1月20日凌晨的拼多多事件，这几日刷爆了各大平台。一个推广活动的设计漏洞，让拼多多一夜间损失近千万元。

我们简单地回顾一下事件始末：

据了解，无门槛优惠券从20日0点开始发放，1个小时内，黑产们闻风而来，开始了长达6个小时的疯狂刷单。早上9点左右，拼多多下架该券，并将已领取在用户卡券包的券码作废，随后开始“追回止损”的阶段。但此时，黑产这一顿猛操作已经给拼多多造成近千万元的经济损失。

有媒体获悉，该漏洞的原因并非系统升级导致的bug，而是一个已过期的优惠券漏洞，引发了一场羊毛党的“狂欢”。

目前看来，系统运维工程师背了最大的锅：

有网友调侃杀1个程序员祭天已然不够：

事实上，类似这次拼多多的薅羊毛事件，近几年时有发生

支付宝双十二推出的“10亿红包瓜分活动”，单个用户竟获取上百万红包金额;

小米旗下电商优惠券遭刷单，损失近5000万;

天猫平台“生日礼包”被薅羊毛，假刷单14亿元获取7亿多积分，损失671万余元;

星巴克APP注册新人礼遭刷单，黑灰产虚假注册量达到40W，星巴克紧急叫停活动......

层出不穷的“薅羊毛”事件，让企业蒙受巨大损失，尤其在互联网市场的线上营销活动中，这类事件发生的概率更大，商家想做推广却又担心被“羊毛党”盯上，一旦上线，技术部更是胆战心惊。有业内人事称，市场运营活动，大约30%~60%会进入黑产的口袋。

面对薅羊毛事件，商家真的只能被动挨打吗?

其实不然，信息技术是黑产们的矛，也可以是我们的盾。

技术还原“薅羊毛”是如何操作的

首先，让我们来看一下薅羊毛这条完整的黑灰产业链是如何运作的。安恒信息AiLPHA大数据实验室安全专家分析，薅羊毛的消息，常常来自内部开发者或者一些定期扫描类型的工具，再通过QQ群、微信群等社交软件进行快速传播。羊毛党会通过半自动化或者自动化脚本，快速注册新账号，进行薅羊毛行为。

给企业们的一些建议

AiLPHA大数据分析师Bo认为：造成这种事件发生的主要原因有：

1.企业安全意识不到位;

2.缺乏相应的技术检测预警机制;

3.没有采用类似智能分析算法等新技术。

AiLPHA大数据实验室通过实际客户案例提出几点建议，避免拼多多类似事件再次发生。

1.加强内部管理，提高安全意识。

2.在预防阶段，可以通过AiLPHA大数据分析平台查找出定期恶意扫描行为，将这些IP加入防火墙策略，增加羊毛党IP池的成本。

3.在事件爆发阶段平台可以通过用户行为分析(UEBA)发现异常行为用户(刷单)，通过AI智能异常分析查找到异常流量。

4.在活动发布前，将一些特定数据指标重点检测，例如：新注册账号数突然增加、购买IP持续在线、大量订单收获地址固定、某几个手机号、QQ号交易剧增等。

5.通过平台一键阻断功能，将羊毛党IP快速切断。(手机APP就能进行预警阻断)

6.在事件发生后，通过溯源机制对事件来源IP进行取证，协助公安机关破案。

技术手段如何帮助快速识别阻断

AiLPHA大数据分析师Bo介绍，活动上线后数据流量巨大，单靠人工监测往往不能及时识别和发现恶意刷单行为，建议借助技术工具辅助监测和识别。主要监测某几项关键数据的异常变化，例如：新注册账号数突然增加、购买IP持续在线、大量订单收获地址固定、某几个手机号、QQ号交易剧增。当这些关键数据变化发生异常，或者说超过正常注册购买行为的频度时，判定为疑似恶意刷单行为，及时提醒技术人员关注和阻断操作。

例如在这次拼多多的事件中，分析团队初步推测这次事件是通过扫描类型设备发现，自动化脚本新建账号刷QB或者话费。从网络安全角度来看，公司内部的防范意识有待提高。此外，哪怕真的出现了薅羊毛事件，从某些程度上来说，也是有迹可循的，在发现一些迹象后，及时止损，不至于在一夜间，就损失几千万。

金融行业用户的成功经验

在安恒信息为某城商行用户建设的数据安全保护项目中，就曾遇到类似场景，用户在发布运营活动前进行了关键信息的AI智能分析配置，通过AI智能分析大屏，及时发现活动发布后某一时间新注册账号突然剧增，安恒应急团队快速响应，分析出多个黑产IP并告知客户及时冻结账号封锁IP，及时止损并且保障了该运营活动顺利进行。

图注某城商行用户利用AI智能分析大屏监测恶意刷单

附：

近两年大型薅羊毛事件盘点

事件一：2017年双十二支付宝事件

2017年双十二前，支付宝推出了“邀请瓜分10亿红包”活动，结果被羊毛党盯上了。在网上流传的截图中，有的支付宝用户在短时间内获取了137.8万元红包，有的获取了52.5万元的红包，同时显示还有10万+个红包在来的路上。后续，支付宝陆续处理了800多个这样的账户，至于是否会取消这些账户获得的这些钱，支付宝表示，他们不会这么做。

事件二：2018年4月小米事件

2018年4月，小米旗下电商——米家有品出现漏洞，有用户以0.01元的价格购买到了原价为599元的无线手持电动擦地机，有用户更是连续下单几十次，花费不到1元。对此，小米表示，“原有价格无法发货，将取消订单，并赠送20元仅第三方可用的优惠券作为补偿”。

事件三：2018年7月天猫事件

2018年7月，江阴公安接到了天猫线索反映：有一拨“羊毛党”，正在设立网站、微信公众号、组建QQ群，他们的资金账户有大量异常入账，十分可疑。经过调查发现，这伙人不但自己 “薅羊毛”，还专业教别人“怎么薅”。此前，天猫商城曾针对会员推出返还双倍积分的“生日礼包”，不法分子冒充10万多个天猫商城会员，假刷单14亿元获取7亿多积分，骗取天猫671万余元。最终，该团伙8人被以诈骗罪判处12年6个月至8年不等的刑罚。

事件四：2018年11月东航事件

11月17日零点左右，东方航空官网售票系统在进行价格维护时，出现参数异常。这个bug使得东航部分机票出现超低价，甚至出现头等舱机票只需几十元的情况。众多羊毛党纷纷“抢占机遇”迅速下单。当天中午，东航公告，支付成功并已出票旅客全部有效。

事件五：2018年圣诞节星巴克事件

2018年圣诞节来临之际，星巴克想搭乘圣诞节，开启上线的“星巴克APP注册新人礼”营销活动，新注册账号免费送一杯。但此项“福利”并未持续很久。许多试图“薅羊毛”的用户，很快发现官方APP无法登陆，星巴克这波操作，随后突然被官方叫停，宣传全部下线，全门店赠送活动紧急叫停。后续统计，黑灰产虚假注册量已达到40W。