“你以为他们是黑客，那么你错了；你以为他们是吃瓜群众，那么你又错了。他们是一群利用业务漏洞赚钱的羊毛党。”12月6日，在HTCIA（亚太高科技犯罪调查协会）年度培训会议上，顶象技术安全总监邱寅峰表示，移动支付愈加普及，网络交易也愈加便利，不法分子牟利也更为方便，这就需要专业的技术来防范。

他们虽不是黑客，危害却更甚

今年4月，某共享单车公司推出红包车活动。用户只要在ofo系统内显示的红包范围内开锁，骑行超过500米、10分钟，就可以在骑行结束时领取最高5000元的红包奖励。有人用虚拟GPS地址软件，就欺骗系统用户是进行了大于500米、超过10分钟的骑行活动即可领取红包。

早先“双十一”期间，某电商平台曾针对会员推出返还双倍积分的“生日礼包”，有人利用该活动的设计漏洞，注册10万多账号，刷了14多亿虚假交易获取7亿多积分，最终兑换了近700万现金。

这样的例子不仅在国内，国外也频频爆出。例如，美国一家公司因为购物券促销诈骗案中，被人各种方式偷走2.5亿美元。数据显示，全球每年因这样的业务欺诈损失大概超过500亿美元。

进行这些欺诈的人是黑客嘛？不是！他们是基于公开规则，利用规则漏洞进行大规模牟利的人，他们是羊毛党。

无利不往的“羊毛党”大军

什么是“羊毛党”？

“羊毛党”是关注与热衷于“薅羊毛”的群体，是指那些专门选择互联网的营销活动、以低成本甚至零成本换取高额奖励、收益的人，他们对搜集各大网贷、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类的信息，通过各种手段，从而以相对较低成本甚至零成本换取物质上的实惠，这一行为被称为“薅羊毛”。

顶象技术安全总监邱寅峰表示，羊毛党是市场经济环境下、唯利是图的本能驱动的行为，科技手段的进步也让这一行为轻而易举。“他们之所以如此肆虐，多是因为这些平台的端口、服务接口，还有活动流程、业务逻辑上存在漏洞，这就给了羊毛党可乘之机，在返利、优惠秒杀、新用户注册以及信息伪造上疯狂肆虐。”

用技术防范“羊毛党”

在移动支付等各项技术发达的今天，传统的防护措施已经失效，企业该如何防范呢？顶象技术安全总监邱寅峰详细介绍了设备指纹、无感验证和虚机源码保护的组合模式下羊毛党防御方案。

1、设备指纹——辨别用户真伪

顶象技术的设备指纹是识别用户真伪的重要技术。它根据平台属性、网址、注册信息、用户名密码、设备信息、网络信息、行为信息、操作者行为等诸多指标勾勒出操作者的真实画像，从而建立一套唯一性的账号标识，并通过不同业务环节进行威胁检测和威胁建模，分析判定出是真正用户还是羊毛党。

2、无感验证——阻截羊毛党进入

用户登录端是羊毛党肆虐的重要入口，通过识别、输入这些交互，区分出羊毛党和用户，防止恶意攻击或者刷号情况的产生，能够有效拦截羊毛党。顶象技术的无感验证基于设备指纹、人工智能等技术，从传统的识别验证方式升级到了基于人的行为来进行判断，通过收集用户的行为以及环境信息，结合模型和风控分析来区分人类还是机器，以有效拦截虚假账号登录、注册等。

3、虚机源码保护——保护App安全

羊毛党为了获得进行垃圾注册、恶意登录，一般逆向入App后进行接口劫持或篡改，因此对系统、客户端、接口的保护异常重要。顶象技术的虚机源码保护能够保护包括Java、Kotlin、C/C++、Objective-C、Swift等代码，具备高的兼容性，能够为App提供更高安全级别措施。该技术首先把要保护的核心代码编译成中间的二进制文件，随后生成独特的虚机源码。生成的虚机源码保护拥有独特的可变指令集，极大的提高了指令跟踪、逆向分析的难度。同时，它提供了反调试能力和监控能力，能够以通过自身的探针感知到环境的变化，实时探测到外界对本环境的调试、注入等非正常执行流程变化，将调试动作引入程序蜜罐陷阱，并发出警报，进而实时防御和更新。