“薅羊毛”这三个字大家都很熟悉。这个典故出自1999年央视春晚小品《昨天、今天、明天》中的“聚社会主义羊毛”。

如今，诈骗主要发生在互联网上，尤其是电商平台和P2P网贷平台。

如果没有利润，就不能早开始。因为这些平台有明显的好处，所以很多人都乐于去做，即使需要大量的精力。

你可以搜索一下，发现网上有各种羊毛收割信息发布网站，还有很多有组织的羊毛收割团体。这背后有一个非常大的产业。

正因为羊毛党太多，斗争才困难。许多网站和企业对此感到非常痛苦。同时，他们又觉得羊毛党神秘莫测，仿佛羊毛党拥有某种深不可测的技术，让人无法抗拒。

因此，本文的目的就是普及一下防止羊毛团伙的技术，让大家知道羊毛团伙是如何采集羊毛的，以及可以用什么方法来防止羊毛团伙采集羊毛。

可以先预览一下全文的上下文：

一、羊毛党的分类

根据具体的收割方式，毛匪大致可分为五类：

1.1 刷单和刷票

这类用户主要通过刷单、刷销量来获取利润，比如淘宝上的刷单、刷评论。刷票也算，刷票、读者数、粉丝数等都可以。

1.2 任务类型

顾名思义，很多网站都有针对特定任务的奖励，比如注册、问卷调查、绑定卡片、实名认证等。

有些人正在消耗时间和注意力，有些人只是为了金钱而出卖自己或他人的信息。

1.3 黄牛

黄牛一般利用信息不对称或技术优势、网络优势，更早、更快地获取信息。

也可能是团队合作，共享资源，往往垄断某些稀缺资源，然后高价倒卖，赚取利润。

例如：多张火车票、汽车票，现场有排队的黄牛，网上也有黄牛。

1.4 黑客

从技术上来说，这些人或许不能称为黑客。但特点是利用技术手段寻找平台安全漏洞并获取利益。

如果没有克制的话，没有必要直接杀羊。例如积分商城的商品、抽奖现金、优惠券、代金券等。

或者直接爆数据库、倒卖用户数据等，这类行为基本都是违法的，必须追究法律责任。

1.5 漏洞研究类别

这类用户主要研究活动规则的漏洞，也可能会添加一些技术手段。与黑客不同的是，系统可能没有漏洞，只是没有得到适当的保护。

或者活动规则设计得不好，无法盈利，比如信用卡维护。

当然，养卡有其深层次的原因，平台也需要这些活跃用户。这种相互依存被认为是相互依存。

如果抽象一点的话，可以分为两类：手动和自动。

手工采毛，即人肉采毛，依靠各组集中，羊头组织分配任务。其他人只需要抽出一些时间来参与即可。

自动意味着创建一组可以在特定活动期间启动或在某些平台上长时间运行的程序。

本文主要讨论：如何防止自动化掠夺？

因为除了黑客之外，这种羊毛党的危害性是最大的。防范黑客这个话题太大了，没有固定的解决方案，讨论是没有用的。

目前还没有什么好的办法可以收割人肉、完成任务、刷单等等，毕竟都是真实的用户。除非有明确的行为数据模型可供打击，否则他们只能被视为普通用户。这个稍后会提到。 。

2、操作手段预防

我们都知道，羊毛党的危害性很大，尤其是对于运营活动来说。它们造成的最常见问题是运营成本失控、数据样本失真、垃圾邮件账户混乱、对公正性失去信任等。

其中，运营成本失控，如果管理不当，就有可能拖垮公司。

数据统计的失真也导致无法清晰判断后续操作策略。羊毛党的蜂拥而至，也会降低真实用户的热情和忠诚度，将平台榨干。

防范毛茸茸的人，最重要的是控制利益的诱惑，避免直接利益，比如红包、电话费等。

对于优惠券之类的，用户需要购买才能使用，诱惑就不大了。除非是50%以上的折扣或者大额现金券。

此外，您在购物时还需要填写明确的送货地址等个人信息。 会更加谨慎。

因此，在制定营销活动时，必须制定完整的业务规则，并设定相应的活动门槛和限制，例如——

2.1 用户组限制

定义哪些类型的用户可以参与活动并指定清晰的划分线。对于具体活动，可适当提高参与门槛。比如V2以上的会员可以参加，有购买记录的可以参加等等。

这种操作主要针对特定​​群体的成员，排除用户的体验不太好。

2.2 客户端版本限制

定义哪些APP或小程序版本可以参与。例如，新的促销活动要求您必须使用最新版本的APP注册才能获得奖励。

2.3 次数/上限

从账户层面、设备层面、实名信息层面明确参与活动的上限和参与活动的频率等。

用户对活动的期望必须控制在合理的范围内，控制上限，才能有效防止羊毛党。

例如：每个账户的上限、每日活动预算的上限。活动规则还应明确，如发现有人存在刷单、刷票等违规行为，平台有权取消其参与资格或相应奖励。

这样，对于异步发放的奖品，可以在发放前检查数据，筛选出可疑用户。

最后，对于所有活跃数据，在开发前明确哪些数据需要监控。

不然活动已经开始了，没有提前种下的东西肯定拿不到。

作为操作者，你必须对数据极其敏感。如果出现用户数量或参与度突然增加的情况，一定要小心是否有流氓攻击你，而不是光顾着玩。

3、技术手段预防

我们可以先简单看一下腾讯云防刷卡接口对风险类型的定义：

通过技术手段，最常见的是频繁刷界面、恶意注册账户、撞库等。

这类毛茸茸的一方一般都维护着大量的卡，或者拥有很多可以提供手机号码+验证码服务的虚拟编码平台。

有的还可能拥有大量动态IP地址、海外服务器、批量身份证等。还有专业设备叫“猫池”、“卡池”。

对于移动业务，不少此类企业还采购大量实体手机，然后通过软件批量控制，这就是所谓的“群控”。我在《微信如何赚钱》一文中提到过这一点。

对于这种毛线党、黑灰产品，传统的防护方式一般有三种：封IP、封用户、加验证码。

下面分别解释一下——

3.1 禁止IP或IP段

对于异常IP，我们可以直接通过技术手段进行封堵。目前大多数网站的访问层都是，所以可以考虑使用deny来配置屏蔽的IP或IP段：

否认 1.2.3.4；否认 1.2.3.4/24；

如果运维层面操作不方便，也可以在应用层屏蔽请求，让WEB容器来处理。

这里需要注意的是，封锁IP或IP段是有风险的。许多公司都有统一的出口IP。如果公司很多人同时访问一个网站，可能会被误伤。

共享WIFI和一些移动基站也可能有固定的出口IP，所以最好不要轻易屏蔽IP或IP段。

3.2 禁止用户

我们可以根据某些特定的规则来过滤和识别出一组用户，并对他们进行一些限制。

可以采用黑名单机制，或者用户风险分级、信用分级等，然后根据黑/白名单或者用户级别来限制特定行为，比如：完全拒绝服务、限制某些功能、限制奖品等。

用于禁止用户的标志有多种类型。最基本的就是如果用户登录了，就可以直接禁止该账号。

如果没有，则可以通过设备指纹来识别该设备。根据平台的不同，设备指纹可以是PC上的浏览器指纹，移动终端上的IMEI、MAC地址、UUID等。

或者结合这些条件计算出密钥使其无法伪造，然后在密钥请求时验证密钥的有效性。

网络环境也是一个因素。在 WIFI 和 4G 之间切换或更改网络 IP 都可能成为拒绝服务的理由。

这种情况在银行APP中最为常见。如果您切换网络，银行APP一般会要求您重新验证身份后才能继续操作。

但目前市面上有各种修改软件和模拟器，可以不断修改设备信息，让一般的设备指纹失去作用。

这种方式的风险在于，规则必须慢慢制定，过程中难免会出现遗漏和误杀。操作不当可能会引起大量投诉。

因此，最好采用这种方法宽进严出，假设所有用户都是好的，然后慢慢收紧，以识别明确的恶意用户。

对于可疑但不确定的用户，可以先标记级别，然后单独观察这些级别的后续行为，然后提高或降低其级别。然后，对不同级别的行为进行限制。

关于羊毛用户的识别标志，可以是基础数据是否齐全，比如——

信息是否完整并具有真实可信的昵称、手机号码等；

行为数据，如鼠标点击、鼠标移动、按键次数、每次签到时间是否固定等；

更高级的，可以实现全路径实时控制策略，从APP启动、账号注册、登录，到业务场景（如直播人气/电商销量排名等），到设备风险（篡改、虚拟机、装备场、积分墙等）设置层层关卡，全栈防范欺诈。

3.3 添加验证码

验证码的种类很多，经常会添加到注册/登录/绑定卡/支付等重要操作流程中，大家应该都经历过各种验证码。

例如：注册用户时拼图滑块，我不是，手机验证码，图片验证码等。

第三方授权的功能也是天然屏障，比如微信授权、QQ登录授权。这样，恶意用户就需要先经过第三方验证。至少在访问频率和账户真实性方面存在额外的障碍。

如果业务允许，还可以要求用户进行实名认证、密码安全验证等，当然步骤越多，体验就越差。

验证码的主要作用是区分操作者是人还是机器。

但不同验证码的难度差异很大。对于普通的手机验证码，有专门的编码平台可以提供手机号+验证码服务，而且都是程序连接、自动执行。

对于通用的图片验证码，也有很多公开的图片验证码识别服务。

因此，各个平台的验证码变得越来越复杂，达到了人类难以识别的地步，体验也很差。

3.4 系统限流

限流只能在一定程度上缓解，或者说让风险可控。主要是防止恶意请求流量、恶意攻击，或者防止流量超过系统峰值而破坏系统。

上一点中的第一点IP封禁，也可以理解为限流的一种。在接入层直接拒绝，对系统资源的损失最小。

对于网络流量，可以使用模块进行限制，防止过多的流量渗透到后端应用程序。

常用的限流算法有两种：令牌桶算法和漏桶算法。

令牌桶算法是：存储固定容量令牌的桶。单位时间内只有获得代币的人才能通过，超出的代币将不会被分配；

漏桶算法是：单位时间内流出量固定，流入量无所谓。

然后，这两个想法可以用来限制网络请求的数据量、新用户的数量和发放的奖品数量。

这里是系统架构的知识，不再赘述。

3.5 离线数据分析

如果活动已经在进行中或者已经结束，但感觉有些不对劲，就需要通过线下数据分析来仔细辨别是否有羊毛党。

那么，数据从哪里来？

前面提到，除了活动所必需的数据之外，如果想要更深入地分析用户行为，在需求设计阶段就必须思考要记录哪些行为，以方便后续分析。

如果系统不提供这些能力，显然就没有相关数据可供分析。

3.6 综合解决方案

一个完整的风控方案不仅要考虑用户体验，更要考虑效果。需要考虑很多方面。

因此，有很多大大小小的公司专门提供这方面的解决方案。

例如：腾讯、阿里巴巴、网易等。此外，提供此类业务的公司也有很多。搜索“抗起球羊毛”就会出现很多。

这些解决方案的基本原理与上述技术相同，只是数据库更大，加上机器学习和大数据分析，可以更准确地识别恶意用户和黑用户。

以下内容（3.6.1 – 3.6.4）来自网易易盾《全链路风控解决方案深度解读》中提到的风控服务。不代表本人观点，仅供参考。文章末尾的参考文献中有文章链接。 ，有兴趣的同学可以去看看。

事前预防：通过数据采集收集用户侧信息，通过业务规则限制参与活动的门槛，通过身份验证确认用户身份，预防风险事件的发生。

过程中检测和处置：通过实时在线手段检测风险，并进行相应的风险处置，防止风险事件的发生。

事后分析反馈：基于长期线下数据分析，计算出用户侧、设备侧、IP侧、业务侧的各种风险特征，用于事前风控和事件风控。

3.6.1 注意事项

预防主要涉及三个层面的事项：数据采集、业务规则、身份验证。

a) 数据收集

业务活动的各个阶段都需要采集数据，主要包括设备指纹、操作行为、网络数据、业务数据、第三方数据等。

收集的数据主要用于事中风险监测和事后线下分析。

b) 业务规则

在制定营销活动时，必须制定完整的业务规则，并设置相应的活动门槛和限制，例如：

c) 身份验证

身份验证主要是保证参与活动的是用户本人。主要方法包括——

手机短信验证；验证码验证；密码验证；安全问题验证；本地验证：验证手机号码对应的SIM卡是否在当前设备使用。

实名认证分为三种——身份证OCR验证；身份证OCR、人脸验证；身份证OCR、活体检测；和个人信息。

3.6.2 进行中检测和处置

过程检测主要依靠人机识别、风控引擎、风险处置三种手段。

a) 人机识别

人机识别主要区分是人还是机器的自动化行为。

在客户端与后端的数据交互过程中，增加了以下数据保护方法。一旦发现数据有问题，就会是机器行为。数据合法性验证；数据加密和解密；数据篡改检测。

b) 风控引擎

持续检测的核心工具是风控引擎。风控引擎的主要工作是识别风险。一般风控引擎需要具备以下功能：

c)风险处理

识别出风险后，需要进行风险控制。治疗方法一般包括：

3.6.3 分析后反馈

之后主要进行离线分析，分析结果可以用于事件发生前的实时检测和预防。对于T+N业务（例如：新兵奖金提现），经过线下分析，如果发现风险，也可以拦截（拒绝提现）。

离线分析主要有几个方面：

3.6.4 全链路部署与控制

全链路风控解决方案的另一个非常重要的流程是：全链路部署和控制。如果只搭建全链路风控模型（工具）而不进行全链路部署，那就大材小用了。

全链路的部署和控制主要需要——

1）多业务部署

业务的各个环节都需要部署反欺骗措施，一般的营销活动都需要注册登录才能参与营销活动。

因此，风控检测可以部署在注册、登录、营销活动等各种环境中。

2）联防联控

前端业务为后端业务生成事前特征，避免后端业务风控检测冷启动；

后端业务为前端业务提供准实时、中长期风险特征等事后特征。

3.6.5 第三方解决方案的缺点

第三方解决方案的缺点是对系统的侵入，需要我们将大量的外部代码嵌入到自己的系统中。

那么，带来的风险有：所有系统数据对外开放、用户数据风险、业务运营数据风险、系统可用性风险等。

一旦外部系统出现问题，我们自己的系统可能会变得不可用或数据泄露。

如果您不能接受这一点，或者您不能信任第三方，或者您的公司政策不允许，那么您不能使用此服务。

4. 总结

最后我总结一下全文的提纲。如果您之前没有仔细阅读过，可以直接阅读这里。

（1）适用范围：主要针对自动化羊毛收割的防御。

(2)业务逻辑设计

谨慎开展吸引新用户的活动（吸引新用户奖励、注册奖励、关注奖励、新用户即时折扣、每日签到、签到、赚取积分、兑换积分、抽奖）。

(3)系统设计

接入层：频率限制、IP黑名单（代理IP识别）；

应用层：漏桶、令牌桶算法；

接口层：访问控制、防重入（用户操作的唯一标识）、模糊响应迷惑恶意请求；

业务层：验证码、黑白名单机制（大数据）、设备指纹、行为数据、全链路部署与控制；

接口层：提高破解门槛，防止自动化（按键向导等）；

数据分析：分析历史作弊数据，优化活动奖励，采取封杀策略。与其强硬一刀切，不如增加攻击成本，减少利润；机器学习、大数据反作弊平台、GCN、GAN、GBS、LSTM等模型看不懂~

以上就是防范羊毛帮的全部相关技术。建议收集它们。最后我们回顾一下文章的背景：

5. 问答

问：我应该使用第三方风控服务吗？

回答：

这完全取决于你的公司或业务的情况，包括对数据风险的承受能力、系统集成的难度、成本问题、招标等，具体情况具体分析。

问：被拒绝的用户有什么体验？

回答：

这可以通过适当的灵活性来处理。如果不确定用户是否恶意，可以进行隐式限制，并根据后续行为继续观察和标记。

对于恶意界面刷卡、刷票等行为，还可以返回令人困惑的错误提示，防止傻瓜猜测系统的判断逻辑。比如我就遇到过一个刷票的界面。我尝试用技术手段，每次都返回投票成功，但实际上并没有发生，而且你也不知道为什么，因为没有具体的错误代码或提示。别问我为什么知道。

问：有限制自动化的具体例子吗？

回答：

微信PC客户端就是一个很好的例子。您可以尝试使用Key 或类似软件，但您会发现它的窗口无法捕获，因此很难编写自动化脚本。不过，在下，由于系统可以高度定制，所以这不是问题。

好了，如果还有其他问题，欢迎留言与我交流。

参考：

如何获得

点击下面的小程序

参与【本期热点话题】的解答

就有机会赢取书籍

▼▼▼

具体规则：

1、【运营派精选小程序】将于12月4日11点11分自动抽奖，抽中1人中奖。