业内人告诉你， ”羊毛党“为何那么难剿灭

（原标题：业内人告诉你， ”羊毛党“为何那么难剿灭）

（原标题：不是羊，是蚂蝗：业内人告诉你， “羊毛党”为何那么难剿灭）

文/殷怡

“一台标配的iPhone 5C，越狱后装上 一键新机 软件，将不同操作系统的ID多次刷新修改，再加上一个叫 触摸精灵 的软件，将app操作进行记录、回放并模拟手指的操作，完成重复操作的程序化过程，再连接大量的 卡池 和 猫池 (羊毛党养卡的号码卡插槽)，便可以假装不同的身份和设备在各家平台重复薅羊毛。”猛犸反欺诈CEO张克近日在接受第一财经记者采访时，详细描述了目前高级羊毛党们用设备机器大批量“薅羊毛”的通用手段。

在互联网金融市场发展初期，用黑名单就可以阻击一大批以自然人为主、潜伏在各个社群搜集优惠信息并刷单的羊毛党，但随着羊毛党技术和规模的发展，对于用专业设备薅羊毛的羊毛党，目前一些第三方大数据征信和反欺诈机构已经采用大数据人工智能的手段对其进行阻击。

“薅羊毛”的套路

羊毛党的始祖是一群以80后白领为代表，喜欢搜集各大网贷平台、电子商城、银行、实体店等各渠道的优惠促销活动、免费业务之类信息，并从中获取物质实惠，他们的这种行为被称为“薅羊毛”。随着互联网金融的发展，P2P平台为了获客，动辄发出几十、上百万元的红包、代金券，于是全国活跃的20多万羊毛党从2014年开始，便将目标转向了P2P网贷平台，在不同平台注册，获取新手奖励或者首单高利率。

前海征信金融风控专家告诉记者，初级羊毛党手中一般有5张左右的银行卡，有亲戚朋友的，也有从网上买的虚假资料和银行卡。市场上目前一整套“银行卡套餐”，包括银行卡、他人身份证、U盾等在内，网上兜售的价格通常在600元到1200元之间。

而高级羊毛党通常分为两类，一类有多个账户、多套资料(身份证、银行卡、手机号等个人信息)，利用各类科技产品批量操作重复薅羊毛;另一类是真正的“羊毛”投资人，能自我规避风险，以小投资来获取利益最大化。

该专家称，高级羊毛党通常由黑客、卡商、刷客组成。卡商主要负责从运营商的代理商手里买卡，市场价一般在15至20元不等。除此之外，卡商还要负责养卡，养卡的专业设备行话称为“猫池”和“卡池”，即一个号码卡插槽，可以在不拆卡的情况下将整张卡插入，然后连接电脑使用，接收短信验证码，猫池放置于卡池中联动操作。猫池被广泛应用于刷卡、短信群发中。

高级刷客们大量使用猫池和卡池，一套可养500张卡的成套设备，市场价格大概在1万元左右。一般一个刷客手上都会有十几套卡池，将卡池装上连接电脑后，再装上相应软件，就可以利用手机卡批量注册了。而黑客则主要负责寻找平台的漏洞，同时开发一些软件，为刷客提供技术支持。

“羊毛党一般在平台促销活动前几天大量出现，数量是原有用户的5到10倍，我们检测并记录下来，交给平台处理。”上述专家对记者表示。

人工智能三步阻击“羊毛党”

互联网金融时代初期，平台多用黑名单阻击羊毛党，有些平台拥有自己的黑名单数据库，不断积累“薅羊毛”过程中出现过的号码，并加入黑名单，当这些号码出现，就自动拦截。但由于黑名单池中不断有号码被淘汰，新的号码流入，因此也无法一劳永逸。

记者从几家征信和大数据公司了解到，目前阻击羊毛党的技术手段已经突破了黑名单阶段，而是可以采用设备指纹识别技术加人工智能的机器学习，从设备源上阻击羊毛党。

“用专业机器设备薅羊毛的羊毛党目前在我们这儿数量不多，抓取难度也不大。”借点钱CEO张建梁告诉第一财经记者，即使对于不断转型升级的羊毛党们，他也很有自信。

猛犸反欺诈研究团队在反欺诈实践中发现，从网络及设备终端、用户行为信息、业务事件频次，欺诈网络图谱这四大维度提取特征，并在此基础上对有组织的薅羊毛行为层层筛查，对风险加以甄别，就能让羊毛党无所遁形。而本质上，这一过程就是利用了人工智能最重要的技术之一——机器学习。

张克向记者详细解释了三个步骤：首先，通过设备指纹技术识别羊毛党的终端设备，因为即使养卡上万，但操作这些卡的手机或者电脑可能是同一台，由此便可识别出所有这台设备发出的申请存在欺诈嫌疑。

第二步是将第一步中采集到的多维度数据进行“特征工程”，也就是对原始数据包括设备本身数据(手机价格、是否越狱等)、用户本身数据(姓名、邮箱地址等)以及交易数据(金额、物品种类等)进行加工，转换成精确的、可量化的特征数据。

第三步则是要运用人工智能的机器学习技术，将所有特征数据放入机器学习的模型中进行分析评估，常用的模型有深度神经网络、随机森林，在异常检测方面通常还会用到深度生成式模型。

由于每个设备都有其专属的特征，即使在一键新机、触摸精灵等软件的掩盖下，还是可以利用设备指纹技术很快识别出来。因此，即使拥有上万个手机号，只要是从一台终端设备进行操作，就能精确识别。设备指纹技术可以在终端发起欺诈行为的时候，就判断是否为异常的、恶意的设备终端。比如单终端单日内申请较多，或者多设备的关联识别为同一用户行为。

记者从同盾科技处了解到，他们帮助平台阻击羊毛党运用的方法也如出一辙。总结来看就是，针对批量操作的刷单式羊毛党通过基础的设备指纹技术进行识别，再结合调用行为分析包括时间、频率等维度的数据，来分析是否是羊毛党。针对批量操作刷单式的羊毛党，通过从IP地址、身份证、手机号码、邮箱等多维度检测，帮助平台识别借贷申请资料中的虚假信息，以过滤羊毛党。

然而，设备指纹识别加上人工之智能虽然能够阻击设备型高级羊毛党，但对于分散在各个羊毛社群中的“小羊毛”，似乎作用不大。

今日捷财COO赵俊对第一财经记者表示，在羊毛圈中，还有一部分是聚集在互联网社群中的自然人，这些社群中通常会聚集成千上万的羊毛党。一旦有平台发布优惠信息，社群中就会发出通知，羊毛党们便会蜂拥去平台申请，虽然他们每个人从一个平台的收获量不大，但对平台来说，仍然会造成巨大损失。而对于此类羊毛党，设备识别和人工智能的技术可能无法完全识别。要阻击这类羊毛党，技术上可以获取“薅羊毛”群的qq号，并采用建黑名单的方式。

高级“黑产”肆虐

除了羊毛党之外，在互联网金融领域，还有一些盗用账户、骗贷等形成的“黑产”（即黑色产业，在网络中泛指利用非法手段获取利益的勾当），以目前的技术手段尚且很难防住。

张克也向记者描述了一个目前最不惜成本对抗设备检测的欺诈手段。为了不停转变IP地址，欺诈分子用卡车拉着一集装箱手机四处转移，这样的话，这些手机的IP地址就会不断变化，便会阻碍检测，不会像以往一样检测出同一居民楼中一天产生几万个新增用户的情况。

此外，对于专业型盗用银行账户的团伙型黑产来说，他们会通过社会工程以及黑客等一系列手法获取了数以万计的银行账户，不仅如此，他们还会先潜伏在账户中，观察账户，在价值最高的时候变现，这个过程中，他们会努力模拟正常人的行为。

“现在的黑产在撞库(指黑客利用互联网中泄露的账号密码，尝试批量登录其他网站的行为)是非常有耐心的，可能会把周期拖长到好几个月。如果用他们的肉鸡(指被夺取管理权限的远程电脑)网络控制几百台甚至上千台不同人的机器，把任务打散并随机分发到这些机器上，便很难判断是否在撞库。同时他们还会将原本一天要完成的工作分散在几个月内，甚至半年，非常有耐心地去做这些事情。这时候从很多维度上看，都是一个正常的登录请求。”张克称。

不过上述黑产手段很快就会被新的技术所剿灭，例如，生物识别技术可以通过行为模式，识别出在同一应用内做同一操作的人，是否是同一个人。例如，通过手机上滑屏轨迹的不同，可以判断背后所做操作的人是否为同一个人，还可以通过文字输入时在不同字母上所触控的位置，来判断是不是真人操作，还是机器控制，当然还能同时检测出是否为同一个人。张克称，这类技术目前还在开发研究过程中，但很快便会投入到实际应用之中。

融之家大数据研究团队对第一财经记者表示，在互联网贷款行业，现在最常见的骗贷手段主要有两种：一是身份仿冒，黑客通过手机木马、短信拦截，获取客户的手机信息和验证短信内容，从而冒用客户身份进行贷款;二是身份伪造，如通过其他非法手段直接获取客户身份证，再以身份证信息去申请比如银行卡、手机卡，伪造身份后来贷款。

例如，一些中介分子还会通过同一设备伪造多个用户身份，利用程序或者其他手段批量地申请贷款；或者用信用卡套现，自己办了几十张信用卡，利用B卡还A卡，再利用C卡还B卡，制造微型的庞氏骗局。

“目前来看，现在的反欺诈手段主要针对的是失信被执行人(俗称“老赖”)、羊毛党以及一些黑产的集中造假行为。但是像一些行业共有的难题，比如诱导其他自然人用自己真实信息骗贷的行为，仍然很难识别。”张建梁告诉记者。