黑产与拼多多玩狼人杀 200亿“烟雾弹”引诱平民入局
歌德曾经说过,阳光越是强烈的地方,阴影就越是深邃。互联网在撬动几十万亿美元繁荣市场的背后,也有不见天日的深潭,它是暗网,也是黑产。
拼多多今年依旧喜欢在诸多综艺界面“露脸”。今年番茄台《欢乐喜剧人4》《极限挑战第四季》、马桶台的《我是大侦探》《快乐大本营》,浙江卫视的《奔跑吧第二季》,以及这次出了幺蛾子的江苏卫视《非诚勿扰》。
与《非诚勿扰》合作时,为现场嘉宾生成了优惠券,仅供现场嘉宾使用。
该优惠券,从未在任何时候、以任何方式出现在平台正常的线上促销活动当中,甚至从未有任何线上入口。
就是这样很奇怪的入口,在周六的深夜,也就是20日凌晨被羊毛党,不,是黑产团伙发现。
利用这一BUG,黑产团伙狠狠地宰了拼多多一刀。
通过该非正常途径生成的二维码,原本每个认证信息的用户可领取一张无门槛100元优惠券。黑灰产团伙利用自己“养猫池”(用手机卡蓄养大量虚拟账号),N张手机黑卡同时作业,批量盗取该种优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移所得,涉案优惠券总金额达数千万元。
与电视剧里反派智商掉线的事实不同,在拼多多大出血之后,如何“安全脱身”,黑产团伙想出了一个法子——把消息尽快散播出去,让消费者也变成参与者,当大量的用户涌进,这一漏洞好似“法不责众”,拼多多只能吃哑巴亏。
几个小时后,天快亮了,狼人隐藏了起来,平民涌上了街头。黑灰产团伙在盗取金额巨大的优惠券并转移其不当所得后,迅速通过网络和社交群将二维码分享出去,拼多多后台的IP激增,大批用户跟风。
社交网络的人们也醒了过来。狼人于是还在各类微博和群内编造“拼多多平台发券损失200亿等谣言”混淆视听。
可是拼多多这家企业似乎没有互联网企业加班成性的特征,外边的留言已经满天飞了,他们却一直到早上来上班,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常才发现。
然后,拼多多才迅速向公安机关报案。目前公安机关正在调查过程中,因涉案金额巨大,预计将会对涉嫌套券诈骗、牟取巨额不当利益的涉事黑灰产团伙追究刑事责任。
针对该事件,目前上海警方已以“网络诈骗”的罪名立案并成立专案组,并依据“财产保全”的相关规定,对涉事订单进行批量冻结。拼多多平台正配合警方,对涉事订单进行溯源追踪,并最终依据警方的调查结果对相关订单做出依法依规处理。
与东航的BUG不同,这一次的性质已经不是羊毛党所能定义的了,大部分的贫民跟着狂欢,最后却一无所获。
而对于拼多多,我们不禁要问,你的内部风控部门究竟——忙啥呢!?
从凌晨1点到上午9点发生了什么?
有消息称,在短短几个小时内,专业羊毛党已经领取了上千张100元无门槛券,也有说,一个晚上有200亿用来话费充值。目前,这些消息都被拼多多官方否认,但他们承认“预计本次事件造成的实际资损大概率低于千万元。”
截止发稿前,无法确认1月20日上线的这套优惠券体系究竟是拼多多主动还是被动上线,但在9个小时内,拼多多的风控体系几乎形同虚设。
根据拼多多官方的说法:“黑灰产团伙通过“养猫池”(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取优惠券,并通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移此类不当所得,涉案优惠券总金额达数千万元。”
在业内人士看来,这已经透露了拼多多内部在风控上存在严重漏洞。在电商圈内,无门槛券相当于现金,因此在发放前后,一定会经过严格审核和追踪流程,以防止出现不可抗的风险。在拼多多事件中,拼多多的风控体系至少存在四大问题:
一、拼多多后台有没有对黑客的刷单进行基础设置?为什么大量的黑客只要通过“猫池+脚本API”, 就能批量自动操作,以至于出现巨额损失?
二、拼多多的风控体系中,有没有对单人领取金额上限,券额上限,以及消费领域(比如虚拟物品消费)等进行限制?为什么会出现大量黑客通过手机充值和购买Q币,就能完成套现?
三、拼多多的风控体系中究竟有没有对平台发放的优惠券的流向以及流量进行监控?并设置完善的报警阈值,失效机制,熔断机制?为什么在事件发生后的几个小时平台系统才会有所反应?
四、为什么整个平台都没能及时做出反应?当大量优惠券流向Q币充值,以及通信充值时,这些商品的GMV一定会出现环比异常, 为什么拼多多会一再错过掌控局面的最佳时机,以至于事件发展到难以收场的地步?
大量发出的优惠券究竟如何处理?
拼多多一再强调事件的起因是黑客在作祟,但其内部的风控薄弱却难辞其咎。如此复杂的背景下,拼多多要如何给大量领取了优惠券的用户一个交代?现在看来,或许拼多多并不会像此前同样出现漏洞的东航那样“宽容一把”。
一位微博网友透露,在20日上午9点,他已经接到拼多多客服电话,称其夜间下单多个虚拟商品,均使用了100元无门槛券,涉嫌违反了《拼多多服务协议》中“使用拼多多平台外挂或利用拼多多平台中的bug来获得不正当利益,此举有损拼多多和其他用户的合法权益”的规定,且金额较大,希望能如数归还,否则将在14日工作日内提起诉讼。
据了解,目前,拼多多已将所有已发出未使用的券,全部做无效化处理;同时,针对实物商品,拼多多正在采取“拦截发货以及物流追索”。据称,这个目前正在进行中,大批量商家选择不发货,再配合拼多多强制自动退款。实物商品操作部分来看,拼多多将不会采取东航的“前车之鉴”,采取了强力止损措施。
而真正的大头是虚拟商品部分,其中,QQ币被拼多多平台认定为是违规虚拟商品,因此,出售Q币商家的货款或已被冻结。但与运营商之间将如何处理?这或许是最让人头痛的部分,由于涉及的不少是代理商,量大人杂,如果是采取即充即入账的方法,恐怕要追回将是一件浩大工程。
编辑:挨踢妹
来源:《IT时报》公众号vittimes