近日，北京市海淀区人民检察院办理了一起“薅羊毛”案件。海淀区人民检察院以被告人黄(化名)涉嫌为侵入、非法控制计算机信息系统提供程序罪向法院提起公诉。经法院审理，被告人黄当庭认罪，被判处有期徒刑三年六个月。

记者咨询海淀检察院官微发现，本案中，黄利用技术手段，为某母婴APP的优惠活动批量虚假注册账号，并使用这些账号“薅羊毛”，是货真价实的“羊毛党”黑产。

“在这种情况下，羊毛党利用APP的技术漏洞，为薅羊毛设计了一个程序，已经达到了‘羊圈’里的专业水平。”在薅羊毛接触过黑产的匿名(化名)告诉记者，“羊毛党通常自称‘羊圈’，主要分为三个层次:专业羊毛党的黑灰产、网络报团、贪小便宜的兼职羊毛党。”

10月9日至10月16日，新京报记者多方采访发现，羊毛党组织分工明确，参与者众多，已成为一个“羊圈生态”。在这个生态圈的顶端，是研究优惠活动设计师漏洞、拥有数百个账号、使用“薅羊毛”技术手段的专业羊毛党；底层则是贪小便宜，利用闲暇时间注册各种账号，领取验证码，只为“赢”一两个红包的底层真实用户。

多位专家对新京报记者表示，薅羊毛打击黑产最有效的方法是直接打掉其产业链上游的恶意注册工具提供商。

低端羊毛党

包括阿姨叔叔学生，关注8个微信官方账号1元钱。

薅羊毛可能导致个人隐私信息泄露，或陷入赌博等骗局。

在北京工作的陈骁是一位宝妈，也是各种打折活动的粉丝。在参加各种打折活动的过程中，她加入了专门通知各种有奖活动的“福利群”。

陈骁告诉记者，“福利群”里有专门的“线人”，收集全国各地的福利或优惠活动，统一发到群里。她只需要直接抓住它们。“每天都会有很多抽奖或者直接发红包。一天下来刷刷就行了，饭钱都付了。”

10月12日，新京报记者加入陈骁的“福利群”，发现该群制定了非常严格的群规:群成员要有统一的名字，通过举报人提供的羊毛线索领取红包后，需要在群内互相感谢。整个小组几乎没有多余的发言，只有源源不断发来的“羊毛”信息和整齐划一的感谢语句。

告诉匿名新京报记者，这个“福利集团”是一个位于“羊圈”生态中下游的网络报业集团。在网络报群中，有线记者帮助收集网上所有有奖活动或福利信息，群成员可以根据有线记者的指导进行“薅羊毛”操作。另外，如果群成员看到有‘薅羊毛’潜质的有奖活动，也可以私信群主。"

新京报记者加入了一个未被禁言的网报群，发现群内“羊毛党”构成复杂，有失业的闲散人员，也有上了年纪的大爷大妈，甚至还有还在上学、想赚点零花钱的学生。成员分布在全国各地。比如重庆某群成员发布本地某公司的羊毛信息，并注明“只能抢重庆的IP”，记者询问IP不一样怎么“薅羊毛”，对方回复说下载一个APP修改IP地址信息就可以了。

有各种各样可以被骗的活动:有商家优惠活动参与活动抢红包，有知识答案参与并正确领取红包，也有小游戏领取红包。不过大部分都是关注微信官方账号后抽奖或者关注后直接发红包。

10月13日，新京报记者在某网络报业集团的统计中发现，一个小时内，有10家网络报纸可以“薅羊毛”，每家网络报纸可以“的金额在1元左右。照此计算，一个普通的“羊毛党”一个小时内可以赚10块钱。但由于网报发送任务中有相当一部分是抽奖，并不是所有的优惠活动都能“赢”羊毛，普通团友一天下来真正能赢的金额基本只有十几元。

陈骁说，参加这个小组的收入取决于他参加了多少任务。“我就是无聊参加，赚外卖钱，一个月估计100多。如果定期参加活动，估计一个月能挣几千块钱是比较理想的，但是不值得。”

10月13日，记者在某网络报业集团尝试进行“薅羊毛”行动。打开网报记者提供的五个链接后，按照提示关注微信官方账号，领取验证码，答题或抽奖。但最终抽奖有三个环节失败，一次答题活动后没有发放奖金。只有通过玩游戏“1元”在一个游乐园开业活动的折扣。然而，为了拿到这笔钱，记者花了20分钟，关注了8个公众号，手机收到了5个验证码。

对此，有业内人士表示，在微信官方账号使用手机号注册或填写个人信息，可能会导致个人隐私信息泄露。新京报记者调查发现，一些低端“羊毛党”对此并不介意，甚至有人兜售自己的手机号，为他人领取验证码。

值得注意的是，也有不少假冒的“福利群”打着“薅羊毛”的名号吸引新用户。

10月14日，记者以“薅羊毛”等关键词搜索多个社交平台，发现不少微信或QQ群其实是一些赌博或假冒区块链网站，以福利福利的名义吸引用户注册，推出声称可兑换的代币或彩票。有安全专家表示，这种名为福利的“福利群”往往与欺骗甚至传销联系在一起，贪小便宜的用户误以为可以“薅羊毛”，往往会被抓。

揭秘报业集团

每天推几千个红包，变成黑工具。

黑产利用低端的“羊毛党”薅羊毛，情报组和任务组成为分销渠道。

有业内人士估计，中国羊圈专业网络报纸活跃用户约百万。“网报圈的人数可能不是特别多，但是一个网报群里的薅羊毛信息可以从群里的成员传播到其他网报群里，从而快速传播。”无名说。

上述记者加入的一个“网络报团”的公告显示，这是一个“专业的高度组织化的羊毛党”，可以“收集全网的红包活动，每天推送上千个红包”。按照一个小时能发10个红包计算，一天内该群在理想状态下可以发布100多个优惠活动。虽然没有几千的红包，但是也是相当可观的。

10月12日至15日，新京报记者通过不同渠道加入了多个网报群，发现很多网报群在拥有者和成员上完全不同，但网报活动甚至发布活动的文案却一模一样。陈骁告诉记者，这是小组成员之间自由传播信息的结果。“我们发布信息也有红包奖励。如果我们在发完一个红包后发现其他信息群没有这个信息，可以向其他信息群的群主提供线索。这样的羊毛项目只要一发布，就会迅速扩散到全国各地，然后被用户‘一扫而光’，所以薅羊毛的手一定要快。”

告诉匿名记者，“报道的来源很复杂。一些挣钱的职业举报人发现，有的商家自愿放进去，有的羊毛党主动分给其他举报群体。”

Line group还有一个衍生的“任务组”。10月14日，记者加入一个QQ“福利任务群”，发现这个群的“线人”只是群主，群成员只需要抢群主发布的福利“羊毛”内容。比如注册一个APP后，完成APP的任务很复杂，但收入也很大，一次新用户注册操作可能会“拿走”5元左右。

在很多安全人员看来，密报组和任务组的存在，帮助了灰黑制作者。

在一次公开采访中，腾讯天语团队曾讲述了一个在薅羊毛打击黑产的场景:2018年11月16日，某银行发布的红包活动一上线，立刻被黑产团伙知晓。那天“飞度”在论坛里说已经建了一个300人的群，只要加入互助，每天都可以拿到100元红包。天宇团队的安全专家表示，黑产者利用“手机墙”和“肉牛”进行攻击。前者是真实活跃的手机号码“薅羊毛”的特殊方式，由团伙成员同时在线操作；后者是一种被称为“人力众包”的方式，由任务分配-多点击-利润分配等环节组成的链条。链条背后，是“牛头”或者“羊头”。他们有自己的代码，下面有大量的“肉牛”。因为这些“肉牛”是由真人控制的，所以可以在不误伤真实用户的情况下识别出来。

无名记者，最低端的“羊毛党”有时充当“肉牛”，提示组和任务组成为任务分配的渠道。

腾讯安全业务安全产品负责人内森表示，近年来，真羊毛党逐渐兴起，是因为很多公司依靠社交场景获客，而发链接邀请好友帮忙砍价是真羊毛党擅长的领域。“对于这种现象，一方面建议平台在设计逻辑规则时一定要注意各方面的安全问题；另一方面，与黑产的对抗是一个不断完善的过程，安全部门会不断努力，与黑产斗争到底。”

专业“羊毛党”黑产

群控成千上万的手机薅羊毛已经成为一个高度分化的黑色生产链。

薅羊毛的黑产已经形成了高度分工的产业链，群控软件是杨浩和薅羊毛的标配。

默默无闻，站在“羊圈”金字塔顶端的，是已经进入黑灰产范畴的职业羊毛党。

据特饮技术总监、深圳市鹏讯科技有限公司董事董介绍，羊毛党包括小羊毛和专门养号的职业羊毛党。“董鹏特饮做过‘扫码抢红包’的宣传，一些扫码用户贪小便宜买二维码扫描的小毛线。其实小羊毛的危害是比较低的，因为他还在，但也是最难追踪的。早期的职业羊毛党会在那里保留很多号，然后等待品牌商的活动，再通过一些技术手段，利用脚本快速刷单盈利。”

职业羊毛党曾经让董鹏特饮损失惨重。“2015年，董鹏特饮开始扫码发红包时，发现有很多异常的扫码行为。我们内部估计其中约有5%被羊毛党杀害。后来我们引入技术团队，发现其实被羊毛党干掉的红包大概在8%-10%。”董对说道。

据了解，在与腾讯安全合作之前，董鹏特饮在扫码送红包的营销活动中，每年被黑产损失高达千万元的红包。

2019年初，拼多多也遭遇了薅羊毛事件。当时拼多多表示，有黑灰团伙通过一个过期的优惠券漏洞，盗取了几千万的平台优惠券，不当得利。

据介绍，该黑灰产团伙通过“守猫池”(利用手机卡存储大量虚拟账号)等非法手段实现N张手机黑卡同时操作，批量盗取此类优惠券，并试图通过手机话费、q币等虚拟充值方式在短时间内快速转移此类不当所得，涉案优惠券总金额达数千万元。品多多风控团队负责人表示，黑灰团伙盗取巨额优惠券，转移不当所得后，希望达到“法不责众”的效果，通过网络、社交群快速分享二维码，诱导部分普通消费者跟风扫码。

品多多方面表示，预计此次事件造成的最终实际损失大概率在1000万元以下。

新京报记者采访多位专家了解到，目前薅羊毛黑产已有高度分化的产业链，主要包括:上游软件开发商、脚本开发商、代码接入平台等可以批量注册账号的工具；中游黑产团队通过购买大量的手机SIM卡，通过猫池等这些软件工具和硬件设备，将自己模拟成大量的普通用户，恶意注册各种平台的账号并加注账号，在“薅羊毛”的机会出现时利用大量账号赚取收入；下游有支付和清洗转账通道，可以在券等平台快速转账。

“在手机号和账号注册这个维度，有卡商提供手机号，比如现在常用的物联网卡；在模拟实际用户的维度，有猫池、模拟器、挂‘保号’的多开软件；在验证码的验证过程中，有自动识别字符和图片的技术，比如CNN深度神经网络技术。开源代码的简单脚本可以达到90%以上的识别通过率。此外，对于难度较大的验证码，也有人工编码平台支持。”内森告诉新京报记者。

吴明说，职业羊毛党最突出的特点就是拥有上千部手机和完善的技术破解手段。“几百块的手机属于小工作室，只有几千块的手机才算专业羊毛党。”

事实上，关于群控设备，目前已经形成了完善的产业链。新京报记者曾以买家身份联系过一家群控软件厂商，对方表示群控软件是薅羊毛和号维护的标准:“从微信维护、号维护到全自动引流营销，安装群控软件后在电脑上一键操作即可完成所有功能。100控和200控设备(即100或200个手机可以通过软件控制)的价格从1888元到2888元不等。比如现在很多app看完新闻就可以获得金币。挂一晚上几百部手机，什么都不用做就能赚几百块。”

新京报记者在羊毛党的一个讨论组中发现，根据不同地区的优惠活动和薅羊毛的运营情况，黑产团队推出了不同的脚本，如修改IP地址的工具、自动赞的工具、模拟新用户的模拟器等各种工具构成了职业羊毛党薅羊毛的“武器”。

他告诉记者，“真正顶级的专业羊毛党通过寻找优惠活动的漏洞来运作薅羊毛。这种职业羊毛党自称‘项目组’，具体操作方式就是在新发布的优惠活动(即‘项目’)中寻找漏洞。然后，它利用技术开发专门针对这一活动的脚本，辅以该集团控制的数千台设备，蜂拥至薅羊毛。他们往往精通技术，是真正的黑灰产，也是各类互联网公司风控团队防范的对象。”

■专家意见

薅羊毛生产黑色商品或触及违法犯罪。

电子商务研究中心主任曹磊在接受媒体采访时表示，国内的羊毛党已经形成了高度组织化的黑灰组织。从BAT到初创的互联网公司，只要举办市场活动，都可能面临“羊毛党”的巨大威胁。曹磊建议，互联网企业一方面要不断加强风险控制能力，同时呼吁相关部门和执法部门加大对“羊毛党”、“刷单族”等互联网黑灰产业的打击力度，尤其是在电子商务法实施后，给消费者一个更加公平、更加光明的环境。

在湖北尊尔光律师事务所张梅律师看来，“薅羊毛”黑产严重扰乱了正常的市场竞争秩序，不仅直接侵犯了经营者的财产权，也大大增加了企业的经营成本。另外，“薅羊毛”黑产会直接损害网络消费者的利益，因为运营商推出的优惠活动总量有限，黑产大肆抢券，所以真正的消费者拿到优惠券的概率和总量会少一些。对于“薅羊毛”这种新型违法犯罪行为，执法司法机关应适应形势需要，加强技术手段和侦查能力，在黑产形成之时，抓住典型案例重点打击，用法律震慑犯罪分子，避免放任违法行为造成的“破窗效应”。

新京报记者查阅中国裁判文书网发现，羊毛党已经触及“提供程序侵入、非法控制计算机信息系统罪”。例如，2018年，两名黑灰工为淘宝优惠活动开发销售“联合抓拍”，法院最终认定其行为构成为侵入、非法控制计算机信息系统提供程序、工具罪。

薅羊毛可能还会谈到盗窃。北京市康达律师事务所律师晓寒表示，用户利用系统漏洞从平台获取大量优惠券并获利，可能涉嫌盗窃。如果获利数额达到相关标准，他们可能要承担刑事责任。

据了解，2017年修订的《反不正当竞争法》也规定，电商平台虚假交易、炒信单、二选一等行为将受到严厉处罚。

内森对新京报记者表示，职业羊毛党黑产团伙涉案金额较大，可能触犯刑法。所以羊毛党逐渐变成了“各赚各的”，从而分散了责任。

采访中，多位专家表示，薅羊毛打击黑产最有效的方法是直接打掉其产业链上游的恶意注册工具提供商。专家表示，打击恶意注册最好的办法就是切断恶意注册黑色生产链的最上游，从生态上挤压恶意注册的生存空空间。

新京报记者罗一丹，编辑李校对傅春雨。

luoyidan@xjbnews.com