• Hi,我是鸟哥笔记小助手
    APP推广报价    产品Bug反馈
    春羽计划投稿   媒体合作咨询
    添加鸟哥笔记小妖精
    海量福利干货等你来领
    鸟哥笔记公众号
    学运营推广 上鸟哥笔记

    拼多多一夜被撸数千万?聊聊那些年我的羊毛攻防经验

    瓜叔

    原作者:瓜叔 2019-01-22

    行业动态 创业公司 拼多多

    2019-01-22
    拼多多的事件,表面上看是一个技术性bug,但实际上暴露的是整个运营监控体系,风控体系的不到位
    鸟哥笔记,行业动态,瓜叔,行业动态,创业公司,拼多多

    1月20日凌晨起,拼多多出现了一个超级大Bug,用户可以无限制领取100元无门槛券,并被专职羊毛党发现,在领了数千张100元券后,为了增加平台的追责难度,羊毛党把领券方式公?#21152;?#20247;,于是大批吃瓜群众疯狂涌入,据传平台修复之时已累积损失数千万元人民币。

    (1月20日在官方声明中拼多多表示:不是200亿,而是数千万)

    鸟哥笔记,行业动态,瓜叔,行业动态,创业公司,拼多多


    鸟哥笔记,行业动态,瓜叔,行业动态,创业公司,拼多多

    在中国做互联网平台的,和羊毛党的斗争是个永恒的话题,笔者曾多年担?#20301;?#32852;网公司运营管理,自己曾经历过的羊毛战争,写出来那真是一部轰轰烈烈的地道战。

    看到朋友圈很多吃瓜群众感慨“又错亿?#20445;?#37027;我就借此机会跟大家科普一些羊毛手法,但务必注意:

    请以走近科学和求知的态?#28909;タ创?#25991;,不要抱歪脑筋。

    对于普通老百姓来讲,如果想要靠羊毛致富,那我的另一篇文章也许更适合你:?#24230;?#20309;做白日梦? 5大步骤助你成为白日梦高手》

    好了,下面废话不多?#25285;?#35828;一说那些年遭遇的羊毛党攻防战。

    一   真实性验证攻击

    出现场景:

    平台的此类活动具有以?#24405;?#28857;特征:

    1.活动奖励目标不是有限个体(例如前几名)而是满足一定条件皆可获得,面向的是大范围用户。

    2.活动预算没有明确的上限封顶。

    3.活动涉及到实质性奖励。例如直接发放奖金,或是可进行二次交易的有价值商品。

    这种时候,各?#25918;?#39740;蛇神就会出现了。

    而用户真实性验证,在当今的技术环境下,基本是一个伪命题。

    你能想象到的任何验证方式:注册id,邮箱,手机号,?#35745;?#39564;证码,IP地址,Mac地址,IMEI号, ICCID号, 身份证号,甚至是指纹,都可以伪造,只是成本不同罢了。

    (说到这里为12306的同鞋默哀一?#31181;櫻?#20182;们虽然一直挨骂但确实?#37327;啵?/p>

    鸟哥笔记,行业动态,瓜叔,行业动态,创业公司,拼多多

    批量手机注册的猫池


    鸟哥笔记,行业动态,瓜叔,行业动态,创业公司,拼多多

    指纹伪造技术


    隔了一条网?#25784;?#20320;在明处,别人在暗处。别人愿不愿意去作假,只是取决于你提供奖励的诱惑程度罢了。

    真实案例:

    曾经接触过一个普天同庆的活动,损失保守估计应该在百万以上,而?#20197;?#25104;了很大的人力资源浪费。

    事实证明,越是?#25340;?#27668;粗的大公司,越容?#36861;?#36825;样的低级错误。

    不仅仅是初创公司的运营新手才会?#31119;?#22823;型成熟公司的高管,同样避免不了。

    活动内容大致是:凡是在活动期间登陆的验证过手机号的用户,都能获得500金币的一次性奖励(相当于人民币5毛)。

    决策者的活动目的,一方面是希望促进直播房间的活跃,另一方面也是为了培养用户赠送礼物的消费行为习?#25784;?#32780;一个用户5毛钱,相比于获取一个?#26007;?#29992;户几块钱的成本,还是可以接受。

    殊不知,这不是在培养真实用户的消费习?#25784;?#36825;是在向刷号团?#20248;?#20986;橄榄枝。

    直播平台的虚拟币是可以进行提现的,这对于刷号者来说就是一个很强的吸引。

    不记名手机黑卡,现在市面上流通的不多,然而一些专业的刷号团队手里还是握着不少。针对?#31243;?#23450;App,开发一个手机号注册的脚本,大概只需要一两天时间,突破?#35745;?#39564;证码,有?#26007;?#33050;本可以调用,一个?#35745;?#39564;证大概两毛钱,?#27604;?#22914;果遇到技术大拿,这部分成本都可省去。

    对于他们来?#25285;?#21047;个几十万甚至上百万个号并不是难事。

    ?#27604;唬?#27963;动都是有做数据监控的,但存在两个问题:

    一是活动初期没有一个可?#25569;?#30340;数据样本。

    二是网站?#31508;?#30340;货币总流通数据已经比较大,所以相对小规模的数据变化也并不足以引起注意。

    何况成熟的刷号工作室,也懂得平缓加量,以避免造成明显的数据异常。

    后来当运营意识到个别账号不对劲的时候,活动已经在线上进行,不能立马取消。

    更糟糕的是技术也有其他需求在身,不能马上抽离出来,只能让运营人员在用户提现的时候进行一些人工识别,操作成本巨大。

    并且由于针对这部分作假用户的封号动作,给电话客服也增加了相当多不必要的工作。

    平台规避此类羊毛的方法:

    1 设定一个明确的最高奖励人数或奖品数阈?#25285;?#20174;总成本上控制。

    2 当一定要面向大范围用户进行奖励时,尽量以无成本的虚拟奖励,增值服务,网站内部消耗品或是不可交易不可变现奖励为主。

    3 当一定要面向大范围用户,且一定会涉及实质性奖励时,仍有一法:

    虽然所有的验证方式都可作假,但仍有一样东西无法作假,就是实打实?#37027;?#21487;以设置同等经济投入的门槛,例如消费要达到多少以上,将投机行为的利润?#24335;?#21040;0。

    4 数据监控不一定能在早期发现问题,但也能在一定程度止损。

    二,数据叠加攻击

    出现场景:

    网站有多个运营活动并行时,活动设计者在进行数值策划时,如果由于信息不对称或其他原因忽略了活动可能存在的交叉区间,就会出现类似高利贷的“利滚利” 复利效应,最终产生远超成本预算的数据结果。

    真实案例:

    曾经某直播平台准备做一个拉充值的活动,凡是用户充值就能获得一定比例的返点。这个决定是至上而下做出的,决策层认为活动简单也就没有过多的?#33268;郟?#22312;其主导推动下,很快设计完工准备上线了。

    而这时一个一线运营执行员工指出,上月曾经有一个针对极小部分家族长(即经纪公司)的高提成政策还没有结束,?#27604;?#36825;个活动也是经过领导审批的,但由于是只针对部分用户,且时间长了,没有引起足够重视。

    通过数?#23548;?#31639;发现,如果活动实施,在复利计算下,返利高达150%以上(即充值一百万可以套现一百五十万)。

    并且,这两个活动无法独立?#25351;?#24320;来,因为充值返点是普适的,你根本无法区分用户是正常充?#25285;?#36824;是抱着套利的心态去充值。

    而之前的活动?#19981;?#22312;进行当中,无法中途临时停止,最终这个新活动被紧急停止,改成了其他的活动方式。

    平台规避此类羊毛的方法:

    1 策划阶?#25105;?#20805;分?#33268;郟?#23588;其是要?#24615;?#33829;一线员工参与,避免信息不对称。

    2 数值策划时综合考虑所有并行的活动,哪怕一个小小的活动也可能在数据叠加下被无限放大。

    三 ,内鬼攻击

    永远不要考验人性。

    内部人员犯案的例子屡见不鲜,从底层的员工到高管甚至是合伙人,都比比皆是。

    对于底层员工,哪怕原本再正直善良兢兢业业,也可能有自己的经济压力或是遇到突发的状况,就像《绝命毒师》中演的那样,他即使不为自?#28023;?#20294;也可能为老婆孩子而冒险。

    对于高层,当一个人面对上千万上亿的诱惑时,没有多少正常人能把持得住,我们有时候对贪官污吏嗤之以鼻,是因为我们还没有设身处地的在那个位置上。

    案例太多,大到腾讯公司麻花藤的左膀右臂,小到?#34892;?#22411;公司的一线员工。这里就不一一例举,?#34892;?#36259;的朋友可以自己去查。重点说下预防策略:

    1, 所有操作记录可追溯

    在后台应该备份有所有人的操作记录

    2, 权限精细划分

    涉及到以?#24405;?#31867;权限时,必须要设置高的权限级别

    • 网站敏?#24615;?#33829;数据

    • 业务核心流程

    • 财务相关的操作

    • 涉及利益链的某一?#26041;?/p>

    高权限账号要唯一对应,每个账号要对应到唯一的责任人;

    个别归属不明的账号,如名为Test,Admin?#26085;?#21495;都可能埋伏着安全隐患;

    一定要设置登?#38469;?#26426;验证码验证,以避免其他人冒用;

    员工离职时务必注意账号?#37027;?#38500;;

    定期对账号进行清查。

    3, 高危操作管理

    根据具体业务流程定义一些行为为高危操作;

    当出现高危操作时设置二次确认机制;

    当多次出现高危操作时设立报警机制。

    4, 敏感系统独立

    涉及到敏?#34892;?#24687;如财务信息的系?#24120;?#24212;该在别的域名及服务器?#38706;?#31435;建立,而不要在一个系统上划分一个板块。

    综述

    拼多多的事件,表面上看是一个技术性Bug,但实际上暴露的是整个运营监控体系,风控体系的不到位,一个不严密周全的运营活动/流程/制度设计,轻则导致企业上百万上千万的损失,重则引发产品信任危机,失去用户?#39029;?#24230;,甚至影响到产品的生?#26469;?#20129;。

    中国互联网公司的高管们,在谋求高速发展的同时,不仅仅是步子迈大了扯没扯着蛋的问题,而是要回头看看蛋有没有跟上自己的脚步

    毕竟,深渊在那凝视着您咧。

    作?#25784;?#29916;叔,互联网老兵,分享最新最酷的互联网变现案例及自我修行心得 。公众号:freestyle瓜叔

    作?#25784;?#29916;叔 来源:freestyle瓜叔
    本文为作者独立观点,不代表鸟哥笔记立场,转载请注明出处,联系作者本人授权。
    扫码关注【鸟哥笔记微信公众号】回复“新人礼包?#34987;?#21462;免费领取方式>>
    40套竞品分析模板 运营必备工具包 各种行业文案(超全)等8大礼包
    综合评分:4.5
    分享到朋友圈
    收藏
    评分

    参与评论(0)

    暂无评论,快来抢沙发吧~
    登录后参与评论
    发?#35745;?#35770;

    快乐10分开奖结果
  • 云南十一选五任选遗漏 福彩3d走势图-综合版 中国福彩26选5 白小姐特马网跑狗图 3d组选组6怎么算中奖 彩票开‘湖北30选5一 大乐透定5胆100准确 广东彩票官方网站 pk10开奖直播 佛主密报莲花双宝 体彩黑龙江6十1 七星彩走势图元网 太阳城娱乐平台出租 河南十一选五基本走势图 甘肃11选5销量