拼多多被薅羊毛背後的黑灰產業：購買大量手機 SIM 卡，刷好評、做水軍

不能因為技術盜竊的便利和無障礙，圍觀者就輕松諒解他人，寬容自己。

全文 6870 字，閱讀約需 13.5 分鐘

▲拼多多內部人士回應被“薅羊毛”：用戶知不知情都屬於“不正當得利”。新京報我們視頻出品

一個過期的優惠券漏洞，可能引發國內資損規模最大的黑灰產事件。

1 月 20 日凌晨，有網友稱拼多多存在重大 Bug，“隻需支付 4 毛錢，就可以充值 100 元話費”“有大批用戶開始薅羊毛，一晚上 200 多億都是話費充值”。根據網友曬出的截圖，此次拼多多的 100 元無門檻券全場通用 ( 特殊商品除外 ) ，有效期為一年。

拼多多方面表示，當日凌晨有黑灰產團夥通過一個過期的優惠券漏洞盜取數千萬元平臺優惠券，進行不正當牟利。

針對該事件，拼多多稱目前上海警方已以“網絡詐騙”的罪名立案並成立專案組，並依據“財產保全”的相關規定，對涉事訂單進行批量凍結。拼多多平臺正配合警方，對涉事訂單進行溯源追蹤，並最終依據警方的調查結果對相關訂單做出依法依規處理。

對於損失高達 200 億的說法，拼多多回應稱這一數字不實。拼多多稱黑灰產團夥大量盜取優惠券，涉案總金額達數千萬元，預計本次事件造成的最終實際資損大概率低於千萬元。

━━━━━

一個 Bug 引發的薅羊毛事件？

▲圖 / 視覺中國

1 月 20 日上午 9 點 5 分，小南在自己的“閨蜜群”裡收到一條鏈接，閨蜜告訴她，隻要點擊這個鏈接，就可以領取拼多多的 100 元優惠券。

“我以為就是一般的促銷或者拉新優惠活動，就下載瞭拼多多 App，選來選去，訂瞭一個一直想買的智能音響。”小南告訴新京報記者，她領取的這個優惠券是“無門檻，一年有效期”。

“這個鏈接是我的室友在她的朋友群裡看到的，然後再轉發到我們閨蜜群裡。後來看到網上的熱搜，我才知道自己的行為可能涉及薅羊毛。”小南表示，“ 1 月 20 日上午 10 點 20 分，我用優惠券購買的商品就已經聯系瞭順豐快遞，連快遞單號都告訴我瞭，但截至現在該商品還處在 ‘ 商傢正通知快遞公司取件 ’ 的狀態。”

在最新的情況說明中，拼多多表示黑灰產團夥所利用的“優惠券漏洞”盜取的相關優惠券，為拼多多此前與江蘇衛視《非誠勿擾》開展合作時，因節目錄制需要特殊生成的優惠券類型，僅供現場嘉賓使用。

然而，黑灰產團夥通過非正常途徑生成的二維碼掃碼後獲得相關優惠券，該二維碼多流傳於社交平臺相關黑灰產群。通過該二維碼，原本每個認證信息的用戶可且僅可領取一張無門檻 100 元優惠券，而非此前網絡流傳的單個 ID 可以“無限領取”。

因此，黑灰產團夥通過“養貓池”（用手機卡蓄養大量虛擬賬號）等不法手段，實現 N 張手機黑卡同時作業，批量盜取該種優惠券，並通過手機話費、Q 幣等虛擬充值的方式，試圖在短時間內迅速轉移此類不當所得，涉案優惠券總金額達數千萬元。

拼多多風控團隊負責人表示，黑灰產團夥在盜取金額巨大的優惠券並轉移其不當所得後，期望達成“法不責眾”的效果，迅速通過網絡和社交群將二維碼分享出去，誘導一些普通消費者跟風掃碼。

拼多多強調，此種類型的優惠券從未在任何時候、以任何方式出現在平臺正常的線上促銷活動當中，甚至從未有任何線上入口，拼多多亦未曾針對該類型優惠券生成任何二維碼。但二維碼具體的生成及傳播過程，仍待警方調查後公佈最終結論。

值得註意的是，職業羊毛黨看中充話費和 Q 幣是自動發貨，因此將優惠券迅速兌現。對於拼多多而言，能否向三大運營商以及騰訊追討這一次損失成疑，目前拼多多亦未透露是否有追討資損的具體方案。

━━━━━

收回優惠券合理嗎？

出現 Bug 被用戶“薅羊毛”的現象在國內互聯網行業中時有發生。

2018 年元旦期間，騰訊視頻發起優惠充值活動，但因為活動服務器後臺數據出現異常，有部分用戶在充值一個月時出現應該支付優惠價 18 元實際僅被扣費 0.2 元的狀況。當時這一漏洞共引來 39 萬用戶參與。

其後騰訊公告稱，這是公司的工作失誤，公司將這些異常訂單全部兌現，且不再扣費。最終，騰訊為這個 Bug 付出超過 5000 萬元的代價，但同時贏得網友的好評。

但拼多多並未“順應民意”自掏腰包。在發現漏洞後，拼多多在當日 9 時左右緊急將所有優惠券的領取方式下架，同時取消瞭用戶已領取但未使用的優惠券，記者留意到，當時拼多多還對 App 進行瞭優化更新。為瞭補償用戶，拼多多向受影響用戶發放 5 元無門檻優惠券，有效期為 50 年。

拼多多表示，此次事件與其他公司一系列因 Bug 所致資損事件存在本質差別，這一次是“套券詐騙”的網絡詐騙案件。“如按照網絡中前者被以 ‘ATM 機誤吐鈔 ’ 現象做類比，後者則相當於非法團夥撬開 ATM 機後實施盜竊。”

電子商務研究中心主任曹磊認為，從法律責任認定和用戶權益保護角度出發，如果是平臺主動推出的活動，那麼應按照官方說明來兌現承諾，也就相當於在線跟用戶簽訂協議，平臺當然要執行。“但拼多多相關聲明已經顯示，是通過一個過期的優惠券漏洞盜取瞭優惠券。根據《合同法》相關規定，拼多多取消或收回優惠券是不需要承擔法律責任的。”

他表示，如果此次拼多多出現優惠券漏洞是黑產羊毛黨惡意行為，這類交易屬於存在“重大誤解”訂立的合同，“（拼多多）是可以要求撤銷的。”

北京康達律師事務所律師韓驍亦認為，拼多多收回已經領取但還沒有使用的優惠券，這一做法並不會和剛出臺的《電商法》相沖突。此次事件中，拼多多采用收回已領取但未使用的優惠券這一方式來應對，屬於合理的補救措施。

另據記者瞭解，當日 11 時左右，拼多多的工作人員已經向部分商傢發出通知，凡是已使用 100 元無門檻券的訂單不允許發貨。

根據《電商法》第四十九條規定，電子商務經營者發佈的商品或者服務信息符合要約條件的，用戶選擇該商品或者服務並提交訂單成功，合同成立。當事人另有約定的，從其約定。電子商務經營者不得以格式條款等方式約定消費者支付價款後合同不成立；格式條款等含有該內容的，其內容無效。

曹磊表示，拼多多這一做法與《電商法》不沖突。“惡意利用系統漏洞獲取的優惠券，不能有效地折抵付款中的相應付款義務，所以應該視為未完成付款義務，不受電商法第四十九條第 2 款的約束，商傢可以不發貨。”

中國政法大學知識產權中心特約研究員趙占領則告訴記者，如果用戶已經使用優惠券購買拼多多上第三方商傢的商品，用戶和商傢之間的合同已經成立，拼多多可以去追究用戶的責任，但不能阻止商傢發貨。

━━━━━

為何會發生“薅羊毛”事件？

關於風控的問題，拼多多表示公司一直有風控體系建設，而且本次事件不涉及任何數據安全問題，平臺消費者原本正常領取的優惠券使用不會受到影響。為進一步加強“特殊優惠券”相關風控體系，拼多多透露公司已成立技術專組。

對於拼多多“被薅羊毛”一事，某反詐騙安全團隊專傢陳鋒（化名）表示，有許多手段可以防止平臺被惡意“薅羊毛”，包括限制優惠券的總數以及優惠券的應用場景，“比如設置最多 10 萬張券，隻能用於滿 200 元的實物訂單，再加上最基礎的防薅羊毛策略，就能保證不出大問題”。

對於為何風控系統沒有監測到異常情況，拼多多回應稱事件發生時正值平臺大促，其間有大批量平臺正常發放的優惠券被消耗。直至當日上午 9 時，遭盜取優惠券和正常優惠券的總和突破平臺預設閾值，系統才監控到異常並自動報警後，拼多多在第一時間修復相關漏洞。

根據網友截圖，此次事件中拼多多的優惠券屬於“無門檻全場通用”，還有網友曬出瞭充值話費、購買 Q 幣的截圖，有的充值金額甚至高達 5 萬元。“在此事件中，拼多多的業務規則出現瞭問題，最基本的防薅羊毛手段都沒有設置。”陳鋒稱。

在陳鋒看來，目前確實存在專業的“羊毛黨”，針對不同平臺，這些羊毛黨擁有註冊賬號（涉及手機號、接碼平臺等）、下遊支付渠道、清洗轉移渠道等等，而消息靈通與否以及設備的專業程度則決定瞭這些羊毛黨的收入。

━━━━━

羊毛黨的行為涉嫌犯罪嗎？

▲拼多多出大 bug “羊毛黨”瘋狂充話費 用戶：就是撿個小便宜。新京報我們視頻出品

事實上，在《拼多多服務協議》7.1 禁止行為中已明確，用戶使用拼多多平臺外掛和 / 或利用拼多多平臺當中的 Bug 來獲得不正當的利益赫然在列。

韓驍表示，用戶利用系統漏洞大量領取平臺的優惠券並以此獲利，可能涉嫌盜竊罪，若獲利數額達到相關標準，則有可能需要承擔刑事責任。不過他強調，如果是平臺的普通客戶，並非有意識地通過這一安全漏洞大量領取優惠券牟利，而僅領取瞭數量較少的優惠券，沒有盜竊的主觀故意，客觀上獲利也未達到量刑標準，則並不構成盜竊罪。

對於薅羊毛黑產是否涉嫌違法犯罪，陳鋒表示比較難以判斷，“一般而言首先必須有公司報案，而此前的實際案例中，最多的情況可能會協商，協商不成按詐騙來辦，但最終是否違法或者犯罪還要看公檢法機關的定性。”

拼多多在最新的公告中表示，對於遭裹挾的普通消費者，平臺主觀意願上不會進行進一步追責，但不支持此類非正常行為。

電子商務研究中心特約研究員、北京盈科（杭州）律師事務所律師方超強認為，黑產灰實際上是一個網絡術語，並沒有明確的概念和外延；從拼多多事件來看，所謂“黑產灰團隊”，有幾個事實應當是明確的：1. 應當是主動尋找系統漏洞，而非進行系統破壞和篡改；2. 主觀上知道是漏洞；3. 客觀上利用漏洞牟利；4. 優惠券應當是具有一定價值的財物。從犯罪構成要件看，個人認為涉嫌盜竊罪。

中國政法大學傳播法研究中心副主任朱巍則表示，當平臺出現優惠券 Bug，且原因不明時，分兩類情況：第一，若是涉及計算機系統破壞出現 Bug 的，屬於《刑法》破壞計算機信息系統罪，情節特別嚴重有五年以上的刑期。第二，若是不涉及系統破壞，僅是利用漏洞，這類情形嚴重的話，實踐中涉及盜竊罪、侵害知識產權罪，不嚴重的話，薅到的券屬於不當得利，應予返還。

在此次拼多多事件中，黑灰產團隊在刷瞭足夠多的優惠券賺取利潤後，出於“法不責眾”的心理將優惠券鏈接公佈於眾。朱巍認為，除瞭自己刷，還發佈相關信息的人，傳播這類信息可能涉及前面罪名的共犯，也可以單獨構成傳授犯罪方法罪，或構成擾亂市場秩序的行政處罰。

在朱巍看來，少量刷的人，一般不構成犯罪，但其“所得屬於不當得利，應及時予以返還”。若是在事實公佈後還刷的，就構成盜竊罪。

曹磊表示，對黑灰產的認定從嚴格意義上講，應該由相應的監管部門，或者是公安網監來進行認定。當然，平臺方如果能夠提供充分有效的證據、材料，也將有助於監管、司法、公安等部門進行認定。

━━━━━

對拼多多影響有多大？

憑借著社交電商全新打法，成立僅三年時間的拼多多已經是國內最成功的獨角獸企業之一。摩根士丹利近日發佈研報，首次把拼多多納入研究范圍，給予“增持”評級，並把目標股價定為 29 美元。

拼多多財報顯示，去年第三季度，拼多多實現營收 33.72 億元，同比增長 697%，環比增長 24%；去年前三季度共實現 74.66 億元營收，同比增長約 12 倍。但並不樂觀的是，拼多多凈虧損進一步擴大，去年第三季度虧損 10.98 億元，遠高於前年同期的 2.21 億元；去年前三季度共虧損 77.93 億元，前年同期為 5.39 億元。

拼多多仍在投入大量的資金拉新，通過冠名綜藝節目等方式繼續拉動用戶增長率和活躍度。財報顯示，去年第三季度拼多多的銷售及營銷費用高達 32.3 億元，同比增長 655%，主要原因是由於品牌推廣活動及線上線下廣告及促銷活動增加所致。

拼多多狠砸營銷費用的另一個重要原因是獲客成本在走高。2017 年三季度，拼多多單個新用戶的獲客成本為 13 元，但去年上半年已經飆升至 55 元。

值得一提的是，盡管拼多多在去年第三季度投入的研發費用同比增長 828%，但其研發費用僅為銷售和營銷費用的 1/10。

新京報記者註意到，拼多多已於 1 月 20 日下午在招聘平臺發佈多個與風控相關的職位，包括風控總監、風控策略 / 模型專傢等。

經過此次事件後，拼多多的研發費用或許將保持高增速。

━━━━━

薅羊毛黑產已發展出高度分化的產業鏈

陳鋒對記者表示，“薅羊毛”行為指的是新興消費群體搜集網貸平臺、電子商城、銀行、實體店等各渠道的優惠促銷活動、免費業務之類信息，註冊大量“小號”模擬大量正常用戶參與活動，從而以相對較低成本甚至零成本換取物質上的實惠，這一群體被稱為“羊毛黨”。

━━━━━

不僅薅羊毛，還刷好評、做水軍

新京報記者采訪多位專傢瞭解到，目前薅羊毛黑產擁有高度分化的產業鏈條，主要包括：上遊的軟件開發人員、腳本開發人員、接碼平臺等提供可以批量註冊賬號的工具；中遊黑產團隊通過購買大量手機 SIM 卡，再通過這些軟件工具和貓池等硬件設備將自己模擬成大量普通用戶，惡意註冊各平臺賬號並養號，在“薅羊毛”機會出現時利用大批量的賬號賺取收益；下遊擁有能夠快速將優惠券等平臺內資金轉移出去的支付以及清洗轉移渠道。

有熟悉網絡黑產的人士告訴記者，從事薅羊毛黑產所必須的“硬件”包括手機 SIM 卡、貓池等，軟件則包括接碼平臺、動態 IP 技術等。“例如為瞭限制薅羊毛行為，許多平臺會記錄註冊用戶的 IP，此時上遊提供技術支持的黑產能夠通過動態 IP 技術形成比較大的動態 IP 池，再租售給下遊薅羊毛黑產團隊使用。”

在他看來，擁有瞭上遊的軟硬件設備，薅羊毛黑產就具備瞭大批量註冊平臺賬號並領取優惠券的條件。而當刷完優惠券後，還需要能夠快速變現的渠道。“在此次拼多多事件中，大量黑產選擇將優惠券變現為系統自動發貨的 Q 幣、手機話費等。目前，存在將 Q 幣和手機話費等合理變現的灰產平臺，一些購物網站上也可以買賣優惠券，這都是羊毛黨們的變現渠道。”

“羊毛黨們 ‘ 薅羊毛 ’ 的本質就是，其能夠模仿成大量用戶，讓發放優惠券的企業識別不出來。但一般來講，擁有大量賬戶的黑產團隊能做的不隻有薅羊毛這一件事，大量賬號能夠用來刷好評、做水軍等，”該人士表示。

━━━━━

打擊薅羊毛黑產要從源頭開始

在采訪中，多名專傢對新京報記者表示，要打擊薅羊毛黑產，最有效的方式是直接打掉其產業鏈上遊的惡意註冊工具提供商。

新京報記者瞭解到，遼寧省公安廳曾就惡意註冊上遊工具軟件發起名為“ 610 ”的專案打擊。曾經參與該案件的一名網絡安全專傢稱，在專案中，其鎖定瞭頭部惡意註冊工具軟件數款，其中一款名為 XXTouch 的按鍵精靈軟件能夠模擬人操作手機的行為，並擁有可簡易化實施改機工具的功能，包括偽裝手機信息、GPS 信息功能。“簡而言之，在不考慮效果的情況下，XXTouch 一款軟件已經做到惡意註冊除 IP 更改外的所有環節技術提供，在其看似中立的偽裝下，實際上為惡意註冊黑產配備瞭全套武器。”

該專傢表示，對於打擊惡意註冊，最好的辦法是能夠斬斷惡意註冊黑產鏈最上遊，從生態上擠壓惡意註冊的生存空間。這包括偽造設備硬件信息實現多開的改機工具，沒有改機工具，惡意註冊不具備實施性；以及輔助自動化操作的群控和按鍵精靈軟件，沒有自動化，惡意註冊無法擺脫高昂的人力成本。

但他同時認為，由於惡意註冊軟件在黑產圈普及，導致惡意註冊工作室的開設門檻極低，一次集群行動可以打掉一個地區的一批團夥，但是很可能其他地區馬上就有新的團夥如雨後春筍般冒出。

新京報記者 陸一夫 羅亦丹 編輯 李薇佳 王進雨 校對 何燕

━━━━━

黑產“薅羊毛”就是犯罪

該還的總歸要還。一大早，前天參與拼多多薅羊毛狂歡的一些用戶發現，拼多多平臺強制取消瞭部分訂單，也有充值話費的網友發現，自己的話費被運營商強制退回。但沒想到的是，如今薅羊毛也可以理直氣壯地站在道德高地。一些用戶在接受采訪時義憤填膺，認為自己隻是領瞭個優惠券，平臺不該強制取消，不少人認定平臺的錯不應該讓用戶承擔損失。

尊重他人財產權，是基礎社會規則的一部分，而薅羊毛和網絡黑產，多數情況下做的事，都是數據時代的欺詐和盜竊。

在拼多多提供的詳細聲明中，能清晰看到羊毛黨是如何侵占企業利益的。聲明顯示，羊毛黨們所利用的優惠券，是拼多多與某電視節目合作中臨時生成的優惠券，並且，從未公開出現在任何一次促銷活動之中，也沒有開放過入口。而黑產團隊通過非正常途徑發現漏洞並生成二維碼，在公開范圍內進行瞭傳播。

這已經是很明顯的技術犯罪，與傳統意義上的“薅羊毛”完全是兩碼事。通俗來說，這等於是一個專業團隊發現瞭他人門鎖上的漏洞，攻破門鎖進行盜竊，並且，為瞭免除責任，幹脆將大門敞開，讓所有人都進來搬點東西回傢，以制造一種“公開發放優惠券”的假象，來免除盜竊責任。

因此，用戶抱怨平臺不該收回優惠券完全沒有任何道理可言。不管是遇到他人傢門洞開，還是高速路遇到貨車翻車，用戶都沒有理由拿走原本屬於平臺的東西。這是對他人財產權的基本尊重，失主也理所應當可以采取各種手段索回丟失資產。

對於像拼多多這樣的新晉電商巨頭，此次攻擊事件暴露瞭其風控體系的基礎漏洞。但更值得反思的是，一起本質上是嚴重的盜竊公司財務案件，為何在公共輿論裡陷入瞭一種無罪化的狂歡 ?

不能因為技術盜竊的便利和無障礙，圍觀者就輕松諒解他人，寬容自己。

“羊毛黨”三個字剛見諸報端時，的確曾享受過一陣子道德豁免的特權。當時，互聯網公司因為風控體系和制度設計問題，經常出現一些能夠被用戶利用的打折漏洞，繼而，羊毛黨也在很多人心中，有瞭一種“個體通過精明算計與商業巨頭討價還價”的假象。但隨著技術和風控手段升級，普通人意義上的“薅羊毛”空間幾乎不存在瞭。羊毛黨成為一個專業的犯罪團夥，他們掌握大量的手機黑卡，利用互聯網公司的技術漏洞瘋狂獲利。事實上，現在有不少羊毛黨，就是利用技術漏洞進行高科技犯罪、遊走在欺詐和盜竊邊緣的專業團夥。曾有專業機構做過統計，國內網絡黑產上下遊從業者超過 160 萬人，每年產值超過 1000 億元，從傳統的銀行、保險公司再到電商平臺，都成為他們攻擊的對象。

這是對商業環境和共識明目張膽的侵犯。公眾應當認識到，黑產團隊並不是什麼草莽英雄，也不是什麼草根代表，他們既侵犯瞭企業的利益，也剝奪瞭用戶紅利，並最終破壞瞭企業與用戶之間的信任連結。而打擊黑產和羊毛黨，也應當成為大數據時代最重要的共識。文 / 胡涵（媒體人）