听说还有2周就到双十一了，呵呵，不知道今年又有多少无知少年少女要栽在马霸霸手里啊！

回想去年双十一，小象我卯足了劲去血拼，从九月开始就不吃肉！信用卡也不乱刷！连头发都没去剪过！只为了两个字：5折！朋友们，5折+红包+优惠券=不要钱啊！为了在血拼大军中杀出一条血路，我还做了一个这样的文件夹：

过双11，小象必须是认真的！

10号中午，小象一个劲地对着购物车傻乐，嘿嘿嘿：COCO、小黑瓶、小棕瓶、SK-II、海蓝之谜、Dyson、电暖炉、牛肉干……麻麻，今晚就带你们回家！下班回家，小象一边刷着双十一看看有什么漏网之鱼，一边等待着最后的秒杀时间。

23:59！闹铃响了！

小象握着鼠标的手都在颤抖！

23:59:01

23:59:03

23:59:06

…

00:00！！！

emmmmmm ?????? 

excuse me??????

再点！ 

 等小象再次刷新进去的时侯
三分之二的产品都：已！售！罄！已！售！罄！

身为运营人的小象，而且是一枚从事安全行业的小象，一眼察觉到它的不对！ 

“已售罄”是每年“双十一”期间众多消费者遇到的问题之一。除了“已售罄”问题，消费者还会遇到“打不开”的问题——用户瞬间涌入，电商平台瞬时负载过大，于是出现“打不开”。前者是业务安全问题，后者是网络安全问题。

今天，我们要说的就是“已售罄”的问题。“已售罄”主要是遭遇到了羊毛党。他们通过各种技术手段，将原本属于正常用户的优惠福利、特价商品等一一扫光。当消费者到了预定时间去购买、点击原本加入购物车、收藏夹的商品时却发现“已售罄”。

“双十一”是剁手党的消费盛宴，也是黑灰产的牟利的饕餮盛宴。

羊毛党抢优惠券、秒杀特价商品、虚假用户注册等行为，不仅损害了消费者合法利益，更给企业带来诸多潜在的数据泄露风险，给消费者、商家、电商平台带来重大的经济损失。数据统计，电商企业70%~80%的营销费用会被羊毛党等黑灰产吞噬，每年造成千亿损失。

什么是羊毛党？

羊毛党，一群热衷于各种营销活动（包括但不限于满减、返现、抽奖、优惠券等活动），以低成本甚至零成本换取高额奖励的人，而他们的这些高强度无下限获取优惠福利的行为，则被称为“薅羊毛”。

羊毛党起源于线下，兴盛于移动互联网。随着移动支付的普及，O2O、互联网金融的出现，给用户带来良好体验的同时，也成为羊毛党牟利的手段。推广红包、优惠券、免单券、无门槛的加息券、返利券、现金和丰厚推广资金吸引了大批参与者，一部分人开始利用社群社区有组织、有计划的薅羊毛，并创造出更多薅羊毛的方法和工具，并呈现职业化、团伙化特征，形成了信息倒卖、工具制作、攻击实施、商品转售的完整产业链条。

今年1月，羊毛党又利用电商平台拼多多“无门槛100元券”存在的BUG薅羊毛，导致拼多多巨额资金损失；去年12月，星巴克上线“星巴克App注册新人礼”营销活动，遭受黑灰产羊毛党大规模攻击，导致星巴克的营销活动两天即停止。

羊毛党的作业链及“薅羊毛”步骤 

羊毛党是如何通过“薅羊毛”的实现套现的呢？其实方式有很多，比如利用特殊途径获取帐号，再整批倒卖给下游刷单集团应用最终实现套现；还有利用刷单和发空包（假购物）手法套现或赚取虚拟货币或运费保险等。

羊毛党背后的黑产组织严密，上下游分工明晰，他们还从越南、柬埔寨等手机实名注册管控不严格的地方获得大量手机号，攻破电商平台防御完成注册，并通过盗取优惠券获得利润。 

羊毛党是如何发动“双十一”攻击？ 

首先，羊毛党会有专人在各个电商平台、社群搜集优惠、促销、折扣、积分信息的汇总和梳理。

其次，羊毛党通过熟悉活动流程，分析活动或业务存在的漏洞，进而破解业务逻辑，测试出能够进行批量操作的薅羊毛方案。

然后，羊毛党准备各类工具和资料，如从卡商、黑市购买租赁手机号、身份信息等数据，编写修改自动化注册软件。

最后，注册账号薅羊毛，通过自动化的注册软件、接码平台、群控工具等，进行虚假账户的批量注册，并迅速领取优惠券。 

羊毛党的五大特征 

根据羊毛党攻击步骤可以看到，薅羊毛关键动作有三个：注册、登录、抢购。这就需要实时识别批量注册的虚假账号，有效阻止拦截虚假账号登录领取优惠券。

顶象在长期与羊毛党的攻防中，总结出了羊毛党虚假账号的几个特征： 

1、注册IP地址高度统一：正常用户来自五湖四海，注册的IP地址各不相同；而羊毛党的注册设备和软件通常使用同一个宽带链接网络，注册和登录平台的IP地址基本固定，或来自于同一批代理IP。

2、注册时间多集中非业务时间段：正常用户一般是在正常作息时间内注册，一旦出现问题可以及时联系工作人员解决。而羊毛党则喜欢在休息时间段注册，此时系统监控会放松。当羊毛党大量注册时，密集的批量注册会占用平台带宽或接口。

3、账号注册的行为过于流畅：正常用户注册时，要人工输入用户名、密码、手机号，收到验证码后还要再次手动输入，整个过程不规律且有一定延迟，而且注册中可能会因为不熟悉规则或因为其他事情而耽搁中止；羊毛党使用自动化的程序进行注册账户，流程化作业如行云流水一气呵成，速度和节奏上是人工速度的数倍。

4、设备特征24小时无变化：正常用户注册登录时，可能坐在椅子上、躺在床上、坐在车上，手机会根据动作进行不同角度的调整，手机的水平高度也会不停的调整；羊毛党是使用软件操控批量设备，这些设备大多是放置在不同机架上，24小时保持角度和水平线无变化。

5、羊毛党操控的手机型号比较单一：羊毛党为了牟利，降低设备投入成本是实现利润最大化的措施之一，因此价格低廉的手机或者二手手机是他们使用的主要手机设备。 

羊毛党笼罩下的悲催运营人 

羊毛党大批量伪装注册用户并模拟正常用户的行为，不仅会影响电商平台对活动力度及备货量的判断，造成库存积。恶意刷单还将致使产品下架，导致正常用户无法购买，企业设计活动之初的拉新目的，也被羊毛党彻底打乱，增加企业的运营成本，尤其身为运营的小象，曾经无数次听到运营人员抱怨，活动做了一大堆，优惠力度给的够够的！KPI、GMV没完成！还引来一堆用户投诉！投诉！投诉，你体会到嘛？我大吐血的给你们谋福利，引来一群用户投诉。 

此外，羊毛党的行为不仅会导致企业的营销活动不能有效刺激目标用户，大规模的机器下单，还会对网站的流量带来压力，产生类似DDoS攻击，甚至能够造成网站瘫痪，造成企业用户数据丢失，引起被恶意勒索威胁的风险。

面对“专业过硬”的羊毛军团，为了保障广大电商企业的“双十一”业务安全，顶象第三次启动“护航双十一，助力电商安全”。

这也是继2017年“斥资2000万元，护航百家电商”、2018年“顶象护航双十一，助力新零售业务安全”计划后，再度启动的专项服务活动。

即日起至11月15日，接入并使用Dinsight实时风控引擎SaaS版的客户，均可享受6个月免费 的SaaS版使用权，参加该活动的电商企业，将在“双11”期间免费拥有VIP尊贵级别的风控安全体系。 

活动地址： https://www.dingxiang-inc.com/blog/post/272