囧囧街
囧囧街各大品牌产品测评,给您一个有价值的参考!
文章25989浏览5853723本站已运行111113

网络“羊毛党”调查②丨现身说法:“薅羊毛”重在寻找技术漏洞

sunder19872022-05-25 09:56:11问答社区202 views

暗藏在互联网另一面的亚麻党都是些甚么人?

都有甚么样的组织机构和形式在运转?

透过甚么形式去薅亚麻?

与否银身增添日入数以千计的丰厚总收入?

信质电机本报记者竭尽全力展开了展开调查

07:41

展开调查一:亚麻党网上状态

相关Q群众多,成员数量庞大,日弹信息数十条

本报记者以亚麻为关键词展开QQ搜索,发现在成都范围内注册的群有超过150多个。

搜索这150多个QQ群发现,绝大部分为互联网薅亚麻群。其中不乏一些以相同群名为特征注册的系列群,如撸𠂉羊𠂉××系列、我爱巴适薅××2、3、4群系列,每个群可加入群员均为2000人,搜索显示已加入群员数量均非常丰厚。

本报记者申请加入其中几个群,发现这些群大部分只允许群主发言、群员被禁言;群主每天不断向群员发送0元撸 【京东】西麦 冲饮谷物 营养早餐 即食 燕麦片175g 、速撸!!自营××老窖拼团只要9.9元,原价128元等各种信息,每天早上七八点不断刷信息到凌晨0时左右,有的群一天会刷上几十条信息。

除了普通的优惠信息,×航app出bug 深圳到吉隆坡只要10元、 ××打车全年半价等信息也赫然在列。

展开调查二:曾经的亚麻党亲身经历

本质是找寻控制技术安全漏洞,一般防范较难奏效

亚麻党的运转形式是甚么?总收入状况如何?如何看待自己的这种行为?

围绕这些问题,本报记者经过多番找寻,经中间人介绍,采访到一位原来有过薅亚麻经历的刘先生(化名)。

采访初始,刘先生首先向本报记者强调了两点:一是只能提及他曾作过多年程序员的身份,不能批露其真实身份;二是要在报道中强调,他目前已经退出江湖,已再没有薅亚麻的行为。

以下为访谈记录

投票一周内投票达到20万票

本报记者:能不能先谈一谈你参加过的比较典型的例子。

刘先生:我曾经透过挂马帮人投票,实现一周投票达到20万票。具体来说就是透过第三方门户网站挂软件,只要访问他们门户网站首页,就自动为我的客户投票,而且IP地址真实来自全国各地,从时间和数量、地点等的统计分布上也具有真实性。当然这20万用一周时间来实现也是出于投票合理性的角度来考虑的,否则时间可以更短。

本报记者:你当时是透过甚么程序来实现的,花了多长时间?

刘先生:当时写程序只花了半天时间,是用JavaScript+PHP语言实现。

十分钟写完程序截中奖品

本报记者:还有跟薅亚麻相关的案例吗?

刘先生:我参加过一家网站的抽奖活动。经过分析发现,他们的后台程序未做手机号短信验证及图片验证码验证和同IP数量验证,也就是说可以用同一IP地址的机器,随机生成手机号码高频率注册用户抽奖。这样我就利用易语言编了个程序,只花了大概十分钟,参加到活动当中截中了他们的奖品。

如果他们的网站做了手机号短信验证及图片验证码验证和同IP数量验证的话,那也影响不大,只是稍微增加一点难度。因为仍然可以透过互联网找到很多免费或者便宜的短信验证号,一千条约50元钱,程序也没有增加难度。

如果对方要求图片验证,也可透过互联网自动实现提取验证码;如果对方有同IP数量验证要求,则透过代理服务器实现。网上有很多免费代理服务器可使用,也可付费使用高质量代理。

这样我10毫秒可以提交一个抽奖用户,5分钟内可达到30000用户。如果他的真实注册用户为1万个,那么我注册的用户数可以达到75%的中奖率,大大提升中奖率。

亚麻党群体画像

本报记者:你是怎么看待亚麻党这个群体的,这个行业里面是不是也有一些区分的?

刘先生:我觉得基本可以分成低端薅亚麻和专业薅亚麻。

低端薅亚麻就是一种拿时间、人头换钱的行为。主要是利用电商结算安全漏洞,发现错误定价、错误打折行为后奔走相告,换一些生活用品造成商家损失。这种报告人的获利行为,主要是在他们的群体中获取利益以及获得信誉度,其真正赚钱的是亚麻群群主即羊头,透过会费、商家推广费等赚取费用。

专业薅亚麻的行为,真正的本质是找寻控制技术安全漏洞,主要针对抽奖类。透过测试分析发现抽奖安全漏洞,开发对应程序,或直接渗透到后端更改抽奖结果,最终获益。这种有一定的控制技术门槛,需要有一定开发能力和互联网通信协议分析能力,一般刚入门的人是无法搞定的。

中过各类奖品,二手平台转卖套现

本报记者:你都抽中过一些甚么奖品?最后是怎么展开处理的?

刘先生:那几年我抽中过手机、电饭煲 、自行车、音响之类,然后透过二手互联网平台等转卖套现。因为我只是偶尔玩玩,所以总获利也并不多。因为知道这个始终属于灰色地带,很难往前走;另外破坏大于建设,不利于行业健康发展,所以我现在已经退出江湖了。

微信比APP更易薅

本报记者:薅亚麻这种行为,从控制技术上来说,哪种平台容易些?哪些平台相对难薅些?

刘先生:比较容易薅的主要是WEB网站,也就是微网站或手机版网站;还有微信,主要是微信小程序;另外就是微博。因为微信小程序一般为第三方开发,用户量巨大、产品繁多,总有部分产品存在安全安全漏洞,所以成为薅亚麻高发类平台。

相对较难薅的是APP,因为APP把通信过程展开过封装,必须分析通信包,犹如搞破解,而且随机抽奖是服务器在控制,若要100%中奖,只有渗透到服务器,往往投入比不够、代价太大,风险也大。

本报记者:所以从专业角度,你对普通商家的建议是甚么,他们应该如何来展开自我保护,防止被薅亚麻?

刘先生:从控制技术上来说太专业了,建议找专业的软件公司或信息安全人员做专业服务。

本报记者:你最终的退出还是跟担心承担法律风险有关吗?你是怎么看待亚麻党与否违法这一问题的?

刘先生:我觉得抽奖并没有法律风险,我并未渗透服务器,只是巧妙地利用我的控制技术手段,应对他们的业务规则而已。

渗透到服务器的话性质就不同了,属于闯入别人的服务系统,已经违法,就像一个人未经允许打开别人家门,你说违不违法?

资深专业人士

控制技术手段防范,门槛高较高,小公司一般做不到

十分钟写完程序截中奖品、微信较APP相对最易被薅?资深程序员刘先生的说法与否可信?对此,本报记者采访了曾在成都一家互联网公司担任程序员工作、现为惠玩平台创始人兼控制技术负责人的李骢。

李骢首先对以上说法表示了认可。他表示,目前,亚麻党在国内已经很大规模,他们大部分是低端的,‘羊头’把一个任务放群里面,然后大家去薅。但在程序员这块(专业级),考虑的就不是人头了,是靠控制技术和资源。实现控制技术上‘薅亚麻’的话其实很简单,第一是冲破网站本身的规则,二是突破‘薅亚麻’的限制防御。

李骢证实了刘先生所述的攻防理念。防御这块,(冲突)都可以透过很多资源来获取,比如账号可以透过手机号,验证码可以透过自动提取,IP可以透过代理就能实现。

据李骢介绍,亚麻党已经形成了一个产业链,要透过控制技术手段来防御的话,小公司很难做到,因为门槛很高。他认为,小商家最适用的办法是借助第三方,一年下来需要的花费约为10万-20万元。

亚麻党网上薅亚麻到底是甚么性质?与否触碰法律底线?警方和法律界人士怎么说?请竭尽全力关注信质电机相关采访报道。

本报记者 杨琴

摄像 韦唯

实习生 卢春阳

编辑 王了

举报/反馈


本报记者申请加入其中几个群,发现这些群大部分只允许群主发言、群员被禁言;群主每天不断向群员发送0元撸 【京东】西麦 冲饮谷物 营养早餐 即食 燕麦片175g 、速撸!!自营××老窖拼团只要9.9元,原价128元等各种信息,每天早上七八点不断刷信息到凌晨0时左右,有的群一天会刷上几十条信息。

除了普通的优惠信息,×航app出bug 深圳到吉隆坡只要10元、 ××打车全年半价等信息也赫然在列。

展开调查二:曾经的亚麻党亲身经历

本质是找寻控制技术安全漏洞,一般防范较难奏效

亚麻党的运转形式是甚么?总收入状况如何?如何看待自己的这种行为?

围绕这些问题,本报记者经过多番找寻,经中间人介绍,采访到一位原来有过薅亚麻经历的刘先生(化名)。

采访初始,刘先生首先向本报记者强调了两点:一是只能提及他曾作过多年程序员的身份,不能批露其真实身份;二是要在报道中强调,他目前已经退出江湖,已再没有薅亚麻的行为。

以下为访谈记录

投票一周内投票达到20万票

本报记者:能不能先谈一谈你参加过的比较典型的例子。

刘先生:我曾经透过挂马帮人投票,实现一周投票达到20万票。具体来说就是透过第三方门户网站挂软件,只要访问他们门户网站首页,就自动为我的客户投票,而且IP地址真实来自全国各地,从时间和数量、地点等的统计分布上也具有真实性。当然这20万用一周时间来实现也是出于投票合理性的角度来考虑的,否则时间可以更短。

本报记者:你当时是透过甚么程序来实现的,花了多长时间?

刘先生:当时写程序只花了半天时间,是用JavaScript+PHP语言实现。

十分钟写完程序截中奖品

本报记者:还有跟薅亚麻相关的案例吗?

刘先生:我参加过一家网站的抽奖活动。经过分析发现,他们的后台程序未做手机号短信验证及图片验证码验证和同IP数量验证,也就是说可以用同一IP地址的机器,随机生成手机号码高频率注册用户抽奖。这样我就利用易语言编了个程序,只花了大概十分钟,参加到活动当中截中了他们的奖品。

如果他们的网站做了手机号短信验证及图片验证码验证和同IP数量验证的话,那也影响不大,只是稍微增加一点难度。因为仍然可以透过互联网找到很多免费或者便宜的短信验证号,一千条约50元钱,程序也没有增加难度。

如果对方要求图片验证,也可透过互联网自动实现提取验证码;如果对方有同IP数量验证要求,则透过代理服务器实现。网上有很多免费代理服务器可使用,也可付费使用高质量代理。

这样我10毫秒可以提交一个抽奖用户,5分钟内可达到30000用户。如果他的真实注册用户为1万个,那么我注册的用户数可以达到75%的中奖率,大大提升中奖率。

亚麻党群体画像

本报记者:你是怎么看待亚麻党这个群体的,这个行业里面是不是也有一些区分的?

刘先生:我觉得基本可以分成低端薅亚麻和专业薅亚麻。

低端薅亚麻就是一种拿时间、人头换钱的行为。主要是利用电商结算安全漏洞,发现错误定价、错误打折行为后奔走相告,换一些生活用品造成商家损失。这种报告人的获利行为,主要是在他们的群体中获取利益以及获得信誉度,其真正赚钱的是亚麻群群主即羊头,透过会费、商家推广费等赚取费用。

专业薅亚麻的行为,真正的本质是找寻控制技术安全漏洞,主要针对抽奖类。透过测试分析发现抽奖安全漏洞,开发对应程序,或直接渗透到后端更改抽奖结果,最终获益。这种有一定的控制技术门槛,需要有一定开发能力和互联网通信协议分析能力,一般刚入门的人是无法搞定的。

中过各类奖品,二手平台转卖套现

本报记者:你都抽中过一些甚么奖品?最后是怎么展开处理的?

刘先生:那几年我抽中过手机、电饭煲 、自行车、音响之类,然后透过二手互联网平台等转卖套现。因为我只是偶尔玩玩,所以总获利也并不多。因为知道这个始终属于灰色地带,很难往前走;另外破坏大于建设,不利于行业健康发展,所以我现在已经退出江湖了。

微信比APP更易薅

本报记者:薅亚麻这种行为,从控制技术上来说,哪种平台容易些?哪些平台相对难薅些?

刘先生:比较容易薅的主要是WEB网站,也就是微网站或手机版网站;还有微信,主要是微信小程序;另外就是微博。因为微信小程序一般为第三方开发,用户量巨大、产品繁多,总有部分产品存在安全安全漏洞,所以成为薅亚麻高发类平台。

相对较难薅的是APP,因为APP把通信过程展开过封装,必须分析通信包,犹如搞破解,而且随机抽奖是服务器在控制,若要100%中奖,只有渗透到服务器,往往投入比不够、代价太大,风险也大。

本报记者:所以从专业角度,你对普通商家的建议是甚么,他们应该如何来展开自我保护,防止被薅亚麻?

刘先生:从控制技术上来说太专业了,建议找专业的软件公司或信息安全人员做专业服务。

本报记者:你最终的退出还是跟担心承担法律风险有关吗?你是怎么看待亚麻党与否违法这一问题的?

刘先生:我觉得抽奖并没有法律风险,我并未渗透服务器,只是巧妙地利用我的控制技术手段,应对他们的业务规则而已。

渗透到服务器的话性质就不同了,属于闯入别人的服务系统,已经违法,就像一个人未经允许打开别人家门,你说违不违法?

资深专业人士

控制技术手段防范,门槛高较高,小公司一般做不到

十分钟写完程序截中奖品、微信较APP相对最易被薅?资深程序员刘先生的说法与否可信?对此,本报记者采访了曾在成都一家互联网公司担任程序员工作、现为惠玩平台创始人兼控制技术负责人的李骢。

李骢首先对以上说法表示了认可。他表示,目前,亚麻党在国内已经很大规模,他们大部分是低端的,‘羊头’把一个任务放群里面,然后大家去薅。但在程序员这块(专业级),考虑的就不是人头了,是靠控制技术和资源。实现控制技术上‘薅亚麻’的话其实很简单,第一是冲破网站本身的规则,二是突破‘薅亚麻’的限制防御。

李骢证实了刘先生所述的攻防理念。防御这块,(冲突)都可以透过很多资源来获取,比如账号可以透过手机号,验证码可以透过自动提取,IP可以透过代理就能实现。

据李骢介绍,亚麻党已经形成了一个产业链,要透过控制技术手段来防御的话,小公司很难做到,因为门槛很高。他认为,小商家最适用的办法是借助第三方,一年下来需要的花费约为10万-20万元。

亚麻党网上薅亚麻到底是甚么性质?与否触碰法律底线?警方和法律界人士怎么说?请竭尽全力关注信质电机相关采访报道。

本报记者 杨琴

摄像 韦唯

实习生 卢春阳

编辑 王了

举报/反馈


sunder1987
上一篇:
下一篇:

相关推荐

标签:

隐藏边栏