据不完全统计，我国每年有超过千亿资金落入黑产的口袋，其中营销场景成为了重灾区，营销场景的业务门槛低、利润高、自动化达成率高等特性让黑产流连忘返，同时也给各大公司营销业务带来了直接或间接损失；行业内的黑产五毒：羊毛党、黄牛党、打码党、金融欺诈党、小程序网赚党，也成了这里的不速之客；那今天我们就揭秘下排名五毒之首的“羊毛党”讲述下他们是如何寄生在营销场景，腐蚀着上亿的营销资金，我们又是如何进行的防御对抗。

羊毛党，网络流行语，源于1999年央视春晚小品《昨天・今天・明天》里的薅羊毛一词，指利用规则漏洞或者通过钻研规则，在规则之内获取一些小利益，俗称占便宜。羊毛党便是对薅羊毛用户的戏称；黑产链条中，羊毛党的军团是非常庞大，有组织性、较强的传播性、较强的信息感知度、以及经过了多年的进化 已经持有精良的黑产武器（黑产的自动化工具平台类，例如早期的猫池、箱控、刷活动工具等等）组成了羊毛军团。

攻防实验室，通过长期的调研攻击者样本数据，羊毛党的行为数据、以及来自情报平台的分析，大致划分几种攻击方式：

接口层攻击

接口层攻击是较为常见的一种攻击手段之一，黑产人员通过抓取业务请求数据，解析交互过程中调用接口的逻辑关系，写成工具批量进行作恶。

抢购小助手工具

通常，通过业务接口集成工具化散播在互联网上，供更多的人使用是黑产传播性的一种表现，他们为了让广大的羊毛党从四面八方发起进攻获取利益，目的让对应系统的风控人员从数据层面很难定位到团伙，从而难以打击；第二，黑产会试探风控策略，有目的性的进行试探攻击，识别策略逻辑；对应的智能风控通过策略、设备指纹、行为序列、模型、图等相结合，早已形成一道智能屏障，让黑产之路水泄不通。

接下来我们揭秘下接口层的集成工具抢购助手的逻辑：

登录，登录的环节黑产一般为了不暴露自身更多的信息会供养大量的攻击账号，根据业务的不同，账号的性质也有所不同；黑产通过发卡平台+接码平台这种方式登录是黑产的常见的手段，那么当黑产把工具散播到网络上时，就会有大量的羊毛党利用各种各样的账号类型，发起攻击，这里不乏有自己实名的账户，形成了数据样本的复杂性；当登录成功后，工具获取到的是本次登录态cookie， 黑产通过一些抓包工具会从真实的操作业务流程中，抓取对应的接口，进行分析、集成，把登录+业务接口逻辑进行了封装，就形成了抢购小助手工具了；达到了批量作恶的目的。

作为防守方智能风控系统会通过强大的舆情系统推送过来的发卡风险手机号识别一部分风险，同时设备指纹维度、行为序列组合判断、以及策略的聚集性部署为这种短时高频的刷单行为埋下的定时炸弹。

抢购小助手逻辑

业务层（UI层）

业务层薅羊毛是由一些有组织，有规模的高级黑产所使用的（存在一定的运营成本），也规避了接口层的弊端，比如：https协议接口无法获取相关报文信息、接口层存在防刷限制等；为了获取到利益，我们的对手比想象中要强大的多，接下来我们来看下批注的脚本的逻辑图。

批注脚本逻辑图

对于黑产来讲，熟练的使用接码平台 + 发卡平台是入门黑产黑科技门槛之一。

发卡平台：负责提供大量不同类型的账号，这里面包含了实名账号、未实名账号、账号+密码以及带CK账号、老白账号、新账号、等等各种账号的集结地，统称发卡平台。

接码平台：负责接收发卡平台提供的手机号的短信消息（现阶段已经有大量的接码平台转移到QQ趋势）。

红手指：红手指是一种云控的手机，可以通过客户端直接接入到云端手机，提供方负责运营，收取一定的使用费用，也是近些年来黑产所使用的利器之一。

篡改工具：手机端的篡改工具是通过软件形式，改变机型的属性，让机器的本身属性发生变化的一种方式，篡改行为在黑产链所使用的目的主要是为了绕过智能风控-设备指纹进行非法行为，使用较为普遍。

通过发卡平台 + 接码平台相结合登录系统，让风控难以发觉异常，黑产登录后，才开启了真正的拉锯战；魔高一尺道高一丈，攻防是在每一分每一秒间进行着，风控系统对于黑产来讲，是一道不可逾越的屏障，一道道的策略为他们部下了天罗地网。经过这些年攻防进化，高端黑产人员也已经积累了一定的防守知识，形成了不同的攻击策略，黑产为了绕过策略限制云控+篡改软件+自动化行为，试图绕过智能风控，通过脚本控制云端多个手机，每次操作，进行一次篡改设备，进行批量的操作的行为。这种攻击成为业务层攻击（UI攻击），UI攻击的特点在于，可以模拟普通用来操作页面，让风险感知降到最低，企图绕过智能风控系统作恶。

这种行为早已让智能风控所识破，黑产的攻击在不断的演变。智能风控在对抗黑产中的本质就是：在攻防中持续提升自身能力，得到自我学习和自我进化。

-----------------------------------------

（市场有风险，投资交易需谨慎。据此投资交易，风险自担。）