黑产“薅羊毛”盯上车企营销活动，如何驱逐羊毛党？

原创 威胁猎人 威胁猎人Threat Hunter

汽车市场风起云涌，车企“营销战役”悄然打响。

在同质化的竞争中，降价潮和不断内卷的价格战，让汽车市场的观望情绪走高。

“拉新/积分换礼”、“试驾有礼”等营销活动能有效地将站在门外观望的用户“请”到车里，既能吸引新用户、提升品牌好感度，又能为汽车品牌提供有价值的反馈。

但是，盯着这份福利的不只是购车用户，还有黑产。一不小心，拉新活动的预算就会被黑产薅走，“战役”还未开始，“粮草”就已流失。

对车企而言，精细策划并发布一个活动，却意外招来大批非目标用户，不仅让营销活动的策划及投入付之一炬，也使得真实用户的权益受到挤压，背离了营销活动的初衷。

正因为此，羊毛党已成为诸多企业的“心头大患”，车企被薅羊毛的案例屡见报端。

车企营销活动频繁成为黑产“伏击点”

近期车企营销活动攻击事件频发，仅威胁猎人监测到的多个车企营销活动攻击事件中，营销损失从数万至数十万不等。

经威胁猎人研究分析发现，黑产攻击团伙掌握移动设备、手机账号等各类资源，通过大量账号配合自动化工具，迅速采集小额优惠并获利。

「具体攻击方式」

1）利用接码平台提供的手机号接收短信，批量注册车企APP账号；

2）参与车企APP上或小程序上的营销活动，完成活动指定任务；

3）获取活动积分、金币等奖励，并进行套现。

同时，黑产手法更加隐蔽、自动化，可以模拟正常用户的行为、设备、身份等特征，通过丰富IP、使用设备root、手机群控等手段，绕过车企现有安全风控机制，让企业防不胜防。

案例一：

今年2月，某知名汽车品牌推出的邀请拉新活动遭遇大量黑产攻击，威胁猎人情报平台监测到针对该汽车APP的营销欺诈信息和教程在社交群聊中传播。

注：图为“针对该汽车品牌的黑产攻击教程”

攻击者利用接码平台提供的大量手机号接收短信，并将该手机号用于该汽车APP账号注册，仅威胁猎人情报平台监测发现，2月份黑产使用号码超过4000个。

目前，黑产通过自动化攻击工具，实现自动化接码、邀请拉新、获取奖励等，极大提高黑产攻击效率。基于监测数据及活动信息预估，仅2月份全网损耗营销资金数十万元。

注：图为“黑产自动化攻击工具”

案例二：

2月，另一知名汽车品牌推出的试驾送礼活动也同样遭遇了大量黑产攻击。威胁猎人情报平台监测到，黑产团伙批量注册大量该汽车品牌APP的虚假账号，线上报名参加试驾活动，线下核销试驾券从而薅取大量会员礼品。

经统计分析发现，针对该汽车品牌试驾送礼活动的作恶手机号达到近千个，目前该黑产攻击呈现持续活跃趋势，对该汽车品牌的营销活动带来较大经济损失及品牌影响。

注：作恶手机号接收到的用于虚假注册的短信记录

对企业而言，精心筹备的营销活动一旦被羊毛党盯上，就有可能造成极大的营销损失，企业如何有效地预防这类事件发生？

从源头摸清黑产动向，让“羊毛党”无处遁形

“羊毛党”之所以如此肆虐，是因为他们利用了海量黑产资源发动自动化攻击，例如利用大量手机号资源，IP资源进行攻击变现。

通过伪装，平台无法区分手机号、IP背后的用户是真实用户还是虚假用户，传统的安全防御机制很难奏效。

某电商平台“拉新”活动攻击案例：

威胁猎人曾基于情报平台监测到，国内某电商平台在一次“拉新”活动上，由于基础风控不完善，遭受黑产攻击。

据后续新闻报道，两个前员工在短短一个月就薅取了45万元，其他黑产造成的损失可想而知。经研究分析发现，这两名前员工因熟知平台的优惠活动，便利用平台的优惠活动牟利。

其作恶手法为：

（1）利用非法手段获取大量手机号码并注册新用户；

（2）领取新用户优惠券，同时通过拉新新用户再次获取优惠券；

（3）使用优惠券低价购买商品；

（4）把商品转卖至小超市，实现每单至少30元的获利。

两名攻击者属于虚假注册账号，恶意领取优惠，故最后涉嫌诈骗罪，被警方抓捕。

针对屡禁不止的薅羊毛行为，基于黑产情报建立安全风控体系，才能从根本上摸清黑产行径、保障业务安全。

其中，构建黑产资源画像库是一种有效的防御方法，比如：手机号风险画像、IP风险画像。它们能有效识别羊毛党、黄牛党，防御营销欺诈行为，同时结合设备风险识别、黑产情报追踪，在业务场景全流程布控，防薅羊毛、防秒杀，有效实现真实用户增长。

1.手机号风险画像

目前黑产获取注册手机号这一攻击资源的途径主要是接码平台及群接码，通过在营销活动中接入手机号画像产品，可以基于手机号风险标签快速识别风险手机号。

同时，根据高、中、低风险程度及时采取相应的风控手段：如直接拒绝注册、允许注册但不发放活动奖励等，避免营销活动被恶意利用。

2.IP风险画像

黑产在作恶工具中集成了代理IP接口，此时可以通过接入IP画像产品，快速识别IP状态，并通过黑产IP的全生命周期评分模型，实时判定IP风险等级，根据风险值来灵活制定业务规则，可以有效控制作弊行为，同时尽可能减少对正常用户的误杀。

此外，企业还需对黑灰产传播的攻击情报进行持续监测，及时捕获与自身相关的风险情况，并基于攻击情报分析黑灰产攻击手法，优化自身风控规则。

面对技术分工明确又配合严密的黑产团伙，企业可以从情报维度全面监测，从账号、IP、设备以及用户行为事件等多个维度，精准识别涉嫌薅羊毛的行为，及早及时进行针对性防御，将风险扼杀于萌芽。

2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”。

原标题：《黑产“薅羊毛”盯上车企营销活动，如何驱逐羊毛党？》

阅读原文

（题图来源：视觉中国）