囤茅台，攒瓶盖，薅优惠券，谁来阻击羊毛党的骚操作

文/园长  编辑/石灿

来源：刺猬公社（ID:ciweigongshe）

只要羊毛党在，你大概永远不能在电商平台买到一瓶正价1499元的53度飞天茅台。

这在很长一段时间里并不算是夸张。实际上，几乎全部品类的酒水都是羊毛党的乐土，在专业的策略和极高组织度之下，普通消费者根本抢不过他们。当你还在下单输密码，羊毛党早把本就不多的商品买个一干二净。

稀缺的商品和平台的优惠，就这样落入了黄牛手中。但羊毛党的势力远不止于此。

尽管电商平台的优惠券越来越难“薅”，但挡不住羊毛党去钻营销的薄弱环节，费尽心机地蚂蚁搬家。除了屯酒，还有人收集瓶身瓶盖、建造伪基站，种种“硬核”手段背后的目的只有一个：

花最少的钱，买最贵最多的东西。

1000瓶茅台，造一个百万富翁

因为买卖之间的巨大差价，在专门买“最贵最多”酒水的羊毛党组织者中，就产生了不少一笔“生意”毛利上百万的案例。据腾讯安全的统计，200多个酒品类黄牛团伙中，牛头的年龄只有25岁～35岁，年纪轻轻就实现了“一夜暴富”。

这些羊毛党头目深知“独乐乐不如众乐乐”的道理，为了避免电商平台的审核，将订单采用众包模式分散到“肉牛”——承担具体购买任务的人手中，并按大约10%的比例向“肉牛”们发放佣金。

“肉牛”都是普通羊毛党，没有可靠渠道出手抢到的酒水。因此只能乖乖听话，使用真实账号手动下单，将货物发往牛头提供的地址。有的“羊毛党”已经专业化到建立了一个“众包平台”，下单完成后提交订单号、收款账户等信息，还可以查询佣金到账进度。

“肉牛”薅到的还不止佣金。

几乎每个普通的“肉牛”都对信用卡和支付产品的优惠信息了如指掌，他们还能从银行和金融机构手中再薅一次。以原价1499的茅台为例，在倒卖后产生的千元左右利润中，肉牛能够拿走10%；叠加银行信用卡消费的满减活动，又可以节约四五十块，还能合理合法地被算作积分权益。

某牛头提供的收货地址“暗号”图源：腾讯云安全

和小团伙刷单式薅羊毛不同，众包模式下每个“肉牛”本质上是真实用户，电商平台更难将他们与普通消费者区分开。为了避免收货地址的雷同，羊毛党的“牛头”甚至会买通本地快递员，让快递员帮助识别“牛头”和“肉牛”约定好的暗号——精心修饰过的电话号码和收件人姓名、地址。

一般来讲，为了保证货物抵达快递网点和被买通的快递员手中，精确到区县、乡镇的一级的地址必须是“牛头”真正的所在地，之后的街道或门牌号就可以任意编造了。羊毛党“牛头”囤酒的最后一公里由快递员负责，为了方便辨认，收货人姓名也有一套命名规则，往往是同姓或同名。

为了降低交易风险，“牛头”几乎不会对生客出手，并且往往要求对方自行取货。一单生意尘埃落定后，获利最多的牛头多的能挣到上百万，大约相当于1000瓶茅台酒的价格差。

收怎样的瓶盖，才能一年获利3000万

运动饮料东鹏特饮曾推出“开盖赢红包”活动，本意是利用微信红包增加与用户的互动，激励用户的购买行为。操作流程也很简单：用微信扫瓶盖的二维码获取参与活动的链接，输入批号领红包。

但很多正常购买了东鹏特饮的消费者发现，自己输入批号之后领不到红包，提示该二维码已经被兑换。这些批号，实际上已经被羊毛党刷走了。

羊毛党发现，二维码活动入口基本上是固定的，只有瓶子上的批号不同。因此，他们可以很轻易地通过收集瓶盖，知道抽奖活动的入口在哪里，并且摸清饮料批号的规律。

接下来就是通过计算，得出一批人工生成的批号， 然后在兑奖页面输入以实现薅羊毛。因此，有的顾客会发现自己的批号无法兑换现金红包，这就是被羊毛党捷足先登了。

虽然红包数额较小，每个一般只有两三毛，但庞大的出货量足以积少成多。根据接入的腾讯云安全系统统计，来自东鹏特饮的风险判定请求就超过了每天200万次，涉及的营销资金一年可达3000万左右。

只要有现金红包的地方，就少不了羊毛党的身影。

某网站违规薅“蒙牛纯甄”羊毛活动介绍

更大一块蛋糕来自蒙牛。在成为2018年世界杯的赞助商后，蒙牛决定投入两亿用作现金红包等市场推广手段，并且不希望一直采用“扫码开包”的形式，想要有更丰富的互动，并且针对世界杯的各个节点做活动。

这大大增加了安全上的难度。几乎全系列的蒙牛产品都可以扫码领红包，还可以集卡（类似于集五福）抽奖。据合作方腾讯云安全的统计，大约10%、千万量级的营销资金受到了薅羊毛灰产的威胁。

一个比较简单的方式是：普通羊毛党去羊毛党组织者那里购买兑换码——也就是一串包含了中奖信息的网页链接，为了方便售卖，有人甚至还建起了专门的网站。拿到后，再用二维码生成软件将这个链接转变成二维码图片。最后，用手机扫这个二维码，捞取红包。

某专门售卖“兑换码”的羊毛网站，多个知名饮品中招

单个红包的数额往往微乎其微。以最近流行的纯甄小蛮腰红包为例，一个兑换码在羊毛党头目那里售价18元，扫出来的红包一般是19.32元，羊毛党只赚1.32元的差价，还要承担“卖家”不可靠的风险。最终收益最大的，还是那些利用来路不明的所谓“兑换码”牟利的卖家。

为了抢优惠券 背着基站去家乐福 

伪基站可以劫持手机通讯信号，包括语音和短信等，往往被黑产当作嗅探攻击的工具。但它的作用半径只有数百米，必须带到目标附近才行。

和存在法律争议的薅羊毛行为不同，建立伪基站劫持通讯信号是不折不扣的违法行为。借助伪基站实施的活动，往往和诈骗和盗窃有关。但也有人“不惜血本”，用伪基站去薅羊毛。

这回被薅的家乐福。羊毛党背着伪基站进了卖场，开机后，就可以劫持附近用户的手机短信通道。简单来说，就是先获取附近用户的手机号码，再用手机号码去注册家乐福App；通过家乐福App，去抢各种满减券——甚至能抢到99-50、199-100的大额券。

羊毛党薅到券后，一般在电商平台上出手。由于几乎不存在任何成本，羊毛党愿意以极低的折扣向买家销售，即使打5折也非常有利可图。贪便宜的买家，自然也不会仔细核实这些券的来源。

家乐福的运营者很难发觉此时遭遇的损失。从后端来看，全部是正常的号码、正常的用户行为，和过去利用注册机或非法取得的个人信息来薅羊毛完全不同，以往记录、限制恶意账号的防范措施基本失效。

家乐福也因此收到很多用户的投诉，从来没有注册过家乐福，就收到了家乐福的下单通知和派单通知。由此反推，发现羊毛党用上了羊毛黑产的手段。

“这是目前最大的（羊毛党）挑战。”腾讯云安全系统这样评价它的威胁。目前看来，做好从账号注册到下单的全程记录，并比对手机基站的信息甚至设备ID信息，将客户端和云服务相结合才能有效防护。

好消息是，羊毛党们的能钻的制度空子也在收紧。

羊毛党的“战果”清单

中国裁判文书网2019年公布的一起判决中，羊毛党们被认定为侵犯公民个人信息和诈骗。几个被告分工明确，发放公民信息、联系电话卡商、计算员工薅羊毛的“绩效”都有专人负责。

3个月左右，他们就薅到了包括10269张爱奇艺月卡、1612张优酷月卡、701个星巴克中杯等“高价值”券，甚至还有一百多个薯条鸡翅。

互联网行业与羊毛党的战争还将持续下去。只要营销活动还在，就少不了挑战规则漏洞的投机者。互联网公司需要做的，除了亡羊补牢，还必须争取“道高一丈”，把安全措施做到羊毛党的前面。