2015年開(kāi)始，玩法開(kāi)始有了些變化。由于用戶(hù)兌換、廠商物流的成本高，作假難辨認(rèn)等問(wèn)題，很多品牌開(kāi)始放棄“再來(lái)一瓶”這樣傳統(tǒng)的方式，逐漸將營(yíng)銷(xiāo)向線上遷移。

　　瓶蓋上的“再來(lái)一瓶”悄然變成了二維碼，掃碼領(lǐng)紅包的新玩法開(kāi)始在快消行業(yè)風(fēng)行起來(lái)。哪里有促銷(xiāo)，哪里就有羊毛黨，伴隨著營(yíng)銷(xiāo)方式往線上的遷移，羊毛黨也嗅著利益的味道緊跟而來(lái)。

　　從“再來(lái)一瓶”到“掃碼領(lǐng)紅包”

　　“再來(lái)一瓶”這種模式最早是由康師傅提出的，之后所有的飲料廠商幾乎都效仿了這一方式，直到2015年，很多飲料生產(chǎn)企業(yè)開(kāi)始發(fā)現(xiàn)，這一模式越來(lái)越難以為繼。

　　一來(lái)這種促銷(xiāo)模式單一且不靈活，二來(lái)圍繞著“再來(lái)一瓶”羊毛黨們逐漸發(fā)展起了一整套的產(chǎn)業(yè)鏈，有人去廢品站回收瓶蓋，有人專(zhuān)門(mén)負(fù)責(zé)開(kāi)模。簡(jiǎn)單粗暴的方式是直接仿造瓶蓋，升級(jí)的手段則是將回收回來(lái)的“謝謝品嘗”改成“再來(lái)一瓶”，不斷擴(kuò)大的損失，讓飲料廠商們被迫求變，東鵬特飲就是其中之一。

▲圖/東鵬特飲官網(wǎng)

　　作為深圳的一家老字號(hào)飲料生產(chǎn)企業(yè)，東鵬特飲在2015年之前也一直采用“再來(lái)一瓶”的促銷(xiāo)方式，在最嚴(yán)重的時(shí)候，羊毛黨曾給東鵬特飲帶來(lái)幾千萬(wàn)的損失，這讓東鵬特飲不得不謀求營(yíng)銷(xiāo)方式的轉(zhuǎn)型。

　　2015年前后，微信生態(tài)內(nèi)的各種功能服務(wù)日漸完備，基于微信掃碼領(lǐng)紅包的方式開(kāi)始在營(yíng)銷(xiāo)圈擴(kuò)散開(kāi)來(lái)，這讓受假瓶蓋問(wèn)題困擾已久的東鵬特飲看到了新的方向，開(kāi)始探索數(shù)字化的促銷(xiāo)手段。

　　2015年8月，東鵬特飲正式上線了掃碼領(lǐng)紅包的促銷(xiāo)活動(dòng)，消費(fèi)者掃一下瓶蓋上的二維碼，就可以獲得現(xiàn)金紅包，紅包金額從2.8元到888元不等。活動(dòng)一上線就吸引了單天150萬(wàn)左右的消費(fèi)者參與，在最高峰的時(shí)候，單天參與人數(shù)可以達(dá)到近200多萬(wàn)。

　　而嗅覺(jué)敏銳的羊毛黨們也很快就嗅到了利益的味道，緊跟而來(lái)。東鵬特飲技術(shù)負(fù)責(zé)人董文波告訴鈦媒體，在活動(dòng)上線后，團(tuán)隊(duì)在對(duì)掃碼記錄做分析后，發(fā)現(xiàn)存在很多異常。比如會(huì)出現(xiàn)同一個(gè)ID號(hào)，在短時(shí)間內(nèi)出現(xiàn)非常大量的掃碼行為。

　　這讓東鵬特飲意識(shí)到，自己再次被黑產(chǎn)盯上了，按照技術(shù)團(tuán)隊(duì)當(dāng)時(shí)的估算，有接近5%的紅包的都是被羊毛黨薅走。但事實(shí)上，實(shí)際的情況要比這更糟，在把整個(gè)數(shù)據(jù)跑出來(lái)之后發(fā)現(xiàn)，事實(shí)上被羊毛黨薅掉的金額已高達(dá)8%-10%，這個(gè)數(shù)據(jù)來(lái)自于騰訊安全旗下的產(chǎn)品——騰訊安全天御。

　　瓶蓋碼背后的羊毛黨江湖

　　天御是騰訊將其多年來(lái)黑產(chǎn)攻防經(jīng)驗(yàn)產(chǎn)品化后的產(chǎn)物，主要為平臺(tái)和品牌提供智能風(fēng)控服務(wù)，幫助他們?cè)跔I(yíng)銷(xiāo)風(fēng)控、金融風(fēng)控、內(nèi)容安全等領(lǐng)域預(yù)防欺詐識(shí)別風(fēng)險(xiǎn)。

　　東鵬特飲在2016年引入了這套產(chǎn)品，事實(shí)上在引入天御之前，東鵬特飲就已經(jīng)將服務(wù)器遷到了騰訊云，此外，其在數(shù)字化的系統(tǒng)改造過(guò)程中，騰訊也參與了很多，包括派架構(gòu)師與東鵬的團(tuán)隊(duì)一起做最早的架構(gòu)規(guī)劃。

　　談及為什么與騰訊走的如此近，董文波坦言，線下目前仍然是東鵬最大的業(yè)務(wù)來(lái)源，而騰訊在社交方面的資源，是東鵬頗為看重的。“我們快銷(xiāo)行業(yè)的這個(gè)電商的這種占比是太低了，占我們總體營(yíng)業(yè)額比重很低，所以這個(gè)也是為什么我們跟騰訊走的比較近的一個(gè)原因。”

　　在2016年以前，東鵬還沒(méi)有如今這個(gè)50多人的IT團(tuán)隊(duì)，很多相關(guān)工作都是外包給外部的團(tuán)隊(duì)，而發(fā)展到今天，公司IT團(tuán)隊(duì)的大部分人員還是在主要從事數(shù)字營(yíng)銷(xiāo)工。，靠自己組建團(tuán)隊(duì)，去做大規(guī)模的安防技術(shù)開(kāi)發(fā)與維護(hù)，對(duì)于一家做快消的公司來(lái)說(shuō)并不現(xiàn)實(shí)，技術(shù)和投入都是很高的門(mén)檻。

　　而基于之前的一系列合作，東鵬后來(lái)在得知天御這套產(chǎn)品后，雙方順理成章就繼續(xù)在安防方面達(dá)成合作。來(lái)自東鵬特飲的數(shù)據(jù)顯示，在接入騰訊天御后，黑產(chǎn)造成的損失比例被控制在了1%以?xún)?nèi)，從8%-10%到1%，這為東鵬特飲挽回的營(yíng)銷(xiāo)損失是巨大的，平均每年為東鵬特飲節(jié)省3000萬(wàn)營(yíng)銷(xiāo)費(fèi)用。

　　直接看數(shù)據(jù)會(huì)有更直觀的感知，2015年剛剛開(kāi)始試水掃碼領(lǐng)紅包的東鵬特飲投入了一千多萬(wàn)元的資金，隨后在看到營(yíng)銷(xiāo)效果后不斷加碼，從2015年到現(xiàn)在，東鵬特飲已累計(jì)為用戶(hù)送出了超過(guò)15億個(gè)現(xiàn)金紅包。

　　具體而言，天御主要從設(shè)備、行為、網(wǎng)絡(luò)三個(gè)層面去對(duì)營(yíng)銷(xiāo)活動(dòng)生成保護(hù)體系。

　　其中，設(shè)備風(fēng)險(xiǎn)識(shí)別指對(duì)虛擬機(jī)、設(shè)備農(nóng)場(chǎng)等風(fēng)險(xiǎn)設(shè)備等進(jìn)行識(shí)別，發(fā)現(xiàn)欺詐設(shè)備；行為風(fēng)險(xiǎn)識(shí)別指可以識(shí)別機(jī)器注冊(cè)、機(jī)器養(yǎng)號(hào)、撞庫(kù)共計(jì)、賬號(hào)盜用、問(wèn)題渠道、薅羊毛等風(fēng)險(xiǎn)操作和風(fēng)險(xiǎn)行為；網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別指知識(shí)圖譜對(duì)欺詐團(tuán)隊(duì)、高危群體進(jìn)行識(shí)別。

　　這背后對(duì)應(yīng)著的，是瓶蓋碼背后的一整條薅羊毛產(chǎn)業(yè)鏈。

　　線上與線下配合作戰(zhàn)，是快消行業(yè)黑產(chǎn)區(qū)別與其他行業(yè)的最大地方，圍繞著瓶蓋碼，羊毛黨目前已經(jīng)形成了瓶蓋收集、分發(fā)、兌獎(jiǎng)、變現(xiàn)一套完整的產(chǎn)業(yè)鏈。

　　分布在全國(guó)各地的廢品站是這條產(chǎn)業(yè)鏈的最上游，事實(shí)上，所有的營(yíng)銷(xiāo)活動(dòng)都有一個(gè)參與率的問(wèn)題，也就是說(shuō)，不是所有人都會(huì)在打開(kāi)瓶蓋后去掃一掃。根據(jù)東鵬特飲的統(tǒng)計(jì)，掃碼領(lǐng)紅包的參與率一般在60%左右，最高的時(shí)候?yàn)?7%，也就是說(shuō)有超過(guò)30%的瓶蓋實(shí)際上是被消費(fèi)者丟掉了。

　　丟棄掉的瓶蓋被黑產(chǎn)們通過(guò)各地的廢品回收站回收回去，再用專(zhuān)業(yè)的掃碼槍去把這些碼轉(zhuǎn)化成url鏈接，然后再通過(guò)各種線上平臺(tái)分發(fā)出去。

　　還有一種獲取碼的方式是被泄露的IP碼包，2015年底東鵬特飲就出現(xiàn)過(guò)一次由于內(nèi)部安全管控失誤造成的碼包泄露，這在當(dāng)時(shí)造成了近乎災(zāi)難性的后果。

　　很多消費(fèi)者再開(kāi)蓋掃碼發(fā)現(xiàn)該二維碼已經(jīng)被使用，批量的碼包被黑產(chǎn)通過(guò)上述的方法大規(guī)模分發(fā)。東鵬當(dāng)時(shí)了解到的情況是，有幾萬(wàn)個(gè)號(hào)碼在不斷的進(jìn)行刷紅包操作。

　　被轉(zhuǎn)化后的url鏈接，會(huì)通過(guò)各大平臺(tái)售賣(mài)獲利，分發(fā)渠道主要包括社交群、社交媒體還有一些黑產(chǎn)自建的信息網(wǎng)站。根據(jù)品牌、可用率、中獎(jiǎng)概率、紅包力度的不同，不同品牌的瓶蓋會(huì)在平臺(tái)貼出不同的報(bào)價(jià)，在幾毛錢(qián)不等。

　　在規(guī)模化交易之下，羊毛黨們可以獲得十分可觀的收入，來(lái)自騰訊安全獲取的信息顯示，以某品牌功能性飲料為例，分發(fā)平臺(tái)針對(duì)此瓶蓋碼的單日收入可高達(dá)60萬(wàn)元。

　　購(gòu)買(mǎi)這些瓶蓋碼的有專(zhuān)業(yè)的團(tuán)伙也有零星的散客，其中以散客居多，占比超過(guò)85%，而這種羊毛黨則恰恰是當(dāng)下最難打擊的一部分。賬號(hào)來(lái)自天南地北，不在同一臺(tái)設(shè)備上，IP地址也不一樣，被偽裝的與正常用戶(hù)無(wú)異的羊毛黨大大提高的攻防的難度。

▲圖/騰訊云社區(qū)

　　兩種思路三道防線

　　從把一個(gè)羊頭抓出來(lái)，到分散對(duì)抗千萬(wàn)個(gè)小羊毛黨，騰訊安全高級(jí)產(chǎn)品經(jīng)理閆陽(yáng)坦言，這個(gè)對(duì)抗過(guò)程確實(shí)非常痛苦。但羊毛黨作惡的不斷進(jìn)化也反過(guò)來(lái)推動(dòng)了對(duì)抗手段的不斷升級(jí)，騰訊天御在這個(gè)過(guò)程中逐漸形成了兩條對(duì)抗思路。

　　一來(lái)是利用已有的風(fēng)控模型和經(jīng)驗(yàn)來(lái)去做對(duì)抗。從文娛到社交，涉及幾百項(xiàng)業(yè)務(wù)的騰訊，一直都身處黑產(chǎn)對(duì)抗的第一線，騰訊在業(yè)務(wù)上的廣度和深度，是天御能夠建立起一套成體系的風(fēng)控模型的基礎(chǔ)。

　　“在這20年之間我們積累了非常豐富的風(fēng)控模型和手段，對(duì)于什么樣的行為，什么樣的參數(shù)，什么樣的環(huán)境，很多都是有關(guān)聯(lián)性的，我們這邊是用非常多的模型來(lái)去做識(shí)別和甄別的，這是很多廠商所不具備的經(jīng)驗(yàn)，只有知道黑產(chǎn)怎么玩我才知道怎么對(duì)抗。” 閆陽(yáng)如是說(shuō)。

　　二來(lái)對(duì)抗零散的小羊毛黨，則主要通過(guò)基于動(dòng)態(tài)關(guān)聯(lián)評(píng)估的黑名單共享機(jī)制下的聯(lián)防聯(lián)控。

　　事實(shí)上，很多零散的小羊毛黨都并非玩票的普通消費(fèi)者，而是會(huì)頻繁的參與到各種品牌活動(dòng)中的“常客”，所以通過(guò)對(duì)掃碼行為的監(jiān)測(cè)和不同品牌間黑產(chǎn)數(shù)據(jù)的動(dòng)態(tài)關(guān)聯(lián)分析，就能將很大一部分小羊毛黨識(shí)別出來(lái)。

　　舉例來(lái)說(shuō)，掃碼行為都是發(fā)生在騰訊生態(tài)下，所以每發(fā)生一次行為觸點(diǎn)騰訊就會(huì)有一次感知，而頻繁的抽獎(jiǎng)行為往往對(duì)應(yīng)著風(fēng)險(xiǎn)。

　　同時(shí)，一批黑產(chǎn)往往出現(xiàn)在多個(gè)品牌的營(yíng)銷(xiāo)活動(dòng)中，目前騰訊天御在快消領(lǐng)域接入的知名品牌上已超過(guò)30家，積累了大量的惡意黑產(chǎn)樣本，品牌間的黑名單動(dòng)態(tài)關(guān)聯(lián)分析可以幫助彼此規(guī)避很多風(fēng)險(xiǎn)。

　　在具體的操作上，天御主要通過(guò)三道防線來(lái)幫助品牌識(shí)別風(fēng)險(xiǎn)。據(jù)騰訊防水墻安全專(zhuān)家介紹，第一道防線是從營(yíng)銷(xiāo)的最終節(jié)點(diǎn)C端客戶(hù)著手，天御會(huì)通過(guò)騰訊社交網(wǎng)絡(luò)的黑灰產(chǎn)數(shù)據(jù)，去判斷用戶(hù)是不是羊毛黨，然后給出一個(gè)風(fēng)險(xiǎn)值。

　　對(duì)于騰訊沒(méi)有的一些黑產(chǎn)數(shù)據(jù)，包括一些異常數(shù)據(jù)，則會(huì)由合作伙伴提供，天御在對(duì)外輸出風(fēng)控接口的同時(shí)，也會(huì)獲得品牌返回的問(wèn)題數(shù)據(jù)，通過(guò)行業(yè)間聯(lián)防聯(lián)控，可以提高黑產(chǎn)識(shí)別的成功率。

　　第三道防線被布置在更加靠前的節(jié)點(diǎn)——碼的環(huán)節(jié)。黑產(chǎn)在收集完二維碼后，會(huì)通過(guò)一系列動(dòng)作去對(duì)碼做驗(yàn)證，也就是判斷這個(gè)碼有沒(méi)有被用過(guò)，這一環(huán)節(jié)被稱(chēng)作“洗碼”，而在這個(gè)環(huán)節(jié)黑產(chǎn)就已經(jīng)會(huì)留下一些蛛絲馬跡。

　　為了在碼的維度提高抗風(fēng)險(xiǎn)能力，天御會(huì)與一些碼商進(jìn)行合作，參與到從制碼到掃碼，到最終領(lǐng)獎(jiǎng)的整個(gè)環(huán)節(jié)，從過(guò)去的單點(diǎn)防控，到與整個(gè)營(yíng)銷(xiāo)的每一個(gè)環(huán)節(jié)逐漸互通。

　　但即使在如此的天羅地網(wǎng)下，黑產(chǎn)的攻防卻永遠(yuǎn)是現(xiàn)在進(jìn)行時(shí)。受利益驅(qū)使的黑產(chǎn)始終有源源不絕的動(dòng)力去不斷開(kāi)拓新手段作惡，這難免讓黑產(chǎn)攻防陷入一種不對(duì)稱(chēng)的狀態(tài)。

　　在閆陽(yáng)看來(lái)，攻和防的本質(zhì)在于提高對(duì)手的作惡成本，讓他望而卻步。“安全從來(lái)沒(méi)有百分之百，我們要做的就是不斷的抬高他的門(mén)檻，有一天他發(fā)現(xiàn)成本是越來(lái)越高，沒(méi)有錢(qián)可賺了，自然就不會(huì)去騷擾品牌了。

　　另外，整個(gè)行業(yè)在數(shù)據(jù)互通共享上的缺陷也是制約黑產(chǎn)攻防往前更進(jìn)一步的原因。在整個(gè)黑產(chǎn)鏈條上，會(huì)涉及到品牌、運(yùn)營(yíng)商、交易支付、搜索、銀行等諸多節(jié)點(diǎn)。而大家彼此間的數(shù)據(jù)是不共享，這就形成了一個(gè)個(gè)數(shù)據(jù)孤島。

　　“如果說(shuō)我們整個(gè)行業(yè)有一個(gè)互聯(lián)互通的黑產(chǎn)數(shù)據(jù)共享平臺(tái)，這時(shí)候其實(shí)壞人不管去哪里，都屬于過(guò)街老鼠，一下子就會(huì)被識(shí)別出來(lái)，這樣對(duì)我們的整個(gè)行業(yè)，是會(huì)有非常大的幫助的。”騰訊防水墻安全專(zhuān)家說(shuō)道。

　　而與很多行業(yè)面臨的問(wèn)題一樣，這種數(shù)據(jù)上的互通共享很難通過(guò)單個(gè)企業(yè)去推動(dòng)，企業(yè)一方面會(huì)擔(dān)心自己的數(shù)據(jù)安全問(wèn)題，另一方面也會(huì)顧慮合作的公平性問(wèn)題，所以制約互通共享的核心在于，沒(méi)有一個(gè)比較好的機(jī)制去確保各方利益的關(guān)注點(diǎn)。

　　但業(yè)界的一個(gè)共識(shí)是，在黑產(chǎn)攻防這條路上，單靠單個(gè)企業(yè)的去升級(jí)打怪是行不通的，要想將攻防能力在往前更進(jìn)一步，還需要仰賴(lài)整個(gè)行業(yè)的攜手，比起技術(shù)的升級(jí)，開(kāi)放與共享可能會(huì)更為重要。