今天很多人的朋友圈都被「拼多多现重大 BUG 被薅羊毛 200 亿」刷屏了吧,原本这周的文章就是准备写薅羊毛的,这下还顺带蹭个热点,最关键的是这个 BUG 我也撸了一千多,一大早起来心情就很美。
关于拼多多这次的 BUG 过程网上有很详细的经过了,大概就是凌晨三点大牛们就已经发现了,然后有的撸了几十万的 Q 币怕被追责,所以在早上八点的时候放出消息给散户来分担风险,九点多拼多多员工上班十点左右修复漏洞。我早上九点半醒来看到消息,立刻打电话通知家人,女友通知了闺蜜,加起来撸了近两千,不过平均也就一人一百多,据有人问了拼多多内部人员也就损失一个亿,所以媒体的标题看看就行了。
我之前发表过一篇文章(在文章底部可以查看),我两个月左右前加入了一个羊毛群,平时所知道的羊毛消息在羊毛界被称为「线报」,一般人拿到一个线报正常反应都是自己先撸,自己撸完了才抽空分享给别人,所以一个线报层层传递到我们普通人手里基本上离黄不远了,因此线报本身就是一种资源,能够越早接触得利越多。
羊毛界有这么一句话:先来的吃肉,后来的喝汤,晚到的被反撸,很形象的说明了线报对于薅羊毛的重要性。
据说拼多多已经报案了,所有的实物商品都已经冻结退款,无法发货,拥有的优惠券全部收回。大佬们都不会购买实物,都是购买的虚拟物品然后变现隐匿了,普通人不知道所以才会购买实物,网上流传的图有人充了七千多的话费,据说手机号的话费在销号的时候会当场返还的。网上的 Q币 代买王者皮肤、代充也掀起了一波浪潮。所以说拿到手里的才是最踏实的,我让我弟充话费,他非要买羽绒服现在已经退款了。
看看网上部分流传出来的图片:
image image image拼多多负责这个活动的人员肯定今年是没法过个好年的,年终肯定是没了的,都发给广大羊毛党了。拼多多的事情就说到这,接下来说我原本准备写的内容。
先说一下作为程序员在了解薅羊毛过程中的一点感想吧。
第一,往往用户比开发者更了解一个产品
开发这个产品的人往往只考虑如何实现功能,如何提高程序性能等技术相关的东西,而用户是每天使用这个产品的人,对于这个产品能做什么往往比开发者有更广泛的思路和更深入的认识。
第二,懂技术的人往往为技术所误,容易陷入思维误区
这里我举个栗子,上个月中国联通有一个年终活动,邀请用户登录联通客户端即可获得助力,助力人数达到一定数量可以获得京东 E 卡兑换券在 1 月兑换。
这个活动在出来以后,就有了刷助力的脚本,这个脚本的实现很简单,就是调用一个 API 参数是通过枚举获得的手机号。也就是说联通服务端完全没有验证,客户端传递一个手机号,他就记录下来一次,而不判断这个手机号是否有效,是否有登录行为,以至于脚本只需要不到十秒就可以刷满。
后来联通发现了这个漏洞,给所有刷号的用户推送告诉他们领取的兑换券无效,本以为就黄了,结果到 1 月兑换的时候,又出现了「复活违规联通教程」。这个教程的原理是抓取了联通兑换的包,然后在违规账号模拟发包兑换,结果竟然成功了!!!现在手机应用里模拟发包很容易,稍微了解下就可以学会,这说明联通发现违规账号后,只是客户端做了屏蔽处理。
以上两次问题身为一个服务端程序员来说我完全无法想到会出现这样的低级失误,作为一个服务端,一直有一个准则就是不能信任客户端。结果联通这次活动完全信任客户端,所以说懂技术的往往容易套用自己的过往经验,反而陷入思维误区。今天我在一个产品群里就看到里面各种分析拼多多这次是故意营销的活动,这就是典型的当局者迷,整天分析营销看什么都是营销的思路,整天思考技术方案看什么都会从技术角度切入。
这篇文章的主题是羊毛党和商家的攻防战,多了解一下羊毛党的思路才能知道如何防范,毕竟如果因为你的一行代码造成公司经济损失,虽然可能不一定要你赔但是你的仕途可能就看到终点了。
在群里经常会看到这么一个现象,有个线报发出来了,下面一群人问:怎么操作啊?XXX 是什么啊?求大佬解释一下。下面以羊毛党和商家之间的攻防过程,科普一下羊毛党的一些思路和一些术语。
首先上面说了薅羊毛本身就是和商家抢时间,谁也不知道这个线报什么时候就黄了,别人肯把线报抽空分享出来就已经感激不尽了,还想着有人手把手教你,那就太天真了。我说下我学习的过程,有人说了我不知道的词,我会爬楼联系上下文猜一下大意,然后上百度搜索这个词,如果搜出来的还是不太清楚,就加上「薅羊毛」关键词。如果还不是很清楚就在闲聊的时候问群友,不打扰人家「赚钱」的时间,基本上第二次再遇到就能聊起来了,而那些一直在问的人第二次仍然在问。
从 APP 的注册邀请说起,一般商家都有拉新活动,通过拉新返利活动来增加用户。这里先科普三个概念:卡商、猫池和接码平台,卡商是指通过某种手段拥有大量手机号的人,这些人利用这些卡提供手机验证码服务;要使用手机卡,就需要设备,而即使使用双卡双待的手机设备成本也太高,所以市面上就出现了可以插几十张上百张手机卡的设备,这些设备叫做「猫池」;有了卡和设备,然后编写软件从猫池读取手机收到的验证码并显示出来,这个软件就叫做「接码软件」,提供软件的平台就叫做「接码平台」。
一般人看到拉新活动都是发到朋友圈、微信群,这种效率奇低,而且消耗自己的个人信用,基本上多发几次,你就被好友屏蔽朋友圈了。而羊毛党就找接码平台以一条短信一毛钱的成本,大量获取手机号和验证码通过自己的链接注册新用户,然后领取拉新奖励。
商家发现手机号这种不行,那么就加限制,我限制每个设备 ID 只能算一个有效用户。这肯定难不倒羊毛党,玩过游戏的都知道有种东西叫做模拟器,专门模拟一台设备,结合接码平台和模拟器多开就绕过了这个防守,就是流程复杂了一点。然而模拟器其实是可以检测出来的,所以有些安全性比较高的 APP 是禁止模拟器登录的,比如有些银行 APP 就无法使用模拟器登录,之前用过的联通刷助力的那个脚本也是无法在模拟器打开。到这里就比较佩服羊毛党了,模拟器无法用,但是这两年云技术的发展催生了一种产品叫做「云手机」,简单来说就是比模拟器更像真的手机,感兴趣的可以自己去百度,这里给个关键词:红手指。
作为公司的技术骨干,怎么能被这点手段打败呢,手机号可以变,设备可以变是吧,现在国家要求网络应用都要实名,你身份证号总没法变了吧,我加上身份证验证这下看你怎么变。这里要说明一下,国家法律明文规定买卖身份证信息是违法的,所以市面上不可能有像接码平台一样的身份证信息交易平台。也不要打这方面主意,那些在暗网上买卖酒店泄露数据、12306 泄露数据的行为都是违法的。那些专职薅羊毛的团队被称为「灰产从业者」,在灰产从业者的圈子里身份证信息被称为「料子」,所以如果你看到所谓的买卖料子,那都是违法的。也要加强对自身隐私的安全意识,比如每年春运都有很多人找黄牛买票,找黄牛就需要提供真实的身份证信息,那最后这些身份证信息去哪里了呢?所以当你某一天发现你的身份证注册了某些银行账户,有可能就是因为你的信息被交易了。
其实技术上的验证手段就那么多,技术上的验证肯定是无法完全过滤羊毛党的,因为本质上羊毛党提供的数据都是真实的数据,符合技术层面的有效用户,只是说不是我们的目标用户。所以最终还是要通过活动规则来过滤,比如必须绑定银行卡,银行卡预留手机号要和注册手机号一致才算满足条件。不过越复杂的规则对于用户的阻碍越大,所以这里商家会有自己的权衡,这让我想到了 12306 的验证码,最终阻碍的不是黄牛反而是真实的用户。
到这里就算完了吗?这才是开始,以上所说的都是手动操作,要知道上面的各个信息都是自己拼凑的,手动操作一个流程下来半小时就没了,我亲自操作过,任何一个环节都会影响到进度,手机号是否有效,计算机性能怎么样,模拟器是否卡顿等等。之前撸招商的拉新话费自己操作了一下接码平台四个小时撸了 80。
对于羊毛党来说最重要的是什么,是时间!商家随时都可能修复漏洞,即使不修复,像我上面这种时间成本和回报性价比太低,所以羊毛党最后都是利用脚本和自动化的软件来进行的。比如说 AWZ「爱伪装」可以一键新机,之前的招商拉新就需要不同设备,我用模拟器多开每次需要重新下载 APP,而如果用 AWZ 就只需要下载一次,然后一键新机效率会提高很多。所以专职的灰产从业者都是有技术团队的,商家和羊毛党的对抗最终是双方技术团队的对抗。
所以说作为普通羊毛党懂点技术能够提高效率,作为灰产从业者懂技术这是必备技能,作为打工族不仅要懂技术,还要懂得如何防范这些羊毛党。只有了解了对方的操作思路,才能有针对性的防患未然。就比如做游戏的技术就应该了解一下外挂是如何实现的,这有助于防范游戏经济系统受损。
虽然现在法律上由于代码 BUG 漏洞引起的经济损失,不由技术人员个人承担,但是随着科技的发展,技术的渗透越来越深,以后是否会发生变化也不一定,所以提升自己是最保险的。
看了这篇文章的就不要在后台再问我羊毛群了,因为知道了线报本身就是一种资源。
如果你觉得这篇文章对你有用,不妨给个「好看」,也可以赞赏鼓励一下。
文章出自公众号:「扉言飞语」
网友评论