到3000块。

在黑产攻防战里，情报对于交战双方非常重要。黑产会想方设法在互联网公司安插内鬼，里应外合的监守自盗，同样互联网公司也会在黑产团体放入间谍，时刻上演着无间道。

魏峰曾由此接触过一款软件，利用安全漏洞，可以一次性下几十万笔订单，“如果当时没发现，双十一当天有很多羊毛党用，订单量可能会损失几十亿甚至上百亿。”

如果羊毛党成功控制大量帐号，下一步就是弄到设备，开始薅羊毛。最传统的做法是人工薅羊毛：一个几平米的小房间，靠着四面墙壁放着四个五六层的货架，每排货架上从左到右挨着摆满了一排排手机，每台手机绑定着一个账号。当促销活动的时间到了，一个羊毛党的任务就是站在房子中间，一台台手机的点过去。

不过对于掌握着上万个帐号的人而言，这样的效率只能覆盖几千个帐号，黑产开始够买安卓模拟器，用机器集中操作。

一场大促背后，安全工程师需要准备半年，而黑产也做尽各种准备以求豪赌一把，交锋无形却往往异常激烈。京东安全工程师告诉36氪，几年华为荣耀一款新品手机在京东上线，黄牛党的抢购遭遇了京东的拦截，随即就雇佣大量水军对京东在线客服进行恶意报复，导致正常咨询堵塞。“魔高一尺，道高一丈。黑客的攻击手段在不断演进，安全工程师的防范手段得以更快的速度进行迭代，才能有效防止黑客的攻击。”

魏峰说，网络安全工程师的圈子里流传着一句话——你在凝视深渊，深渊也在凝视你。

这个圈子里不乏技术高超的聪明人，从事黑产的利益诱惑巨大，有时候安全工程师、白帽子和黑客只是一念之差。他们之间的无形战争，是术与术的较量。

魏峰对一起黑产案件中，一位被捕的黑客印象深刻。三四十岁的中年男子，其貌不扬穿着一件夹克，孩子刚上小学，一家三口住在一间80平的房子里。他花了三个月的时破译漏洞，半年内赚了几十万。

“他当时很骄傲，觉得自己花了三个月什么都不干，像数学家把一道题目解出来了一样很厉害。后面我们的安全能力也在不断更新，但他第二天就能跟上我们的更新节奏。其实我们之间的较量不像是过招，三个月的解题就像是苦行僧一样，我们也不清楚他为什么有这么大的毅力。”

魏峰形容，安全工程师和黑客，其实是一种类似于互相解题的交往。安全工程师的日常工作，是不断反向研究黑客的手法，也会突然惊奇对方是怎么想到这一点的。被发现漏洞感觉，类似于有人花了几周不同摸索你的心思，找到漏洞后突然被别人拿过来一样。

他从警方了解到，那个黑客被捕的时候很平静，“估计他觉得这是早晚的事。毕竟黑客一旦要开始赚钱，就不可避免要把自己暴露出来，你要推广自己出来卖产品，这时候在网上留下的痕迹就越来越多。这跟传统意义上不为名不为利的黑客是不一样的，那种人不会留下太多东西，可能很难找到。”

或为钱，或为技术的偏执，羊毛党和安全工程师的较量还会继续，就掩藏在我们的每一次点击背后。

（应采访对象要求，魏峰为化名）

本文由「孙然」原创出品， 转载或内容合作请点击 转载说明 ；违规转载必究。

寻求报道 。