創業者遭遇“羊毛黨”

藝曦

近幾年，O2O商業形式成主流，各O2O平臺為吸引用戶采用了“返利”“發紅包”等激勵措施。自2010年團購網站間的千團大戰，到2014年滴滴和快的之間的24億天價補貼大戰，再到最近共享單車的紅包大戰，“血本紅利”在激戰市場之余，也滋生了一批覬覦“紅包”的羊毛黨。他們通過手機黑卡四處薅羊毛，甚至薅到一些平臺陷入虧損境地。

羊毛黨的攻擊戰

2016年8月，某上市公司旗下的全資子公司要力推直播軟件，為激勵用戶注冊，推出了“現金獎勵”政策，但凡用戶在該直播平臺上注冊，且每天直播10分鐘，第一天獎勵30元，第二天30元，第三天還是30元，以后每天還有10元獎勵，并且第二天即可提現。如果直播獲取觀眾多，還有排位獎。

這滋生了一批“偷取紅利”的注冊用戶，他們用單個賬號主播，領取現金獎勵，再用無數的小號去刷禮物，兌換現金，粗略算下來，“偷紅利”的人一天可收入數萬甚至十幾萬元。

結果是，2016年底，據統計數字，該直播軟件的活躍用戶僅有112萬，與其投入的16億資金極其不成比例（凈虧損約10億元，該公司被ST），僅僅主播分成就達到了近14億，其中不知道有多少大都被“偷紅利者”偷走了。

當下，偷紅利者被稱為“羊毛黨”，他們的偷利行為被稱為“薅羊毛”，指的就是那些專門選擇互聯網公司的營銷活動，以低成本甚至零成本換取高額獎勵的人。他們專門盯著各種外賣APP、打車軟件之間的燒錢返利活動，甚至百度上有專門的“羊毛黨吧”，里面有羊頭來分派“薅羊毛”的任務。

如果你以為這些羊毛黨只是在網上偷取便宜的“小商販”，那你就大錯特錯了。國內的“羊毛黨”儼然已形成了利潤豐厚、組織嚴密、組織化程度極高的灰產組織。上到BAT，下到不知名互聯網公司，只要舉辦市場活動，都可能面臨羊毛黨的巨大威脅。甚至，羊毛黨有能力對投入十億級別、上市公司這樣的龐然大物發動攻擊。

進入2017年，羊毛黨們的新獵物就是共享單車。就在ofo正式推出紅包車活動沒幾天，一份“ofo紅包漏洞攻略技巧分享”就在網絡上刷屏：首先更新ofo到最新版本，root手機，安裝虛擬GPS地址的軟件。此類軟件網上一搜一大把，比如“微定位”“手機定位器”等。使用虛擬GPS地址的軟件，設置收據及所在GPS地址為紅包區域。然后打開ofo軟件，點擊使用單車，手工輸入已掌握的ofo編號，ofo軟件開始計時，提示該共享單車為紅包車。等待10分鐘后，設置手機GPS位置為500米以外，結束用車。最后點擊領取紅包。

這一秘籍利用了ofo小黃車本身不具備定位，而是根據手機GPS定位判斷用戶位置的“漏洞”，僅用虛擬GPS地址軟件，就欺騙系統用戶是進行了大于500米、超過10分鐘的騎行活動。也就是說，羊毛黨利用定位修改軟件和批量手機號軟件，足不出戶就做到騎行ofo小黃車并領取其派發的紅包。依照法律，羊毛黨的這種行為涉嫌詐騙。

“薅羊毛”的黑產業鏈

早期的“羊毛黨”們主要活躍在O2O平臺或電商平臺。隨著2015年互聯網金融的發展，一些網貸平臺為吸引投資者常推出一些收益豐厚的活動，如注冊認證獎勵、充值返現、投標返利等，互聯網金融成為“羊毛黨”們的“新獵物”。

2015年9月，廣東一P2P平臺下定決心徹查“羊毛黨”，請外部技術公司進行監測。在某一次促銷活動中，外部技術合作公司為其提供的數據顯示：參與促銷活動的客戶中，接近70%都是“羊毛黨”。

因為互聯網金融的促銷從幾十元到上百元不等，“羊毛黨”能賺取的利潤倍增，所以更愿意投入更加專業的設備。手機黑卡成為羊毛黨們的“秘密武器”。無論一個P2P平臺的風控體系如何完善，以手機號為“基石”的P2P注冊制也讓他更易受到攻擊，“羊毛黨”們愿意購買大量的廉價智能手機用于注冊賬戶，購買大量小額手機卡，通過貓池（GSMMODEM池，用于短信集群收發的專業設備）+自動化管理軟件成功實現短信批量接收驗證碼的功能。

由此，羊毛黨們到互聯網金融平臺大量的注冊新用戶，平臺的活動經費大量地落入羊毛黨的口袋中，活動的效果大打折扣，據威脅獵人CEO畢裕表示，目前在其手機黑號的數據庫中，大約有1億條左右的數據，其中80-90%是物聯網卡。這種卡月租極低，有的是零月租。可以以公司的名義批量購買和注冊，從而繞過了嚴格的手機卡實名。

除了大量的物聯網卡之外，還有少部分的實名卡和海外卡，這部分黑卡占到所有黑卡的大約10%。來自緬甸、越南、印尼、泰國等東南亞國家的手機卡開始流入國內手機黑卡產業。這些卡支持GSM網絡，進入國內后可以直接使用，無需實名認證。同時，這些手機卡基本是0月租，收短信免費，成本低，非常適合手機黑卡產業使用，且使用比例越來越高。

更可怕的是，有的P2P平臺與羊毛黨之間也存在“暗箱操作”的利益關系。為了吸引更多的用戶來到平臺，P2P領導私下與羊頭合作，這些領頭羊第一時間獲取羊毛信息，就通過QQ群、公眾號、個人網站廣布“紅利”信息。一來P2P網站獲得了用戶注冊流量，讓風投對他們的運營能力深信不疑，二來領頭羊就能賺到幾萬元甚至十幾萬元的“人頭費”。

惡果就是，大多數“羊毛黨”并不會真正轉化為平臺的客戶，在大量的補貼資金被羊毛黨們“薅”走之后，羊毛黨們撤退，僵尸賬號永遠不再活動，有的平臺直接就被薅羊毛薅到倒閉。

如何防范被“薅”？

今年來，“羊毛黨”引起監管機構的重視。早在9月30日，北京市互聯網金融行業協會就發布了《關于堅決打擊“羊毛黨”模式的通知》；接著10月14日，協會又發起成立了“打擊羊毛黨聯盟”。協會認為，此類行為不僅增加了網貸機構的運營成本，也會讓網貸機構受到流動性風險沖擊，要求各會員單位及個人如有類似合作要立即停止并整改，不支持違規機構申請備案。

當然，眾多P2P平臺也對羊毛黨們十分戒備。例如，某游戲充值類APP，剛拿到了一筆投資，想投幾百萬做活動，為了規避羊毛黨的攻擊，該游戲平臺的CEO和風險控制團隊仔細核算幾天后，拿出了活動方案：凡是新用戶注冊，可以得到標稱價值68元的大禮包，但實際上可兌換的硬通貨，是可以滿30減5元充話費，或者滿30元減5元買Q幣。

原本以為，每個用戶只給5元好處，而且需要手機號、身份證（人臉識別）、手機imei合一，這樣的風控，即使有漏洞，漏洞也不會很大吧。事實上，這個活動做了不到1周就無疾而終。根據該APP事先發布的新聞稿、投入的配套廣告資源等估算，此次損失應該在300萬以上。

單個新用戶5元，就值得羊毛黨去薅嗎？那個充值APP的風控團隊也許不知道，現在的黑產軍團已經不是過去那種：某某大佬養了10萬張卡，每張卡成本五六十元，每單至少要賺十幾元才有得賺。在互聯網上，有個叫“接碼平臺”，在這個平臺上，你只要提出需求，比如注冊餓了么賬戶，就有卡商滿足你。通常情況下，一條外賣賬戶的驗證短信，僅需要0.1-0.2元。假設羊毛黨小Q發現餓了么要舉辦新用戶滿20減16的活動，那他從接碼平臺買短信驗證碼，從Q群買銀行卡綁定信息，綜合成本大約在1-2元，而紅包的價格在8-9元之間。小Q的利潤每單在8元左右。如果小Q從接碼平臺買1萬個號，再花100-200元買個自動注冊機（專門定制的注冊機在500-1000元），一天之內，他就可以從餓了么獲取8萬元的利潤。

為此，專家建議，作為互聯網公司，在舉辦市場活動之前，應該從專業的黑產情報公司獲取手機黑號識別服務。在注冊或活動流程中接入審計策略，讓企業投入的經費能得到有效利用，并盡量減少因黑卡產業帶來的損失。