手机话费购物网站(用话费支付的购物app)

由于技术窃取的便捷性和无障碍性，旁观者很容易理解他人，包容自己。

全文6870字，阅读时间约13.5分钟。

一个过期的优惠券漏洞，可能导致国内最大的黑灰产事件。

1月20日凌晨，有网友称拼多多出现重大Bug。“100元话费充值只需要4分钱。”“大量用户启动薅羊毛，一夜充值200多亿。”根据网友截图，这次拼多多的100元无门槛券是通用的(特殊商品除外)，有效期一年。

拼多多表示，当天凌晨，一个黑灰产团伙通过一个过期的优惠券漏洞，盗取了上千万的平台优惠券，并进行不正当获利。

针对此事件，拼多多表示，目前上海警方已以“网络诈骗”罪名立案，并成立专案组，根据“财产保全”相关规定，分批冻结涉案订单。拼多多平台正在配合警方追查涉案订单来源，最终将根据警方的调查结果，依法依规对相关订单进行处理。

对于亏损高达200亿元的说法，拼多多回应称这一数字不实。据说拼多多大量黑灰产团伙盗取优惠券，涉案金额高达数千万元。预计此次事件造成的实际资金损失在1000万元以内。

━━━━━

一个Bug引发了薅羊毛事件？

▲图/视觉中国

1月20日上午9点05分，小南在她的“闺蜜群”里收到一个链接，闺蜜告诉她，点击这个链接，就可以领取拼多多的100元优惠券。

“我以为是一般的促销或者新的促销，就下载了拼多多App，选中了，点了一个一直想买的智能音响。”南告诉《新京报》，她收到的优惠券是“无门槛，一年内有效”。

“这个链接是我室友在她朋友群里看到的，然后转发到我们闺蜜群里。后来看到网上的热搜，才知道自己的行为可能涉及到薅羊毛。”肖说，“1月20日上午10点20分，我就用优惠券购买的产品联系了顺丰，甚至告诉了我快递单号，但到现在，产品还处于‘商家正在通知快递公司来取’的状态。”

品多多在最新的信息说明中称，黑灰产团伙盗取的相关优惠券是品多多之前与江苏卫视《非诚勿扰》合作时，因节目录制需要而生成的专用优惠券，且仅供现场嘉宾使用。

而黑灰产团伙则是通过非正常渠道生成的二维码扫码后获得相关优惠券，多在社交平台相关的黑灰产群中传播。通过二维码，每条认证信息的原用户只需领取一张无门槛的100元优惠券，而不是之前网上流传的单一ID，就可以“无限期”领取。

于是，该黑灰团伙通过“养猫池”(利用手机卡存储大量虚拟账号)等非法手段实现了N张手机黑卡的同时操作，批量盗取此类优惠券，并试图通过手机话费、q币的虚拟充值，在短时间内快速转移此类不当收入，涉案优惠券总金额达数千万元。

品多多风控团队负责人表示，该黑灰产团伙在盗取巨额优惠券并转移其不当所得后，期望达到“法不责众”的效果，迅速通过网络和社交群分享二维码，诱导部分普通消费者跟风扫码。

拼多多强调，该类优惠券从未在任何时间、以任何方式出现在平台正常的线上推广活动中，甚至没有任何线上入口，拼多多也没有为该类优惠券生成任何二维码。但二维码的具体生成和传播过程仍需警方调查，才能公布最终结论。

值得注意的是，职业羊毛党认为充值话费和q币是自动送的，所以优惠券会很快兑现。就拼多多而言，能否向三大运营商和腾讯追回这笔损失值得怀疑。目前，拼多多尚未透露是否有追回资金损失的具体计划。

━━━━━

退券合理吗？

bug被用户“薅羊毛”的现象在国内互联网行业经常发生。

2018年元旦期间，腾讯视频推出优惠充值活动。但由于活动服务器后台数据异常，部分用户充值一个月应支付优惠价，18元实际只扣了0.2元。当时这个漏洞共吸引了39万用户。

后来腾讯宣布这是公司工作失误，公司将这些异常订单全部兑现，没有任何扣款。最终腾讯为这个Bug付出了5000多万，但同时也赢得了网友的好评。

但拼多多并没有“顺应民意”，自掏腰包。发现漏洞后，拼多多于当天9点左右紧急下架所有优惠券，并注销用户已领取但未使用的优惠券。记者注意到，拼多多当时已经对App进行了优化更新。为了补偿用户，拼多多将向受影响的用户发放5元无门槛券，有效期50年。

拼多多表示，此次事件与其他公司因bug导致的一系列资金损失事件有本质区别，此次是一起“套利诈骗”的网络诈骗案。“如果把前者类比成网络中的‘ATM机误吐钱’现象，后者就相当于非法团伙打开ATM机后进行盗窃。”

电子商务研究中心主任曹磊认为，从法律责任认定和保护用户权益的角度来看，如果是平台发起的活动，那么就应该按照官方的指示来履行承诺，相当于在线上与用户签订了协议，平台当然要执行。“但是拼多多的相关声明已经显示，优惠券是通过过期的优惠券漏洞被盗的。根据《合同法》相关规定，拼多多不需要承担取消或撤回优惠券的法律责任。”

他说，如果拼多多的优惠券漏洞是黑羊毛一方的恶意行为，那么这类交易就是在“重大误解”的情况下订立的合同，(拼多多)可以要求撤销。”

北京市康达律师事务所律师晓寒也认为，拼多多撤回已领取但尚未使用的优惠券，与新颁布的《电子商务法》并不冲突。此次事件中，拼多多的回应是撤回已收到但未使用的优惠券，属于合理补救。

另据记者了解，当天11点左右，拼多多工作人员已经向部分商家发出通知，所有已使用100元无门槛券的订单，一律不允许发货。

根据《电子商务法》第四十九条规定，电子商务经营者发布的商品或者服务信息符合要约条件的，用户选择该商品或者服务并提交订单成功，合同成立。除当事人另有约定外，从其约定。电子商务经营者不得以格式条款等方式约定消费者支付价款后合同不成立。如果条款中包含此内容，则其内容无效。

曹磊表示，拼多多的这种做法与电子商务法并不冲突。“恶意利用系统漏洞获得的优惠券，在支付中不能有效抵消相应的支付义务，应当认定为未完成的支付义务。他们不受《电子商务法》第四十九条第二款的约束，商家可以不发货。”

中国政法大学知识产权中心特约研究员赵占领告诉记者，如果用户在拼多多使用优惠券购买了第三方商家的商品，则用户与商家之间的合同已经成立，拼多多可以追究用户的责任，但不能阻止商家发货。

━━━━━

为什么会发生“薅羊毛”事件？

关于风控问题，拼多多表示，公司一直在搭建风控系统，此次事件不涉及任何数据安全问题，平台消费者原本领取的优惠券使用不会受到影响。为进一步加强“专券”相关的风控体系，拼多多透露，公司已经成立了技术团队。

对于拼多多被“薅羊毛”的案例，反欺诈安全团队专家陈峰(化名)表示，防止平台被恶意“薅羊毛”的方法有很多，包括限制优惠券的总数和优惠券的应用场景等。“比如设置最高10万的优惠券，只能用于200元以上的实体订单，而且用最基本的反薅羊毛策略，保证不出大问题”。

对于风控系统为何没有监测到异常情况，拼多多回应称，事件发生在平台大促的时候，期间大量消费了平台正常发放的优惠券。直到当天上午9点，被盗优惠券和正常优惠券之和超过了平台预设的阈值。只是在系统监测到异常并自动报警后，拼多多第一时间修复了相关漏洞。

据网友截图显示，此次事件中拼多多的优惠券属于“无门槛通用”，有网友展示了充值话费和购买q币的截图，部分金额甚至高达5万元。“在这次事件中，拼多多的经营规则出现了问题，最基本的薅羊毛预防措施都没有设置。”陈峰说。

在陈峰看来，职业“羊毛党”目前确实存在。针对不同的平台，这些羊毛党都有注册账号(涉及手机号，收码平台等。)、下游支付渠道、清洗和转移渠道等。，而他们的收入是由他们是否见多识广和设备的专业性决定的。

━━━━━

羊毛党的行为是否涉嫌犯罪？

事实上，拼多多服务协议7.1的禁止行为中已经明确，用户使用拼多多平台的插件和/或利用拼多多平台的bug获取不当利益。

晓寒表示，用户利用系统漏洞从平台收集大量优惠券并从中获利，可能涉嫌盗窃。如果获利数额达到相关标准，他们可能需要承担刑事责任。但他强调，如果是平台的普通客户，并不是有意识地通过这个安全漏洞接收大量优惠券进行盈利，而只是接收少量的优惠券。主观上没有盗窃的故意，客观上获利未达到量刑标准，不构成盗窃罪。

对于薅羊毛黑产是否涉嫌违法犯罪，陈峰表示，很难判断。“一般来说，公司必须先报案。但在之前的实际案例中，最多的情况可能是协商。如果协商不成，就用诈骗的方式，但最终是违法还是犯罪，要看公安机关的性质。”

拼多多最新公告中称，平台主观上不会对受困的普通消费者进一步追究责任，但不支持此类非正常行为。

电子商务研究中心特约研究员、北京盈科(杭州)律师事务所律师方超强认为，黑灰产其实是一个网络名词，没有明确的概念和外延；从拼多多事件来看，所谓的“黑灰产队”有几个事实是应该明确的:1。它应该主动发现系统漏洞，而不是破坏和篡改系统；2.主观上明知是漏洞；3.客观上钻空子谋利；4.优惠券应该是有一定价值的财产。从犯罪的构成要件上，个人认为涉嫌盗窃罪。

中国政法大学传播法研究中心副主任朱伟表示，当平台出现优惠券Bug，且原因不明时，分两种情况:一是出现涉及破坏计算机系统的Bug，属于刑法中的破坏计算机信息系统罪。情节特别严重的，有五年以上的刑期。第二，如果不涉及系统破坏，只是利用漏洞。这种情况严重的，实践中就涉及盗窃、侵犯知识产权罪。如果不严重，取得的优惠券属于不当得利，应当返还。

在此次拼多多事件中，黑灰产团队出于“法不责众”的心理，在刷够优惠券获利后，将优惠券链接公布于众。朱伟认为，除了自己刷书、发布相关信息的人，传播这类信息可能涉及到之前犯罪的共犯，也可能单独构成传授犯罪方法罪，或者构成扰乱市场秩序的行政处罚。

在朱伟看来，刷量小的人一般不构成犯罪，但其“所得属于不当得利，应及时返还”。如果是在事实公布后刷的，则构成盗窃罪。

曹磊说，严格意义上，黑灰产的认定应该由相应的监管部门或者公安网监来做。当然，如果平台能提供充分有效的证据材料，也会帮助监管、司法、公安部门进行认定。

━━━━━

对拼多多的影响有多大？

借助社交电商这一新业态，成立仅三年的拼多多已经是国内最成功的独角兽企业之一。摩根士丹利近日发布研究报告，首次将拼多多纳入研究范围，给予其“增持”评级，并将目标股价定为29美元。

拼多多财报显示，去年第三季度，拼多多实现营收33.72亿元，同比增长697%，环比增长24%；去年前三季度共实现营收74.66亿元，同比增长约12倍。但不容乐观的是，拼多多净亏损进一步扩大，去年第三季度亏损10.98亿元，远高于上年同期的2.21亿元；去年前三季度亏损总额为77.93亿元，上年同期为5.39亿元。

拼多多还在投入大量资金进行新项目，并通过冠名综艺节目持续刺激用户的增长速度和活跃度。财报显示，去年第三季度拼多多的销售及营销费用达32.3亿元，同比增长655%，主要是品牌推广活动、线上线下及促销活动的增加。

拼多多花大价钱做营销的另一个重要原因是获客成本在上升。2017年第三季度，拼多多单个新用户获客成本为13元，但去年上半年已飙升至55元。

值得一提的是，尽管拼多多去年第三季度投入的研发支出同比增长828%，但其研发支出仅为销售和营销费用的1/10。

新京报记者注意到，拼多多1月20日下午在招聘平台上发布了多个与风控相关的职位，包括风控总监、风控策略/模型专家等。

经过这次事件，拼多多的研发支出可能会保持较高的增长速度。

━━━━━

薅羊毛黑产已经形成了高度分化的产业链。

陈峰告诉记者，“薅羊毛”行为是指新兴消费群体收集网贷平台、电子商城、银行、实体店等渠道的优惠促销、免费商家等信息，注册大量“小号”模拟大量正常用户参与活动，以相对较低甚至零成本换取物质利益。这个团体叫“羊毛党”。

━━━━━

不仅是薅羊毛，还被夸赞成了水军。

新京报记者采访多位专家了解到，目前薅羊毛黑产已有高度分化的产业链，主要包括:上游软件开发商、脚本开发商、代码接收平台等可以批量注册账号的工具；中游黑产团队通过购买大量手机SIM卡，通过猫池等这些软件工具和硬件设备，将自己模拟成大量普通用户，恶意注册各种平台的账号并养号，在“薅羊毛”机会出现时利用大量账号赚取收益；下游有支付和清洗转账通道，可以快速从优惠券等平台转账。

熟悉互联网黑产的人士告诉记者，从事薅羊毛黑产必须的“硬件”包括手机SIM卡、猫池等。软件包括代码接收平台、动态IP技术等。“比如为了限制薅羊毛的行为，很多平台会记录注册用户的IP。这时候提供技术支持的上游黑产可以通过动态IP技术形成一个比较大的动态IP池，然后出租出售给下游的薅羊毛黑产团队使用。”

在他看来，有了上游的软硬件设备，薅羊毛黑产有条件大批量注册平台账号，领取优惠券。刷完券，你需要可以快速变现的渠道。“在此次拼多多事件中，大量黑产选择将优惠券兑换成系统自动交付的q币和手机话费。现在有可以合理变现q币和手机话费的灰色生产平台，还有一些购物网站也可以买卖优惠券，这些都是羊毛党变现自己钱的渠道。”

“羊毛党的‘薅羊毛’本质就是能模仿大量用户，让发券的企业认不出来。但总的来说，拥有大量账号的黑产团队能做的不仅仅是薅羊毛，大量账号可以用于赞和水军”，该人士称。

━━━━━

打击薅羊毛黑产要从源头抓起。

采访中，多位专家对新京报记者表示，薅羊毛打击黑产最有效的方法是直接打掉其产业链上游的恶意注册工具提供商。

新京报记者了解到，辽宁省公安厅对上游工具软件恶意注册开展了名为“610”的专项打击。一位曾经参与此案的网络安全专家表示，在项目中，它在头上锁定了几款恶意注册工具软件，其中一款名为XXTouch的按键向导软件可以模拟人操作手机的行为，它可以轻松实现换机工具的功能，包括伪装手机信息和GPS信息的功能。“简而言之，在不考虑效果的情况下，一款XXTouch软件已经为恶意注册提供了除IP变更以外的所有技术环节。在其看似中立的伪装下，实际上配备了恶意注册黑产的全套武器。”

这位专家表示，打击恶意注册最好的办法就是切断恶意注册黑色链条的最上游，从生态上挤压恶意注册的生存空。这包括伪造设备的硬件信息，实现多台换机工具，无此恶意注册不可执行；以及群控和按键向导软件辅助自动操作，没有自动化，恶意注册无法摆脱高昂的人力成本。

但他也认为，由于黑产圈恶意注册软件的流行，开设恶意注册工作室的门槛极低。一次集群行动可以摧毁一个地区的一群帮派，但很可能其他地区会立即涌现出新的帮派。

新京报记者卢一夫罗一丹编辑李校对

━━━━━

生产“薅羊毛”是犯罪

你必须偿还你所欠的。一大早，前天在拼多多薅羊毛参加狂欢的部分用户发现，部分订单被拼多多平台强行取消，部分充值话费的网友发现，自己的话费被运营商强行退回。但我没想到的是，现在薅羊毛可以自信地站在道德制高点上了。有用户在接受采访时义愤填膺，认为自己只是拿到了一张优惠券，平台不应该强行注销。很多人认为平台的过错不应该让用户承担损失。

尊重他人的财产权是基本社会规则的一部分，而薅羊毛和互联网黑产，在大多数情况下，是数据时代的诈骗和盗窃。

在拼多多提供的详细声明中，我们可以清楚地看到羊毛党是如何侵占企业利益的。声明称，羊毛党使用的优惠券是拼多多与某电视节目合作中产生的临时优惠券，从未公开出现在任何宣传活动中，也没有打开入口。黑产团队通过非正常渠道发现漏洞并生成二维码，并在公共领域传播。

这是明显的技术犯罪，与传统意义上的“薅羊毛”完全不同。一般来说，这就相当于一个专业团队发现了别人门锁上的洞，撬开门锁去偷，而且，为了逃避责任，干脆把门打开，让大家进来拿东西回家，以此制造“公开发券”的假象，来逃避偷窃的责任。

所以用户完全没有理由抱怨平台不应该收回优惠券。用户没有理由拿走原本属于平台的东西，无论是遇到别人开门，还是高速公路上货车侧翻。这是对他人财产权的基本尊重，失主应该能够采取各种措施追回损失的资产。

对于拼多多这样的新晋电商巨头来说，此次攻击暴露了其风控体系的基本漏洞。然而，更值得反思的是，一个本质上严重窃取公司财务的案件，为何在舆论上却陷入了一场无辜的狂欢？

由于技术窃取的便捷性和无障碍性，旁观者很容易理解他人，包容自己。

当“羊毛党”这个词第一次见诸报端的时候，它确实享有过一段时间的道德豁免特权。当时的互联网公司因为风控体系和制度的设计问题，往往会有一些折扣漏洞可以被用户利用。然后，羊毛党也在很多人心中产生了“个人通过精明的算计与商业巨头讨价还价”的错觉。但随着技术和风险控制手段的升级，普通人意义上的“薅羊毛”空几乎不存在了。羊毛党已经成为一个职业犯罪团伙。他们拥有大量的黑手机卡，并利用互联网公司的技术漏洞疯狂获利。其实现在有不少羊毛党，就是利用技术漏洞进行高科技犯罪，游走在诈骗盗窃边缘的职业团伙。有专业机构做过统计。国内网络黑产上下游从业人员超过160万人，年产值超过1000亿元。从传统银行、保险公司到电商平台，都成为他们攻击的目标。

这是对商业环境和共识的公然违背。大众要认识到，黑产队不是叛逆英雄，也不是草根代表。它们不仅侵害了企业的利益，也剥夺了用户的红利，最终破坏了企业与用户之间的信任链接。打击黑产和羊毛党，应该也是大数据时代最重要的共识。文/胡寒(媒体人)

值班编辑吴彦祖·华牧·南