作为天天与羊毛党相爱相杀的风控从业者,昨夜我一夜没睡。
别问我干了啥,不懂薅羊毛策略的风控在我看来全都是没有实战经验的弱鸡。
昨夜整个羊毛世界都沸腾了。
先讲暴露了哪些问题,再讲追责。
1.在电商行业,对于无门槛券是非常非常重视的,因为不同于有门槛券(满多少减多少,创造GMV和毛利抵扣),某种程度上,无门槛券等同于送现金,所以针对无门槛券,必须有一系列的核身策略,保证这张券不能被相同的人所领取。
核身策略中最常见的就是不同账号出现了同一收货手机号,同一收货地址,同一历史行为,同一IP,同一设备ID,同一支付ID,LBS,资料血缘,关系网络等等等一系列策略,这些可以防范住最大批量的LOW比羊毛党和低端机刷党,是电商最常见基础防范手段。
但昨夜,拼多多暴露出来没有这套东西,或者说这套东西没有配置到这张券的ID上,因为直接用猫池+脚本API,就能批量自动操作,这也是巨额数字怎么在9小时内就被搞出来的,因为基本没有设置门槛。
2.由于无门槛券几乎等同于现金,所以除了核身策略,往往还有其他匹配的风控体系,例如单人领取金额上限(1个月内领券不得超过XXX元),例如券额限制(无门槛券不得高于单张10元),例如消费领域限制(不得用于购买Q币,话费,游戏充值等虚拟物品)等等等等,这一系列的策略的目的就是拦截灰产的变现体系以及追溯灰产身份,例如无门槛只能买实物,那么就必然要留收获地址,那么这个地址就可以做很多事情,即使是假地址。
而且实物发货的话,拼多多是来得及拦截发货和半路撤回的,我经历过这种大面积撤回包裹。
但昨夜,这一系列限制统统都没有,羊毛党的变现最看重的就是高流通性和赢通性的产品,例如Q币,话费,这些东西很容易就能洗干净变成现金,很多羊毛党都有专门的洗白通道,现在这个节点,速度快的羊毛党已经全部变现了。
3.即使1和2都没有,也应该有一整套监控体系,对于优惠券的流向以及流量监控,并且设置报警阈值,失效机制,熔断机制,这些风控和大数据都应该早就准备好的。
就算我上面说的实现起来需要时间,那么就基础电商平台该有的商品销售TOP10,品类TOP10这样的可视化数字大盘也该有吧?肯定第一时间就发现就TM这些Q币话费卖的好,GMV出现同比环比的各种异常。
但是也没有,这个东西居然是被研发因为并发异常先发现的。
根据123,透露出来的问题是,优惠券设置逻辑没有过大脑,高风险业务无风险意识,风控交易与反欺诈策略缺失,数据监控体系及熔断机制缺失,要么是拼多多的风控没脑子,要么就是业务驱动,逼的风控不敢多讲话,这不奇怪,电商公司都是业务驱动,GMV是爹妈,风控这种挡GMV的角色往往被业务踩在脚下摩擦。
4.说完风控,再看看其他部门。
这张券是凌晨1点上线的,无门槛,大面额,全品类通用,假使这张券真的应该存在,那么,这种券的上线难道没有经过多级审批么?测试没有测出来吗?上线后没有至少120分钟的持续观察效果吗?
整个系统上线流程都有问题,运行监控也是缺失。
相关的研发到测试到运维,都有很大的责任。
5.问了下内部的朋友,说是这张券是某人配置失误,系统自动上线。
那问题又来了,整个优惠券系统里面,对于券的条件限制(金额,门槛,适用范围)是缺失的,并且在券发布的时候,没有中间隔一层预发环境来做缓冲,也没有做流量测试,就能直接上生产环境?上了也没有持续监控?
即使是配置的运营犯傻逼,但涉及到现金的业务如此草率,这部分研发是拼多多上买来的吗?
结合4和5,透露出的问题是,整个系统上线机制不合理,业务系统配置中没有加入风险校验环节,预发环境形同虚设,业务上线后的持续人工监控缺失。
考虑到拼多多引以为傲的高并发支持,我只能理解这条壮汉外功已经登峰造极,但内力大概是肾虚的小学生水平,这不意外,因为内功修炼是很难拿出去吹KPI的,所以大神程序员都不愿意做,都是能用就行的态度,这是血的教训。
6.我们来谈谈如何止损。
6.1已充出去的Q币和话费,如果还没有被羊毛党变现,那么也许还能追会一部分,QQ可以直接回收账号,三大运营商也能锁号扣费,但是这里面涉及到了很麻烦的一个问题。
那就是他们凭什么配合拼多多?因为这些交易都是拼多多认可后才让他们执行的,他们没有道理由着拼多多任性,腾讯爸爸可能会帮一把亲儿子,但是三大运营商可未必会配合,当然联通由于混改加入了股东腾讯,所以联通可能会配合。
另外不知道拼多多和他们是怎么结算的,是像iphone代理一样实时结算,还是类支付宝的先资金池再按时结算。
如果是前者,那基本很难追回了,如果是后者,那就是一场惊天撕逼大战。
6.2拼多多肯定不会善罢甘休的,羊毛党深知这一点,所以才在薅够了之后公开这个BUG,期望把水搅混,法不责众。
这个BUG是夜里5点左右公布出来的,然后就是全民狂欢,这些狂欢的人,我们一般称之为肉机,就是真人,真机,真身份,真行为。
现在的情况是,假使拼多多报警,能否抓到这些羊毛党头子,作为攻防的老手,我想说的是可以抓,但前提是拼多多有足够多的人力物力往里面投,并且数据保留要足够精准。
如果拼多多的数据部门和运维部门傻逼到定时清缓存,或者设置了某个系统BUG直接重启的话,那就不用抓了,没数据你怎么追溯。
另外就是这些被刷的都是虚拟物品,就看拼多多能不能抓住他们变现的节点来追溯身份了,祝他们好运。
6.3这批羊毛党一定有法律风险,但是只是那批最low的会被逮住,最大的几个早就变现隐匿了,人家用的东西都是没法追溯的。
真正的反追溯不是隐藏自己,而是创造更多虚假的自己,这才是高手所为。
6.4不用担心拼多多破产,最终的实发金额,亏损金额,未追回金额等等一系列的数字没有那么夸张的,虽然金额不会特别天文,但是拼多多自己说的千万级也太糊弄人了。
还有买了拼多多股票的各位,下一个交易日见,对于电商而言,这么初级的错误很有可能会导致投资者信心丧失。
总结一下这个案子,拼多多是狂奔的超级独角兽不假,但在业务猛增的时候,内功没有修炼好,导致被一剑封喉。
原本就不该出现这种券,就算出现了也不该上线,就算上线了也应该被监控到,就算没有监控到也不该被同一批人领走,就算被同一批人领走也不该能应用于虚拟物品,就算能被应用于虚拟物品也不该9小时后才被制止,这其实不是一个问题,而是一系列问题。
这一系列不应该的阴差阳错,导致了这个巨额亏损,那么问题来了,这一系列问题下,拼多多的交易数字还可靠吗?之后美股怎么看这件事?这也是一场好戏。
内功一塌糊涂。
至于为啥不修内功嘛,一来修内功外人看不到,对外不方便吹逼讲故事,对内不利于个人晋升答辩(毕竟风控这种东西,除了金融领域,都很难量化成果),这种事情聪明人最不爱做了,可惜这只是小聪明。
二来嘛,很多电商为了讲故事,拉高估值,GMV可着劲儿注水,高层睁一只眼闭一只眼,很多运营恨不得管羊毛党叫爸爸,跪求他们来薅,反正羊毛薅完,GMV是特别好看,亏损是公司的,绩效奖金和升职加薪是自己的,所以何苦来哉?
对风控而言,最大的敌人,永远在内部。
这是风控的宿命。
————————————
一个关于拼多多后续操作的猜测:https://www.zhihu.com/question/309695100/answer/578474218
一个经常瞎JB说大实话,又特暴躁的公众号:半佛仙人(ID:banfoSB),看到了吗,我暴躁起来连自己都骂。
准确说来这同我们之前看到的一些案子本质上区别不大。就本案而言,我们可以考虑发散两个问题:
1、刑法如何打击网络黑产犯罪
2、所犯之“产”是否足以保护
关于网络黑产犯罪,海淀区人民检察院做过一个统计(至2018年6月):
2016 年 9 月以来,北京市海淀区人民检察院受理网络犯罪案件 450 件(1 076 人),其中审查逮捕 245 件(588 人),审查起诉 205 件(488 人),涉及 27 个罪名。
二、案件特征1. 低龄、低学历化犯罪主体呈现低龄、低学历化特征。犯罪普遍呈现年轻低龄化:1990 —1999 年出生的 221 人,占比 37.58 %;1980 —1989 年出生 283 人,占比 48.12 %;1970 年以前出生人数仅占 14.11 %。犯罪的行为人普遍学历较低:本科及其以上学历 82 人,仅占 21 %;高中、高职教育主体 68 人,初中、中专、小学等教育主体242 人,占 62.5 %。男性主体占较大比重,审查起诉案件中男性占比 77.66 %。
这某种意义上也比较符合我们对羊毛党的认识,关于为何主要是低龄化与低学历化。海检科技检察部的白检察官说出自己的心得是:境外黑客向境内人士,提供好了教程与程序,技术难度并没有我们想象的大。
而在我国现行刑法中关于计算机网络犯罪的条文主要在285-287条,其中在一般没有更特殊情况下,大多应用到了287条的提示性规定:
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
其它几罪都各有利用场景,但是在此碍于篇幅不多做叙述了,列图示之,有兴趣大家可以找来皮勇教授的《论新型网络犯罪立法及其适用》一文,其中对287条提示性规定以外的其他几罪都有叙述,下图所反应的只是众多网络犯罪的一些类型:
那么,第二个问题是:优惠券属不属于“诈骗”“盗窃”的保护范畴呢?
且看几个案例:
2015年2 月至 6 月间,黎某与他人合伙虚构“开元小菜”等33 家商户,与汉海公司签订《团购技术服务合作协议》,在无真实交易的情况下通过自买自卖并使用大众点评网优惠券的方式,骗取汉海公司 60 余万元。黎某分得赃款 40 余万元。法院判处黎某犯合同诈骗罪,判处有期徒刑二年,缓刑二年。
“店长盗充积分案”。江某在担任某商场专卖店店长时,偶然发现通过店内 POS 机买单可获得商场会员积分,退货时积分却不会扣减。根据该商场的会员卡积分规则,会员每消费1 元积1 分,积分可以兑换抵用券或者直接在消费中抵扣现金( 100 分抵现金 1 元) ,遂开始以上述方式盗取积分。江某盗取积分除自用外,还通过将积分兑换成积分87抵用券出售给他人,以及直接往他们提供的商场会员卡中盗充积分的方式牟利。截至案发时共往八张会员卡中盗充积分 4713 余万分,折合人民币 47万余元。判决认定: 江某以非法占有为目的,采用盗充商城积分的方式秘密窃取单位财物,数额特别巨大,其行为已构成盗窃罪。江某盗充积分的行为一完成,其盗窃行为即已既遂。对积分采取以何种方式兑现,并不影响盗窃罪名。盗充完的积分按一定比例折现,在商场购物时按人民币使用,与理论价值无关。判处江某犯 盗窃罪,判处 有期 徒刑十年
我国司法解释中并无专门针对积分、优惠券的意见(但据说快出来了),但对其它财产性利益如有价证券、银行卡、虚拟财物等有所规定。如在2013 年 4 月 2 日发布的《关于办理盗窃刑事案件适用法律若干问题的解释》中规定对于盗窃有价支付凭证、有价证券、有价票证的可构成盗窃罪。
相应的在网络犯罪上,最高人民法院公报案例“孟动、何立康网络盗窃案”将盗窃虚拟财产认定为盗窃罪,数额以现实对应的财产数额计算。总体来看,最高司法机关通过司法解释和指导案例肯定了财产性利益中的虚拟财产和债权可以成为财产犯罪的对象,损失则以实际损失或最终结果计。
据此,也有学者总结了我国处理网络财产安全犯罪的一些特点:
一是是否定罪存在争议,大量以积分、优惠券为对象的案件没有进入刑事司法程序。
二是犯罪对象认定一元化
三是损失认定呈现唯结果导向,在认定的时点上采最终时点,认定的数额与最终财物对应。
四是均认定为一罪,不讨论罪数问题。
因此,虽然这次大家薅羊毛是薅的“无门槛优惠券”,但这可能并不影响法律上对其的追诉。并且事实上所得优惠券已经用出,这与之前所发生了“利用首单优惠”都可能被以诈骗或是盗窃(视手段)等罪名定罪并无太大的差别。
所以qaq薅羊毛有风险,看着数额才是真
@王瑞恩 谢瑞恩大佬邀请~~(略有仓促,择机视情节的披露 再添补答案)
本文中ppt图来源自清风苑系列讲座
上限许霆(追究刑事责任),下限 airbnb(不追究),中间有个不当得利(通过民事诉讼挽回损失)。
解释一下,许霆案是发生在 2007 年的一起刑事案件。许霆发现了广州市商业银行一台 ATM 的一个系统故障,取 1000 块,实际只会在自己的账户里扣一块钱。发现这台「真 自动取款机」以后,许霆连续取款 5.4 万元,随后又和一名友人再次光顾,反复多次操作。许霆先后进行了 171 次取款操作,获得 17.5 万元。
此案经过一审 - 重审 - 二审 - 最高人民法院核准的程序,最终,许霆因盗窃罪成立被判处五年有期徒刑。许霆案引发了广泛社会争议,一种论调认为,许霆插入银行卡并输入取款金额和密码的行为,和正常使用 ATM 的其他银行客户没有区别,不应属于犯罪行为。对此,张明楷教授发表了《许霆案的刑法学分析》一文,进行反驳:
...对行为的评价是不能离开结果的 。离开了 “死亡 ”结果 , 不可能有 “杀人 ”概念。 换言之 ,一个行为是否属于杀人行为 ,不可能单纯从行为的外表作出判断, 而是要根据行为是否致人死亡以及是否具有致人死亡的危险性得出结论。基于同样的理由, 许霆的行为是否属于盗窃行为 ,不能单纯从其行为的外表作出判断,要根据其行为是否非法转移了银行对现金的 占有从而导致银行遭受财产损失得出结论 ...
(张明楷《许霆案的刑法学分析》,《中外法学》Vol.21, No.1(2009)pp.30 -56)
这也可以用来讨论金额极大的「羊毛党」行为:离开损失,单独评价行为外表和其他用户合法使用的行为相似性,有失偏颇。
--
这是上限,但随着许霆案引发的广泛社会影响以及司法实践的时代变迁,刑法在此类纯经济损失问题上正在表现出更多的谦抑性。
一种取其中道的方式,是通过民法中的「不当得利」加以调节。不当得利,有四个构成要件:
1、一方获得利益。这里也包含「消极利益」,即财产本应减少而未减少,所以获得折扣、优惠也在此列。
2、他方遭受损失:至于损失由拼多多还是移动运营商承担,会决定不当得利返还请求权的行使主体。
3、一方受益与他方受损之间存在因果关系,
4、以及一方受益并无法律上的原因。
在本事件中,前三个要素都很容易证明,至于是否存在法律上的原因,要结合具体用户协议和产品形态进行讨论。从问题描述来看,成立不当得利的可能性很大,拼多多没有向用户重复发放大量优惠券的真实意思表示,「羊毛党」用户也有理由意识到这不是正常进行的交易行为。在此基础上的收益缺乏法律上的原因。
--
至于下限,则类似于今年初 Airbnb 的支付货币种类 bug:
有用户发现,在 airbnb 的支付界面更改货币种类,实际需要支付的金额数字没有变化。这样一来,100 津巴布韦币可以用来支付 100 美元的订单,这个 bug 也在短时间内让一些用户尝到了甜头。有网上讨论称 airbnb 并未强制取消通过这种方式低价「薅」到手的订单,也未见有相关用户被追究法律责任的报道。
对羊毛党的容忍,可能是出于采取法律手段的成本考量,可能是出于公关和维护企业形象需要,也可能是因为企业购买了对此类特殊情况的保险。
拼多多羊毛事件目前信息有限,这里只介绍一些可能的发展方向,或许能成为本年度电商相关法律和营销经典案例。
风控行业今天达成的一致认识是:拼多多事件也许会让更多的互联网公司认识到风控的重要性,尽管代价是巨大的。
当业务极速扩张时,企业只关注业务的增长曲线,而容易忽视业务安全的建设,当营销活动被黑产团伙”截胡“时,才意识到业务安全防控的重要性。这也是安全行业常被人戏称“不出事的时候没人关注,一出事大家都上心”的原因。
话说回来,此次事件尚未有官方公布的事件细节,但从市面上已有的信息来看,拼多多事件凸显了业务管理中至少两个方面的问题:内控机制可能不严格,导致过期活动的优惠券未下架,让用户以及别有用心的团伙找到了入口;同时,拼多多可能也没意识到多层风控体防护的重要性,从而在薅羊毛事件大批量发生后,没能及时察觉、及时修复,从而使得损失进一步扩大。
类似拼多多今天面临的风控漏洞只是互联网企业业务风险的一角,那么企业究竟应该怎样防范此类营销活动的风险,减少经济损失呢?
顶象反欺诈技术专家做了一个很形象的比喻:“反欺诈就跟塔防游戏一样,需要层层设防,才能有效防范”,一个“全副武装”的互联网企业业务平台应该是这样的:
有风险管理意识,并建立营销反欺诈体系。在策划营销活动的时候,就应具备风险管理意识(谁能想到一张过期的100元优惠券竟然能引发上千万元的“血案”?!)需要考虑到营销活动规则与技术之间的配合,将业务纳入到营销反欺诈体系的保护之下。今后可能很多的互联网公司在做大面积营销投放时,都要去和公司的风控部门合作,全盘考虑活动期间存在的各类风险是否已提前防控。
及时部署专业的风控解决方案。专业、完整的风控解决方案无论是营销作弊、刷红包、薅羊毛、还是推广作弊等欺诈风险都要考虑到。基础一些的业务安全防范需配置如App加固和专有虚机源码保护,防范电商客户端、H5、Web被破解入侵,防止攻击者通过端口漏洞进行批量注册、批量登录、批量抢单等,还可以通过安全SDK保障电商客户端、存储数据以及数据传输的加密等。复杂的一些的业务场景如互联网金融等还会需要配合实施决策引擎,及时发现各类风险操作,并通过验证手段进行有效拦截,在企业业务有需求的情况下,还会引入智能模型平台建立符合业务场景的风险模型,进一步提升风控效果。
综上,互联网企业的业务即是营收的主要入口,也是风险的直接来源。通过技术手段做异常风险的核验与阻断是非常非常非常重要的!只有预先具备风险防范意识,才能在风险来的时候,最大限度降低损失。
什么?你还要问我“羊毛党”是否有法律风险?
今天这个案例里出现的“薅羊毛”已经不是我们理解的消费者参与企业主动让利的营销,而是黑灰产利用企业的业务漏洞,借助技术手段,批量抢夺原本属于用户的优惠和福利,甚至还有再转售进行获利的嫌疑,所以这类行为肯定是违法的,这个点上应该没有争议。
拼多多的声明中提到已经报警。顶象技术反欺诈专家总结过,黑灰产的行为在法律主要涉及四部分:
1、通过假冒身份、虚假注册、修改软件等手段获利,都以非法占有为目的,则可能构成盗窃或诈骗。
2、虚构事实、假冒身份、使商家产生错误的认识而主动把钱打给”毛党羊是诈骗行为。3、购买和冒用他人的身份信息涉及违法。
4、涉嫌滥用公民信息。
以上违法行为的惩罚措施,在《网络安全法》、《刑法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等有明文规定。
针对用户信息的保护,去年6月1日实施《网络安全法》第四十二条有明文规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。所以,网络运营者有保护个人信息的义务和责任。盗用他人身份证注册虚假账号涉嫌违反《中华人民共和国居民身份证法 》第十七条。
针对用户个人信息泄露或被窃取的问题,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;应当认定为刑法第二百五十三条之一规定的“情节严重”。
“刑法第二百五十三条之一规定”是这样写的:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。