调查二:曾经的“羊毛党”现身说法

  本质是寻找技术漏洞,一般防范较难奏效

  “羊毛党”的运作方式是什么?收入状况如何?如何看待自己的这种行为?围绕这些问题,记者经过多番寻找,经中间人介绍,采访到一位原来有过“薅羊毛”经历的刘先生(化名)。

  采访初始,刘先生首先向记者强调了两点:一是只能提及他曾作过多年程序员的身份,不能批露其真实身份;二是要在报道中强调,他目前已经“退出江湖”,已再没有“薅羊毛”的行为。以下为访谈记录:

  投票一周内投票达到20万票

  记者:能不能先谈一谈你参加过的比较典型的例子。

  刘先生:我曾经通过“挂马”帮人投票,实现一周投票达到20万票。具体来说就是通过第三方门户网站挂软件,只要访问他们门户网站首页,就自动为我的客户投票,而且IP地址真实来自全国各地,从时间和数量、地点等的统计分布上也具有真实性。当然这20万用一周时间来实现也是出于投票合理性的角度来考虑的,否则时间可以更短。

  记者:你当时是通过什么程序来实现的,花了多长时间?

  刘先生:当时写程序只花了半天时间,是用JavaScript+PHP语言实现。

  十分钟写完程序“截”中奖品

  记者:还有跟“薅羊毛”相关的案例吗?

  刘先生:我参加过一家网站的抽奖活动。经过分析发现,他们的后台程序未做手机号短信验证及图片验证码验证和同IP数量验证,也就是说可以用同一IP地址的机器,随机生成手机号码高频率注册用户抽奖。这样我就利用易语言编了个程序,只花了大概十分钟,参加到活动当中“截”中了他们的奖品。

  如果他们的网站做了手机号短信验证及图片验证码验证和同IP数量验证的话,那也影响不大,只是稍微增加一点难度。因为仍然可以通过网络找到很多免费或者便宜的短信验证号,一千条约50元钱,程序也没有增加难度。

  如果对方要求图片验证,也可通过网络自动实现提取验证码;如果对方有同IP数量验证要求,则通过代理服务器实现。网上有很多免费代理服务器可使用,也可付费使用高质量代理。

  这样我10毫秒可以提交一个抽奖用户,5分钟内可达到30000用户。如果他的真实注册用户为1万个,那么我注册的用户数可以达到75%的中奖率,大大提升中奖率。

  “羊毛党”群体画像

  记者:你是怎么看待“羊毛党”这个群体的,这个行业里面是不是也有一些区分的?

  刘先生:我觉得基本可以分成“低端薅”羊毛和“专业薅”羊毛。

  “低端薅”羊毛就是一种拿时间、“人头”换钱的行为。主要是利用电商结算漏洞,发现错误定价、错误打折行为后“奔走相告”,换一些生活用品造成商家损失。这种“报告人”的获利行为,主要是在他们的群体中获取利益以及获得信誉度,其真正赚钱的是羊毛群群主即“羊头”,通过会费、商家推广费等赚取费用。

  “专业薅”羊毛的行为,真正的本质是寻找技术漏洞,主要针对抽奖类。通过测试分析发现抽奖漏洞,开发对应程序,或直接渗透到后端更改抽奖结果,最终获益。这种有一定的技术门槛,需要有一定开发能力和网络通信协议分析能力,一般刚入门的人是无法搞定的。

  中过各类奖品,二手平台转卖套现

  记者:你都抽中过一些什么奖品?最后是怎么进行处理的?

  刘先生:那几年我抽中过手机、电饭煲 、自行车、音响之类,然后通过二手网络平台等转卖套现。因为我只是偶尔“玩玩”,所以总获利也并不多。因为知道这个始终属于灰色地带,很难往前走;另外破坏大于建设,不利于行业健康发展,所以我现在已经“退出江湖”了。