囤茅台，攒瓶盖，薅优惠券，谁来阻击羊毛党的骚操作？

编者按：本文来自微信公众号“刺猬公社”（ID：ciweigongshe），作者 | 一凡，编辑 | 石灿，36氪经授权发布。

 

羊毛党的想象力，唯有在这一层能如此跃进。

 

1000瓶茅台，造一个百万富翁

因为买卖之间的巨大差价，在专门买“最贵最多”酒水的羊毛党组织者中，就产生了不少一笔“生意”毛利上百万的案例。据腾讯安全的统计，200多个酒品类黄牛团伙中，牛头的年龄只有25岁～35岁，年纪轻轻就实现了“一夜暴富”。

这些羊毛党头目深知“独乐乐不如众乐乐”的道理，为了避免电商平台的审核，将订单采用众包模式分散到“肉牛”——承担具体购买任务的人手中，并按大约10%的比例向“肉牛”们发放佣金。

“肉牛”都是普通羊毛党，没有可靠渠道出手抢到的酒水。因此只能乖乖听话，使用真实账号手动下单，将货物发往牛头提供的地址。有的“羊毛党”已经专业化到建立了一个“众包平台”，下单完成后提交订单号、收款账户等信息，还可以查询佣金到账进度。

“肉牛”薅到的还不止佣金。

几乎每个普通的“肉牛”都对信用卡和支付产品的优惠信息了如指掌，他们还能从银行和金融机构手中再薅一次。以原价1499的茅台为例，在倒卖后产生的千元左右利润中，肉牛能够拿走10%；叠加银行信用卡消费的满减活动，又可以节约四五十块，还能合理合法地被算作积分权益。

某牛头提供的收货地址“暗号” 图源：腾讯云安全

和小团伙刷单式薅羊毛不同，众包模式下每个“肉牛”本质上是真实用户，电商平台更难将他们与普通消费者区分开。为了避免收货地址的雷同，羊毛党的“牛头”甚至会买通本地快递员，让快递员帮助识别“牛头”和“肉牛”约定好的暗号——精心修饰过的电话号码和收件人姓名、地址。

一般来讲，为了保证货物抵达快递网点和被买通的快递员手中，精确到区县、乡镇的一级的地址必须是“牛头”真正的所在地，之后的街道或门牌号就可以任意编造了。羊毛党“牛头”囤酒的最后一公里由快递员负责，为了方便辨认，收货人姓名也有一套命名规则，往往是同姓或同名。

为了降低交易风险，“牛头”几乎不会对生客出手，并且往往要求对方自行取货。一单生意尘埃落定后，获利最多的牛头多的能挣到上百万，大约相当于1000瓶茅台酒的价格差。

更大一块蛋糕来自蒙牛。在成为2018年世界杯的赞助商后，蒙牛决定投入两亿用作现金红包等市场推广手段，并且不希望一直采用“扫码开包”的形式，想要有更丰富的互动，并且针对世界杯的各个节点做活动。

这大大增加了安全上的难度。几乎全系列的蒙牛产品都可以扫码领红包，还可以集卡（类似于集五福）抽奖。据合作方腾讯云安全的统计，大约10%、千万量级的营销资金受到了薅羊毛灰产的威胁。

一个比较简单的方式是：普通羊毛党去羊毛党组织者那里购买兑换码——也就是一串包含了中奖信息的网页链接，为了方便售卖，有人甚至还建起了专门的网站。拿到后，再用二维码生成软件将这个链接转变成二维码图片。最后，用手机扫这个二维码，捞取红包。

某专门售卖“兑换码”的羊毛网站，多个知名饮品中招

以最近流行的纯甄小蛮腰红包为例，一个兑换码在羊毛党头目那里售价18元，扫出来的红包一般是19.32元，羊毛党只赚1.32元的差价，还要承担“卖家”不可靠的风险。最终收益最大的，还是那些利用来路不明的所谓“兑换码”牟利的卖家。

为了抢优惠券 背着基站去家乐福

伪基站可以劫持手机通讯信号，包括语音和短信等，往往被黑产当作嗅探攻击的工具。但它的作用半径只有数百米，必须带到目标附近才行。

和存在法律争议的薅羊毛行为不同，建立伪基站劫持通讯信号是不折不扣的违法行为。借助伪基站实施的活动，往往和诈骗和盗窃有关。但也有人“不惜血本”，用伪基站去薅羊毛。

这回被薅的家乐福。羊毛党背着伪基站进了卖场，开机后，就可以劫持附近用户的手机短信通道。简单来说，就是先获取附近用户的手机号码，再用手机号码去注册家乐福App；通过家乐福App，去抢各种满减券——甚至能抢到99-50、199-100的大额券。

羊毛党薅到券后，一般在电商平台上出手。由于几乎不存在任何成本，羊毛党愿意以极地的折扣向买家销售，即使打5折也非常有利可图。贪便宜的买家，自然也不会仔细核实这些券的来源。

家乐福的运营者很难发觉此时遭遇的损失。从后端来看，全部是正常的号码、正常的用户行为，和过去利用注册机或非法取得的个人信息来薅羊毛完全不同，以往记录、限制恶意账号的防范措施基本失效。

家乐福也因此收到很多用户的投诉，从来没有注册过家乐福，就收到了家乐福的下单通知和派单通知。由此反推，发现羊毛党用上了羊毛黑产的手段。

“这是目前最大的（羊毛党）挑战。”腾讯云安全系统这样评价它的威胁。目前看来，做好从账号注册到下单的全程记录，并比对手机基站的信息甚至设备ID信息，将客户端和云服务相结合才能有效防护。

好消息是，羊毛党们的能钻的制度空子也在收紧。

羊毛党的“战果”清单

中国裁判文书网2019年公布的一起判决中，羊毛党们被认定为侵犯公民个人信息和诈骗。几个被告分工明确，发放公民信息、联系电话卡商、计算员工薅羊毛的“绩效”都有专人负责。

3个月左右，他们就薅到了包括10269张爱奇艺月卡、1612张优酷月卡、701个星巴克中杯等“高价值”券，甚至还有一百多个薯条鸡翅。

互联网行业与羊毛党的战争还将持续下去。只要营销活动还在，就少不了挑战规则漏洞的投机者。互联网公司需要做的，除了亡羊补牢，还必须争取“道高一丈”，把安全措施做到羊毛党的前面。