从拼多多被薅羊毛，看电商行业黑灰产治理

1月20日凌晨，电商平台拼多多被曝出现重大BUG（漏洞），用户可领100元无门槛优惠券，这一漏洞引来了大批用户“薅羊毛”。当天上午9点，拼多多已将相关优惠券全部下架。

对此，拼多多方面回应称，此次事件与平台风控体系无关，主要是有黑灰产团伙利用一个已经过期优惠券的程序漏洞，盗取优惠券，进而将事态扩大化。据悉，拼多多方面目前已向警方报案，拼多多将配合警方，追回每一笔“薅羊毛”订单，最终实际自损大概率低于千万元。

“撬开ATM机后实施盗窃”的黑灰产

“薅羊毛”和“黑灰产”是两个我们曾经陌生如今逐渐熟悉的互联网用词。所谓网络黑灰产，指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

根据《2018网络黑灰产治理研究报告》，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20％~30％的速度在增长。

黑灰产共有四种类型：虚假账号注册等源头性黑灰产；用于进行非法交易、交流的平台；木马植入、钓鱼网站、各类恶意软件等；大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。他们最擅长的事情就是捕捉信息，抓住漏洞谋取利益。常出现的阵地：电商平台（红包、优惠券促销活动、抢夺优惠券、秒杀特价）、网贷平台（投资返现活动）等等。

电商行业黑灰产治理

事实上，电商领域“黑灰产”现象一直存在，而作为电商平台，必须时刻预演相应的安全攻防战，从而发现自身可能的技术和管理问题，并在最短时间内加以改进。在业绩狂奔的同时，务必要进一步强化安全体系内功，毕竟这牵涉到数以百亿计的交易额和数千万用户的信息等数据安全性。

当下国内电商平台越来越多，各自掌握大量的交易额和用户数据，其安全性也就越发重要。几维安全专家提出大胆建议，如果各大电商平台能抛弃成见，形成更广泛的合作联盟，如组建行业性的电商安全联盟，在合理边界内分享各自在此基础上的管理成果，推动行业自治，强化行业整体安全能力，如此才能预防更多“黑灰产”事件的发生，也为亿万消费者提供更安全的电商交易安全保障体系。