试驾活动一个月被薅数十万，鼓了谁的腰包？

“邀约好友参加线下试驾，就有机会获得精美礼品/奖券。”

听起来是个不错的营销策略，然而，一些不法分子看中了“试驾送礼活动”的商机与生意，正暗中准备大“薅”一场。

汽车市场竞争愈发激烈，各大车企为吸引消费者，常常推出各种试驾送礼活动，既能吸引消费者、提升品牌好感度，又能为汽车品牌提供有价值的反馈。

趁“试驾送礼活动”势头正热，黑产团伙瞄准时机，通过伪造身份证等手段，多次参加试驾活动，获取大量礼品或优惠，不仅严重损害了汽车厂商利益，也损害了真正需要试驾、有购买意愿消费者的权益，让不少车企措手不及。

前不久，多家汽车厂商推出了试驾送礼的营销活动，活动一出便被黑产盯上，通过使用接码平台进行批量攻击，大量薅取试驾活动的奖品，给汽车厂商带来数十万营销损失。

近期车企“试驾活动”攻击事件频发，经威胁猎人研究分析发现，“羊毛党”利用接码平台提供的大量手机号接收短信，并将该手机号用于账号注册，进而领取活动奖励，实现薅羊毛的目的。

以国内某汽车品牌APP的“邀请/试驾送礼”活动为例，威胁猎人风险情报平台监测到黑产团伙在社交群聊发布了相关薅羊毛攻击教程（包含自动化攻击工具）并进行广泛传播。

威胁猎人风险情报平台监测统计发现，从2023年1月到2月，针对该汽车品牌试驾活动的作恶手机号达千余个。

经进一步估算，该时间段内，预计全网针对该汽车品牌“试驾有礼”活动攻击的接码手机号接近3万个，相当于给该汽车品牌带来近3万名无效用户，总计造成的损失近60万元。

该时间段内，涉及该汽车品牌“试驾有礼”活动的攻击教程信息数量30余条、社交群聊数十个，预估直接影响人数达上万。直到3月22日，仍有黑灰产在社交群聊中传播包含自动化攻击工具在内的攻击教程。

无独有偶，在今年2月份，另一知名汽车品牌推出的“试驾送礼活动”也同样遭遇了大量黑产攻击。威胁猎人情报平台监测到，黑产团伙批量注册大量该汽车品牌APP的虚假账号，线上报名参加试驾活动，线下核销试驾券从而薅取大量会员礼品。

经统计分析发现，针对该汽车品牌试驾送礼活动的作恶手机号达到近千个，目前该黑产攻击呈现持续活跃趋势，对该汽车品牌的营销活动带来较大经济损失及品牌影响。

▲作恶手机号接收到的用于虚假注册的短信记录

对企业而言，精心筹备的营销活动一旦被羊毛党盯上，就有可能造成极大的营销损失，企业该如何有效地预防这类事件发生呢？

“羊毛党”之所以如此肆虐，是因为他们利用了海量黑产资源发动自动化攻击，例如利用大量手机号资源，IP资源进行攻击变现。通过伪装，平台无法区分手机号、IP背后的用户是真实用户还是虚假用户，传统的安全防御机制很难奏效。

针对屡禁不止的薅羊毛行为，基于黑产情报建立安全风控体系，才能从根本上摸清黑产行径、保障业务安全。

其中，构建黑产资源画像库是一种有效的防御方法，比如：手机号风险画像、IP风险画像。它们能有效识别羊毛党、黄牛党，防御营销欺诈行为，同时结合设备风险识别、黑产情报追踪，在业务场景全流程布控，实现真实用户增长。

目前黑产获取注册手机号这一攻击资源的途径主要是接码平台及群接码，通过在营销活动中接入手机号风险画像产品，可以基于手机号风险标签快速识别风险手机号，并根据高、中、低风险程度及时采取相应的风控手段：如直接拒绝注册、允许注册但不发放活动奖励等，避免营销活动被恶意利用。

威胁猎人基于的独有的蜜罐网络流量监测，积累了国内最大的手机号标签库，能第一时间反馈风险号码的作恶行为和时间，作为商家业务风险判断的依据。

黑产在作恶工具中集成了代理IP接口，此时可以通过接入IP风险画像产品，快速识别IP状态，并通过黑产IP的全生命周期评分模型，实时判定IP风险等级，根据风险值来灵活制定业务规则，可以有效控制作弊行为，同时尽可能减少对正常用户的误杀。

威胁猎人IP风险画像基于大数据算法，实时动态更新IP风险等级，可以对风险IP进行风险解释及精准溯源；此外，威胁猎人IP风险画像支持IPv6协议IP风险识别，目前已形成一套完整的针对IPv6风险识别算法。

此外，企业还需对黑灰产传播的攻击情报进行持续监测，及时捕获与自身相关的风险情况，基于攻击情报分析黑产攻击手法，优化自身风控规则。

“薅羊毛现象背后的经济规律是市场竞争和供求关系，因此“薅羊毛”行为难以完全杜绝，但过度的“薅羊毛”行为会损害企业利益，甚至影响市场的正常运作。

面对技术分工明确又配合严密的黑产团伙，企业可以从情报维度全面监测，从账号、IP、设备以及用户行为事件等多个维度，精准识别涉嫌薅羊毛的行为，及早及时进行针对性防御，将风险扼杀于萌芽。

威胁猎人基于强大的情报基础能力，帮助企业有效地对抗网络黑产的多种恶意手段，让业务发展不再受限于黑产攻击套路，逐渐迈向开放、高效、创新。

2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”（详见：）。