“再来一瓶”背地的快消黑产攻防战

题图来自：视觉中国

翻开瓶盖，再来一瓶，在过去很长一段时间，拿着瓶盖去小卖部兑饮料，构成了我们对饮料行业促销手腕的悉数印象。

2015年最先，弄法最先有了些变化。因为用户兑换、厂商物流的本钱高，作假难辨认等题目，许多品牌最先摒弃“再来一瓶”如许传统的体式格局，逐步将营销向线上迁徙。

瓶盖上的“再来一瓶”悄悄变成了二维码，扫码领红包的新弄法最先在快消行业盛行起来。那里有促销，那里就有羊毛党，伴随着营销体式格局往线上的迁徙，羊毛党也嗅着好处的滋味紧跟而来。

从“再来一瓶”到“扫码领红包”

“再来一瓶”这类形式最早是由康师傅提出的，以后一切的饮料厂商险些都效仿了这一体式格局，直到2015年，许多饮料临盆企业最先发明，这一形式愈来愈难以为继。

一来这类促销形式单一且不天真，二来围绕着“再来一瓶”羊毛党们逐步生长起了一整套的产业链，有人去成品站接纳瓶盖，有人特地担任开模。简朴粗犷的体式格局是直接仿制瓶盖，晋级的手腕则是将接纳回来的“感谢品味”改成“再来一瓶”，不停扩大的丧失，让饮料厂商们被迫求变，东鹏特饮就是个中之一。

作为深圳的一家老字号饮料临盆企业，东鹏特饮在2015年之前也一向采纳“再来一瓶”的促销体式格局，在最严峻的时刻，羊毛党曾给东鹏特饮带来几万万的丧失，这让东鹏特饮不能不钻营营销体式格局的转型。

2015年前后，微信生态内的种种功用效劳日渐完全，基于微信扫码领红包的体式格局最先在营销圈散布开来，这让受假瓶盖题目搅扰已久的东鹏特饮看到了新的方向，最先探究数字化的促销手腕。

2015年8月，东鹏特饮正式上线了扫码领红包的促销运动，消费者扫一下瓶盖上的二维码，就可以取得现金红包，红包金额从2.8元到888元不等。运动一上线就吸收了单天150万摆布的消费者介入，在最高峰的时刻，单天介入人数可以到达近200多万。

而嗅觉灵敏的羊毛党们也很快就嗅到了好处的滋味，紧跟而来。东鹏特饮手艺担任人董文波通知钛媒体，在运动上线后，团队在对扫码纪录做剖析后，发明存在许多异常。比方会涌现统一个ID号，在短时间内涌现异常大批的扫码行动。

这让东鹏特饮意想到，本身再次被黑产盯上了，依据手艺团队当时的预算，有靠近5%的红包的都是被羊毛党薅走。但事实上，实际的状况要比这更糟，在把全部数据跑出来以后发明，事实上被羊毛党薅掉的金额已高达8%-10%，这个数据来自于腾讯平安旗下的产品——腾讯平安天御。

瓶盖码背地的羊毛党江湖

天御是腾讯将其多年来黑产攻防履历产品化后的产品，重要为平台和品牌供应智能风控效劳，协助他们在营销风控、金融风控、内容平安等范畴防备敲诈辨认风险。

东鹏特饮在2016年引入了这套产品，事实上在引入天御之前，东鹏特饮就已将效劳器迁到了腾讯云，别的，其在数字化的系统革新历程当中，腾讯也介入了许多，包含派架构师与东鹏的团队一同做最早的架构计划。

谈及为何与腾讯走的云云近，董文波坦言，线下现在仍然是东鹏最大的营业泉源，而腾讯在交际方面的资本，是东鹏很是注重的。“我们快销行业的这个电商的这类占比是太低了，占我们整体营业额比重很低，所以这个也是为何我们跟腾讯走的比较近的一个缘由。”

在2016年之前，东鹏还没有现在这个50多人的IT团队，许多相干事情都是外包给外部的团队，而生长到本日，公司IT团队的大部分职员照样在重要处置数字营销工。，靠本身组建团队，去做大规模的安防手艺开发与庇护，关于一家做快消的公司来讲并不实际，手艺和投入都是很高的门坎。

而基于之前的一系列协作，东鹏厥后在得知天御这套产品后，两边水到渠成就继承在安防方面杀青协作。来自东鹏特饮的数据显现，在接入腾讯天御后，黑产形成的丧失比例被控制在了1%之内，从8%-10%到1%，这为东鹏特饮挽回的营销丧失是庞大的，均匀每一年为东鹏特饮节约3000万营销用度。

直接看数据会有更直观的感知，2015年刚刚最先试水扫码领红包的东鹏特饮投入了一千多万元的资金，随后在看到营销结果后不停加码，从2015年到现在，东鹏特饮已累计为用户送出了凌驾15亿个现金红包。

详细而言，天御重要从装备、行动、网络三个层面去对营销运动天生庇护系统。

个中，装备风险辨认指对虚拟机、装备农场等风险装备等举行辨认，发明敲诈装备；行动风险辨认指可以辨认机械注册、机械养号、撞库总计、帐号盗用、题目渠道、薅羊毛等风险操纵和风险行动；网络风险辨认指学问图谱对敲诈团队、高危群体举行辨认。

这背地对应着的，是瓶盖码背地的一整条薅羊毛产业链。

线上与线下配协作战，是快消行业黑产区分与其他行业的最大处所，围绕着瓶盖码，羊毛党现在已形成了瓶盖网络、分发、兑奖、变现一套完全的产业链。

散布在全国各地的成品站是这条产业链的最上游，事实上，一切的营销运动都有一个介入率的题目，也就是说，不是一切人都邑在翻开瓶盖后去扫一扫。依据东鹏特饮的统计，扫码领红包的介入率平常在60%摆布，最高的时刻为67%，也就是说有凌驾30%的瓶盖实际上是被消费者丢掉了。

抛弃掉的瓶盖被黑产们经由历程各地的成品接纳站接纳归去，再用专业的扫码枪去把这些码转化成url链接，然后再经由历程种种线上平台分发出去。

另有一种猎取码的体式格局是被泄漏的IP码包，2015岁尾东鹏特饮就涌现过一次因为内部平安管控失误形成的码包泄漏，这在当时形成了近乎灾难性的效果。

许多消费者再开盖扫码发明该二维码已被运用，批量的码包被黑产经由历程上述的要领大规模分发。东鹏当时相识到的状况是，有几万个号码在不停的举行刷红包操纵。

被转化后的url链接，会经由历程各大平台售卖赢利，分发渠道重要包含交际群、交际媒体另有一些黑产自建的信息网站。依据品牌、可用率、中奖几率、红包力度的差别，差别品牌的瓶盖会在平台贴出差别的报价，在几毛钱不等。

在规模化生意业务之下，羊毛党们可以取得非常可观的收入，来自腾讯平安猎取的信息显现，以某品牌功用性饮料为例，分发平台针对此瓶盖码的单日收入可高达60万元。

购置这些瓶盖码的有专业的团伙也有零碎的散客，个中以散客占多数，占比凌驾85%，而这类羊毛党则恰恰是当下最难袭击的一部分。帐号来自天涯海角，不在统一台装备上，IP地点也不一样，被假装的与一般用户无异的羊毛党大大进步的攻防的难度。

两种思绪三道防地

从把一个羊头抓出来，到疏散匹敌万万个小羊毛党，腾讯平安高等产品司理闫阳坦言，这个匹敌历程确切异常痛楚。但羊毛党作歹的不停进化也反过来推进了匹敌手腕的不停晋级，腾讯天御在这个历程当中逐步形成了两条匹敌思绪。

一来是应用已有的风控模子和履历往来来往做匹敌。从文娱到交际，触及几百项营业的腾讯，一向都身处黑产匹敌的第一线，腾讯在营业上的广度和深度，是天御可以建立起一套成系统的风控模子的基本。

“在这20年之间我们积累了异常丰富的风控模子和手腕，关于什么样的行动，什么样的参数，什么样的环境，许多都是有关联性的，我们这边是用异常多的模子往来来往做辨认和鉴别的，这是许多厂商所不具备的履历，只要晓得黑产怎样玩我才晓得怎样匹敌。” 闫阳如是说。

二来匹敌零星的小羊毛党，则重要经由历程基于动态关联评价的黑名单同享机制下的联防联控。

事实上，许多零星的小羊毛党都并不是玩票的一般消费者，而是会频仍的介入到种种品牌运动中的“常客”，所以经由历程对扫码行动的监测和差别品牌间黑产数据的动态关联剖析，就能将很大一部分小羊毛党辨认出来。

举例来讲，扫码行动都是发作在腾讯生态下，所以每发作一次行动触点腾讯就会有一次感知，而频仍的抽奖行动每每对应着风险。

同时，一批黑产每每涌现在多个品牌的营销运动中，现在腾讯天御在快消范畴接入的知名品牌上已凌驾30家，积累了大批的歹意黑产样本，品牌间的黑名单动态关联剖析可以协助相互躲避许多风险。

在详细的操纵上，天御重要经由历程三道防地来协助品牌辨认风险。据腾讯防水墙平安专家引见，第一道防地是从营销的终究节点C端客户动手，天御会经由历程腾讯交际网络的黑灰产数据，去推断用户是否是羊毛党，然后给出一个风险值。

关于腾讯没有的一些黑产数据，包含一些异常数据，则会由协作伙伴供应，天御在对外输出风控接口的同时，也会取得品牌返回的题目数据，经由历程行业间联防联控，可以进步黑产辨认的成功率。

第三道防地被安排在越发靠前的节点——码的环节。黑产在网络完二维码后，会经由历程一系列行动去对码做考证，也就是推断这个码有无被用过，这一环节被称作“洗码”，而在这个环节黑产就已会留下一些千丝万缕。

为了在码的维度进步抗风险才能，天御会与一些码商举行协作，介入到从制码到扫码，到终究领奖的全部环节，从过去的单点防控，到与全部营销的每个环节逐步互通。

但纵然在云云的网罗密布下，黑产的攻防却永远是现在举行时。受好处使令的黑产一直有绵绵不停的动力去不停开辟新手腕作歹，这不免让黑产攻防堕入一种不对称的状况。

在闫阳看来，攻和防的实质在于进步敌手的作歹本钱，让他望而生畏。“平安从来没有百分之百，我们要做的就是不停的举高他的门坎，有一天他发明本钱是愈来愈高，没有钱可赚了，天然就不会去骚扰品牌了。

别的，全部行业在数据互通同享上的缺点也是限制黑产攻防往前更进一步的缘由。在全部黑产链条上，会触及到品牌、运营商、生意业务付出、搜刮、银行等诸多节点。而人人相互间的数据是不同享，这就形成了一个个数据孤岛。

“如果说我们全部行业有一个互联互通的黑产数据同享平台，这时刻实在暴徒不论去那里，都属于过街老鼠，一会儿就会被辨认出来，如许对我们的全部行业，是会有异常大的协助的。”腾讯防水墙平安专家说道。

而与许多行业面对的题目一样，这类数据上的互通同享很难经由历程单个企业去推进，企业一方面会忧郁本身的数据平安题目，另一方面也会挂念协作的平正性题目，所以限制互通同享的中心在于，没有一个比较好的机制去确保各方好处的关注点。