现状概述

2016年移动电商App总用户数量约6.3亿，其中约2.7亿用户遭受过不同程度安全问题，占比约43%。

电商行业移动 App 受漏洞影响如图所示

高危占比14%：数据传输不安全导致用户订单泄露、篡改。

中危占比55%：本地数据存储不安全、用户隐私泄露。

低危占比29%：App 业务逻辑被破解、算法剽窃。

支付安全问题依旧位列电商行业移动 App 安全问题之首，而被"薅羊毛"问题当属电商行业移动 App 安全问题的代表。

本篇报告我们针对电商行业移动 App 代表性安全问题——被"薅羊毛"共同深入分析。

图示说话

与传统零售相比，用户网购体验流程区别较大，基本遵循下图所示的网购流程。

 网购流程图

每一个环节都可能引致重大的安全问题，电商 App 也不例外。下面谈谈网购流程中较容易出现安全问题的三个环节：

1 账号注册-登录

电商 App 的使用流程中，注册-登录过程都可以通过一些自动化工具来完成——批量注册账号、扫号。"羊毛党"们则利用了这一点， 刷取了大量的活动资源。因此，电商App账号注册-登录系统则是电商平台打击黑产以及薅羊毛的第一道防线。

"羊毛党"们批量注册、扫号流程图

PS：扫号是指使用扫号器对账号、密码进行批量验证。

2 商品浏览

移动电商行业中，商家通过"平台活动"吸引用户、促进销量。而"羊毛党"则是通过"强占"商家的这种优质资源并转手真正的用户来谋利。损害了商家与用户的双向权益。

薅羊毛关系链

3 订单支付

支付系统是电商 App 必不可少的一个模块，涉及到用户的账户密码、资金安全。用户在 App 上支付时，数据如果不做有效保护，随时会被不法分子利用。 

案例说话

国内著名移动运营商遭黑卡薅羊毛，流量平台一月被抢8.2万G

2016年12月10日至2017年1月6日期间，某运营商的"有奖答题"营销活动被羊毛党疯狂利用，导致活动开始时网页崩溃，活动福利一抢而空。

上述案例全过程分析

1 薄弱环节：无法鉴别真实用户

爆发这场"薅羊毛"大战的技术原因在于运营商（客户端App、App后台）无法有效识别出哪些是真实用户、哪些是羊毛党，也就是缺少图中所示的强大、高效的用户身份鉴别模块。

身份鉴别模块作用示意图

2 突破关键：手机号验证已经不是门槛

为提高注册用户身份的真实性、过滤出高价值用户以及防止恶意注册、扫号，案例中的运营商使用了短信验证码。为此，如何突破短信验证码就成为薅羊毛的关键一步。如下图手机打码关系链图。

手机打码关系链

3 "薅羊毛"的产业链：分工有序

整个"薅羊毛"有着完备、成熟的产业体系。羊毛党们经过精心的准备，接下来的攻击和套现就变得简单化、便捷化。羊毛党们利用打码平台和卡商提供的海量手机号以及提供的打码服务在运营商的流量平台上批量注册账号，并用注册到的账号采用自动化的软件参与运行商的"有奖答题"活动。整个薅羊毛关系链暴露出这样的核心问题：单纯依据手机号码来鉴别用户已不足以满足电商 App 被"薅羊毛"的安全需求。看看黑产在这个方向的专业分工：

"薅羊毛"过程图示

 

小结

对抗"羊毛党"，根源上是识别用户是否真实，是否可靠。电商平台需从多维度去鉴别、过滤。