V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
frozenshadow
V2EX  ›  程序员

真是给黑产大神跪了……

  •  
  •   frozenshadow · 2015-11-04 22:55:09 +08:00 · 16314 次点击
    这是一个创建于 3307 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:上周公司搞活动, APP 注册(手机号)+关注微信号,可以抢红包。

    年少无知的我以为微信 openid+手机号绑定(注册过的)就能保证万无一失了~

    结果半小时之内被搞黑产的自动注册+关注微信+抢红包各种请求把服务器撑宕机了……(终于发现 win2008+apache 的好处了)

    之前一直搞不明白他们是怎么实现自动注册的~~直到看到了这篇 http://www.v2ex.com/t/233173 ,原来世界上还有‘短信代收平台’这种东西……

    晚上用他的接口做个了统计,也算是给 @kslr 交作业了 -_-


    手机号绑定 2939 个用户
    恶意用户 924 个 31.4%

    共发送 2769 个红包
    给恶意用户发了 829 个红包 29.9%

    共发 21579.17 元
    损失 6620.00 30.7%

    在"2015-10-31 15:47:03" ~ "2015-10-31 16:12:58" 共有 740 个手机注册,我们认为他们都是恶意用户(小厂活动,做多一天也才 500 多,误杀不了几个),防刷接口检测到了 628 个 84.8%的成功率

    也就是说,实际损失比上面更大一些!!! f**k!


    顺便分享下我的 id ,还能用 1000 次左右,拿去玩吧
    8f288bc3f7f54e87824055a72c564b14zx9ZhWsn

    38 条回复    2018-11-11 15:41:33 +08:00
    frozenshadow
        1
    frozenshadow  
    OP
       2015-11-04 22:58:53 +08:00
    Sleebi
        2
    Sleebi  
       2015-11-04 22:59:46 +08:00 via Android
    这个…写了活动最后保留 xxx 权利吗
    还是已经提现了 →_→
    shenqiu15
        3
    shenqiu15  
       2015-11-04 23:01:36 +08:00
    mark
    kmahyyg
        4
    kmahyyg  
       2015-11-04 23:15:19 +08:00
    表示 …… linux 大法好
    TakanashiAzusa
        5
    TakanashiAzusa  
       2015-11-04 23:16:38 +08:00 via Android
    问题是哪来那么多微信号啊。。。
    squid157
        6
    squid157  
       2015-11-04 23:27:57 +08:00
    @kmahyyg

    然后不会宕机 损失更多了 这个也真是哈哈哈哈哈不能更好笑的理由了
    crab
        7
    crab  
       2015-11-04 23:36:55 +08:00
    前几天好像实行手机号要实名,那几个手机短信代收平台也挂了。
    kmahyyg
        8
    kmahyyg  
       2015-11-05 00:31:16 +08:00
    @squid157 好吧,我忽略了黑产这个问题了。不过 linux 下的确稳定的多
    frozenshadow
        9
    frozenshadow  
    OP
       2015-11-05 07:58:53 +08:00 via Android
    @Sleebi 直接微信红包接口发了
    frozenshadow
        10
    frozenshadow  
    OP
       2015-11-05 08:00:16 +08:00 via Android
    @TakanashiAzusa 你搜一下“赚客”
    frozenshadow
        11
    frozenshadow  
    OP
       2015-11-05 08:01:35 +08:00 via Android
    @crab 看来活下来的还有:-(
    branchzero
        12
    branchzero  
       2015-11-05 08:33:43 +08:00
    辛苦辛苦,无耻开(写)外(脚)挂(本)薅羊毛的还是很多的。
    各种短信代收平台存活着呢。
    其实啊,我推荐你去用语音验证码:)这种代收平台貌似还没有收语音的吧。
    frozenshadow
        13
    frozenshadow  
    OP
       2015-11-05 08:40:44 +08:00 via Android
    @branchzero 手机上用这个验证体验好么
    branchzero
        14
    branchzero  
       2015-11-05 08:48:58 +08:00
    @frozenshadow 体验还好吧, API 调用之后用户会收到一个电话,然后记下代码挂掉填上就好。
    关键防薅才是本体啊。
    本来还想推荐用复杂的图形验证码,后来想了想这种才是最伤用户体验的。。。
    huobazi
        15
    huobazi  
       2015-11-05 08:49:18 +08:00
    羊毛党
    kslr
        16
    kslr  
       2015-11-05 09:01:39 +08:00
    来了来了,在那篇文章里面的信息我竟然没有收到 @Livid
    =========
    之前也做过一次抢红包的活动,半个小时就抽光了所有红包,用的是企业付款,后来账户还被封了 7 天;
    然后后来有一次我晚上回家的时候和出租车师傅聊天,他在给我炫耀只要有任何活动,他们就有人发到群里,大家一起去薅羊毛,还炫耀红包,卡卷什么的。
    所以。。。
    wdlth
        17
    wdlth  
       2015-11-05 09:08:21 +08:00
    毕竟中国的特点就是人多,就算不用自动化,人肉都能搞定……
    frozenshadow
        18
    frozenshadow  
    OP
       2015-11-05 09:17:18 +08:00
    @kslr
    @wdlth
    人肉确实也挺强大,而且还有什么‘赚客’,疯狂的薅羊毛~~~
    cad0420
        19
    cad0420  
       2015-11-05 09:55:32 +08:00
    @kslr 请问你们企业付款账号为什么被封啦?
    kslr
        20
    kslr  
       2015-11-05 10:11:13 +08:00
    @cad0420 活动的文章中有一句分享出去领取红包什么的,涉及到了诱导分享,其实平时没啥事,估计被对手举报了。
    UnitTest
        21
    UnitTest  
       2015-11-05 10:19:28 +08:00
    @wdlth 想起当年某些木马盗号,我以为有什么黑科技,原来是远程截图,人工输入验证码...
    willbi
        22
    willbi  
       2015-11-05 10:27:15 +08:00
    最近这些平台都给关闭了,楼主可以安心了
    Cu635
        23
    Cu635  
       2015-11-05 10:40:47 +08:00
    @branchzero 图形验证码也不管用了,现在有输入验证码的兼职,下载一个客户端,给你验证码,你就看着输入,每天输入多少个就 1 毛钱或者 1 块钱这样。
    alex321
        24
    alex321  
       2015-11-05 10:49:41 +08:00
    那么,我此前在这里问过一个如何判定一个 openId 是否相对当前微信公众号唯一的问题,还是有必要的。
    然后,好羊毛手机号码数据库也是很重要的。。。
    phx13ye
        25
    phx13ye  
       2015-11-05 11:18:26 +08:00
    具体是怎么干的啊?
    羊毛党准备了很多微信号?
    frozenshadow
        26
    frozenshadow  
    OP
       2015-11-05 11:38:47 +08:00
    @willbi 并没有……我周六被薅的~~
    @alex321 openid 是对应微信公众号唯一的
    @phx13ye 你去搜下神奇的‘赚客吧’,你就知道有多凶残了
    Poko
        27
    Poko  
       2015-11-05 11:52:23 +08:00
    @frozenshadow 群里有个大牛上次电影票红包媷了 2 万个,然后 5 块一个卖。。。。
    jayzhong
        28
    jayzhong  
       2015-11-05 12:05:58 +08:00
    哎,薅羊毛的......
    frozenshadow
        29
    frozenshadow  
    OP
       2015-11-05 12:29:00 +08:00
    @Poko 我擦,这么猛
    jayzhong
        30
    jayzhong  
       2015-11-05 16:15:39 +08:00
    我们公司的活动被挂到赚客吧上面好多次
    frozenshadow
        31
    frozenshadow  
    OP
       2015-11-05 16:27:38 +08:00
    @branchzero 还是检测到恶意用户就降低奖金来的靠谱~
    Radiums
        32
    Radiums  
       2015-11-05 23:05:11 +08:00
    之前看到腾讯有利用大数据做的防刷平台
    Radiums
        33
    Radiums  
       2015-11-05 23:07:00 +08:00
    看了下跳转之后的链接就是介绍啊。。。感觉还是靠验证码靠谱
    flyz
        34
    flyz  
       2015-11-06 07:31:03 +08:00 via Android
    @jayzhong 只要打到赚客吧,基本人工给你撸干净。
    realpg
        35
    realpg  
       2015-11-06 22:02:24 +08:00
    楼主,这根本就不是黑产。

    基本的薅羊毛而已……

    薅羊毛群体后面站着的,都是程序员……
    realpg
        36
    realpg  
       2015-11-06 22:03:04 +08:00
    一不留神 ctrl+enter 发出去了

    我都是作为薅羊毛专家给人干反薅顾问的……
    frozenshadow
        37
    frozenshadow  
    OP
       2015-11-08 20:13:01 +08:00
    @realpg ……这不是普通的薅羊毛了~~~和打游戏挂脚本一样了~
    v2eAllen
        38
    v2eAllen  
       2018-11-11 15:41:33 +08:00
    厉害了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1331 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:42 · PVG 01:42 · LAX 09:42 · JFK 12:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.