经常听到有人在讲“薅（hāo）羊毛”，“薅羊毛”难道也是一种犯罪?

近日，北京市海淀区人民检察院办理了一起因“薅羊毛”获罪的案件。

海淀区人民检察院以被告人黄小天（化名）涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉，经过法庭审判，被告人黄小天当庭认罪，被判处有期徒刑三年六个月。

01

先给大家普及一下“羊毛党”

羊毛党，网络流行词，出自1999年央视春晚小品《昨天・今天・明天》。

是指关注与热衷于“薅羊毛”的群体，专门选择互联网公司的营销活动，以低成本甚至零成本换取高额奖励的人。

他们对搜集各大网贷平台、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类的信息有浓厚的兴趣，并有选择地参与活动，从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被定义为“薅羊毛”。

目前“薅羊毛”的定义越来越广泛，已跨出了金融行业的界定，渗透到各个领域，滴滴打车等打车和拼车软件送代金券，美团外卖，饿了么点餐减免活动，百度钱包，免费送话费充流量等诸多活动，都可以称为薅羊毛。

电子商务研究中心主任曹磊此前在接受媒体采访时表示，国内“羊毛党”已经形成了组织化程度极高的黑灰产组织。上到BAT，下到初创的互联网公司，只要举办市场活动，都可能面临“羊毛党”的巨大威胁。

02

再来回顾一下黄小天的犯罪过程

据悉，黄小天出生于1993年，初中肄业的他对计算机技术情有独钟，也十分了解市场上经常做优惠活动的一些商家信息。

　　2017年，黄小天发现一家专做母婴用品的App在针对购买奶粉用户进行优惠活动，厂家为了鼓励注册半年以上老用户首次消费，规定优惠活动为：老用户首次消费购买奶粉，买一桶送一桶。

　　针对这一优惠活动，黄小天在之后一年的时间里，使用脚本程序批量虚假注册了该App的20万个账号。

　　但在上述账号注册半年以后，当黄小天试图用该批账号参加商家买一桶送一桶的优惠活动时，黄小天发现由于账号注册过程中缺少必要审核信息，这批账号无法登录正常的商家App客户端。

　　为了成功实现薅羊毛，黄小天转而研究商家的App安装包，并成功对该App客户端进行了攻破，将App的一些验证功能进行修改，终于让自己注册的虚假、非实名账号能够成功登录商家App客户端。

　　随后，黄小天通过互联网销售了两万余个这种虚假注册的账号，这些虚假账号配合他自己开发的冒牌App，最终让活跃在网络中的羊毛党们又一次成功薅到了商家的羊毛，而黄小天也从中获利六万余元。

在审判中，被告人黄小天供称，他一共注册了20万个账号，筛选出两万多个可以参加“奶粉买一赠一活动”的账号出售谋利，而通过这个途径买奶粉的“羊毛党”，薅走的奶粉总共两万多桶。

03

     相似事件层出不穷

有利益就有羊毛党，无法预料会在哪一刻，我们的一时疏漏成就了“羊毛党”的狂欢。

近年来，相似的因薅羊毛出现的社会热点事件不在少数，不少羊毛党把自己薅上了犯罪的道路！

2019-01-20

凌晨，拼多多被曝出现重大 bug，用户可领 100 元无门槛券在拼多多里抵扣使用，结果一夜被薅千万！

2018-12-17

星巴克APP注册新人礼”营销活动，遭受黑灰产大规模攻击。黑产利用大量手机号注册星巴克APP的虚假账号，并成功领取活动优惠券。保守估计，短短一天半时间，星巴克的损失可能达到1000万人民币。

2017-12

支付宝红包被人薅走137万元。

“薅羊毛”黑产已严重扰乱了正常的市场竞争秩序，损害网络消费者的利益，因为经营者推出优惠活动的总金额都是有限的，黑产大肆攫取了优惠券，真正的消费者获得优惠券的概率和总金额就会少很多。

而且随着移动互联网的爆发式发展，众多企业开始越来越依赖于以APP为核心的移动业务系统所带来的业绩增长，大量业务在移动端达成，产生大量针对APP技术漏洞而专门的“薅羊毛”程序，这直接侵害了经营者的财产权，造成难以估量的重大损失。

（1）运营成本失控：本来预计1000人参加，运营成本一人20，也就20000块，结果前仆后继的薅羊毛党组团过来，10000个就成了20万，分分钟运营成本翻倍。

（2）数据样本失真：给做调研的用户送红包，薅羊毛党一拥而上信手乱填，调研获得的数据真实性难以取证。

（3）数据有效性失常：各个平台有自己的精准用户类型，被薅羊毛党突袭后，平台用户瞬间鱼龙混杂，有效用户难以判断。

（4）运营公正性失信：给平台粉丝开展优惠活动时，排名靠前的全部是羊毛党，其他按规则参与的用户只能暗自神伤。

（5）平台发展失衡：一哄而上，皆为利来；一哄而散，皆为利往。薅羊毛族对于平台没有粘性，更不用提忠诚度，别的平台有利益就逐利而去，结果平台时而高峰时而低谷，用户留存率难以保障，平台发展整体失衡。

04

“三位一体”联动防控体系，

赋予企业金融级安全防护

能信安移动应用安全防火墙系统，构建“三位一体”的联动防控体系，从移动应用客户端、网络通信、服务器端构建完整的安全防御，满足对商家客户端防护、通信加密、站点威胁防御等核心需求。尤其是针对“薅羊毛”等业务逻辑层的攻击，能信安移动应用防火墙系统具有独特的防护机制。

首先，会使用可信基SDK嵌入到前端的APP应用中，基于客户端安全数据的采集与分析，对APP端的异常攻击行为，打包行为、运行崩溃及程序漏洞等进行实时监控，提供安全态势感知能力，第一时间反馈到系统平台进行预警；

其次，服务器端与客户端联动，保护站点免受众多的已知和未知的风险攻击，如：SQL注入防护、XSS防护、爬虫防护、扫描器防护、服务器漏洞防护、命令行注入防护、路径遍历防护等，进行了全面防护。

最后，其手机指纹功能采用随机数算法对客户端进行唯一性标识，有效识别同一手机多次注册，多次请求的非正常行为，并对异常行为进行安全阻断，有效保障移动业务的安全开展，防止业务欺诈，薅羊毛等不法业务行为，为商家提供安全保障。。

移动应用安全防火墙系统流程示意