網絡“羊毛黨”調查②丨現身說法：“薅羊毛”重在尋找技術漏洞

系列報道：

網絡“羊毛黨”調查①丨成都商家痛陳：“羊毛黨”薅走我幾十萬！

網絡“羊毛黨”調查③丨權威說法：“薅羊毛”是否違法？

四川在線消息（記者 楊琴）隱藏在網絡背後的“羊毛黨”都是些什麼人？都有什麼樣的組織和形式在運作？通過什麼方式去“薅羊毛”？是否真能帶來日入成千上萬的可觀收入？3月初開始，川報新媒體中心四川在線記者連續多日，對此進行了調查。

http://mp3.scol.com.cn/media/2019/羊毛黨.mp4

scolplayer視頻播放器

調查一：“羊毛黨”網上狀態

相關Q群眾多，成員數量龐大，日彈信息數十條

記者以“羊毛”為關鍵詞進行QQ搜索，發現在成都範圍內註冊的群有超過150多個。搜索這150多個QQ群發現，絕大部分為網絡薅羊毛群。其中不乏一些以相同群名為特徵註冊的“系列群”，如“擼羊××”系列、“我愛巴適薅××”2、3、4群系列，每個群可加入群員均為2000人，搜索顯示已加入群員數量均非常可觀。

記者申請加入其中幾個群，發現這些群大部分只允許群主發言、群員被禁言；群主每天不斷向群員發送“0元擼 【京東】西麥 衝飲穀物 營養早餐 即食 燕麥片175g ”、“速擼!!自營××老窖拼團只要9.9元，原價128元”等各種信息，每天早上七八點不斷刷信息到凌晨0時左右，有的群一天會刷上幾十條信息。除了普通的優惠信息，“×航app出bug 深圳到吉隆坡只要10元”、“ ××打車全年半價”等信息也赫然在列。

調查二：曾經的“羊毛黨”現身說法

本質是尋找技術漏洞，一般防範較難奏效

“羊毛黨”的運作方式是什麼？收入狀況如何？如何看待自己的這種行為？圍繞這些問題，記者經過多番尋找，經中間人介紹，採訪到一位原來有過“薅羊毛”經歷的劉先生（化名）。

採訪初始，劉先生首先向記者強調了兩點：一是隻能提及他曾作過多年程序員的身份，不能批露其真實身份；二是要在報道中強調，他目前已經“退出江湖”，已再沒有“薅羊毛”的行為。以下為訪談記錄：

投票一週內投票達到20萬票

記者：能不能先談一談你參加過的比較典型的例子。

劉先生：我曾經通過“掛馬”幫人投票，實現一週投票達到20萬票。具體來說就是通過第三方門戶網站掛軟件，只要訪問他們門戶網站首頁，就自動為我的客戶投票，而且IP地址真實來自全國各地，從時間和數量、地點等的統計分佈上也具有真實性。當然這20萬用一週時間來實現也是出於投票合理性的角度來考慮的，否則時間可以更短。

記者：你當時是通過什麼程序來實現的，花了多長時間？

劉先生：當時寫程序只花了半天時間，是用JavaScript+PHP語言實現。

十分鐘寫完程序“截”中獎品

記者：還有跟“薅羊毛”相關的案例嗎？

劉先生：我參加過一家網站的抽獎活動。經過分析發現，他們的後臺程序未做手機號短信驗證及圖片驗證碼驗證和同IP數量驗證，也就是說可以用同一IP地址的機器，隨機生成手機號碼高頻率註冊用戶抽獎。這樣我就利用易語言編了個程序，只花了大概十分鐘，參加到活動當中“截”中了他們的獎品。

如果他們的網站做了手機號短信驗證及圖片驗證碼驗證和同IP數量驗證的話，那也影響不大，只是稍微增加一點難度。因為仍然可以通過網絡找到很多免費或者便宜的短信驗證號，一千條約50元錢，程序也沒有增加難度。

如果對方要求圖片驗證，也可通過網絡自動實現提取驗證碼；如果對方有同IP數量驗證要求，則通過代理服務器實現。網上有很多免費代理服務器可使用，也可付費使用高質量代理。

這樣我10毫秒可以提交一個抽獎用戶，5分鐘內可達到30000用戶。如果他的真實註冊用戶為1萬個，那麼我註冊的用戶數可以達到75%的中獎率，大大提升中獎率。

“羊毛黨”群體畫像

記者：你是怎麼看待“羊毛黨”這個群體的，這個行業裡面是不是也有一些區分的？

劉先生：我覺得基本可以分成“低端薅”羊毛和“專業薅”羊毛。

“低端薅”羊毛就是一種拿時間、“人頭”換錢的行為。主要是利用電商結算漏洞，發現錯誤定價、錯誤打折行為後“奔走相告”，換一些生活用品造成商家損失。這種“報告人”的獲利行為，主要是在他們的群體中獲取利益以及獲得信譽度，其真正賺錢的是羊毛群群主即“羊頭”，通過會費、商家推廣費等賺取費用。

“專業薅”羊毛的行為，真正的本質是尋找技術漏洞，主要針對抽獎類。通過測試分析發現抽獎漏洞，開發對應程序，或直接滲透到後端更改抽獎結果，最終獲益。這種有一定的技術門檻，需要有一定開發能力和網絡通信協議分析能力，一般剛入門的人是無法搞定的。

中過各類獎品，二手平臺轉賣套現

記者：你都抽中過一些什麼獎品？最後是怎麼進行處理的？

劉先生：那幾年我抽中過手機、電飯煲 、自行車、音響之類，然後通過二手網絡平臺等轉賣套現。因為我只是偶爾“玩玩”，所以總獲利也並不多。因為知道這個始終屬於灰色地帶，很難往前走；另外破壞大於建設，不利於行業健康發展，所以我現在已經“退出江湖”了。

微信相較APP易“薅”

記者：“薅羊毛”這種行為，從技術上來說，哪種平臺容易些？哪些平臺相對難薅些？

劉先生：比較容易薅的主要是WEB網站，也就是微網站或手機版網站；還有微信，主要是微信小程序；另外就是微博。因為微信小程序一般為第三方開發，用戶量巨大、產品繁多，總有部分產品存在安全漏洞，所以成為“薅羊毛”高發類平臺。

相對較難薅的是APP，因為APP把通信過程進行過封裝，必須分析通信包，猶如搞破解，而且隨機抽獎是服務器在控制，若要100%中獎，只有滲透到服務器，往往投入比不夠、代價太大，風險也大。

記者：所以從專業角度，你對普通商家的建議是什麼，他們應該如何來進行自我保護，防止被“薅羊毛”？

劉先生：從技術上來說太專業了，建議找專業的軟件公司或信息安全人員做專業服務。

記者：你最終的退出還是跟擔心承擔法律風險有關嗎？你是怎麼看待“羊毛黨”是否違法這一問題的？

劉先生：我覺得抽獎並沒有法律風險，我並未滲透服務器，只是巧妙地利用我的技術手段，應對他們的業務規則而已。

滲透到服務器的話性質就不同了，屬於闖入別人的服務系統，已經違法，就像一個人未經允許打開別人家門，你說違不違法？

資深專業人士：

技術手段防範，門檻高較高，小公司一般做不到

十分鐘寫完程序“截”中獎品、微信較APP相對最易被薅？資深程序員劉先生的說法是否可信？對此，記者採訪了曾在成都一家互聯網公司擔任程序員工作、現為惠玩平臺創始人兼技術負責人的李驄。

李驄首先對以上說法表示了認可。他表示，目前，羊毛黨在國內已經很大規模，“他們大部分是低端的，‘羊頭’把一個任務放群裡面，然後大家去薅。但在程序員這塊（專業級），考慮的就不是人頭了，是靠技術和資源。實現技術上‘薅羊毛’的話其實很簡單，第一是衝破網站本身的規則，二是突破‘薅羊毛’的限制防禦。”

李驄證實了劉先生所述的攻防理念。“防禦這塊，（衝突）都可以通過很多資源來獲取，比如賬號可以通過手機號，驗證碼可以通過自動提取，IP可以通過代理就能實現。”

據李驄介紹，“羊毛黨”已經形成了一個產業鏈，要通過技術手段來防禦的話，小公司很難做到，因為門檻很高。他認為，小商家最適用的辦法是藉助第三方，一年下來需要的花費約為10萬-20萬元。

“羊毛黨”網上“薅羊毛”到底是什麼性質？是否觸碰法律底線？警方和法律界人士怎麼說？請繼續關注本網相關採訪報道。