ofo漏洞刷单或将判定“盗刷”

参考中国报告网发布《2017-2022年中国单车租赁市场运营格局现状及竞争策略分析报告》

　　目前，企业采用法律手段打击“羊毛党”的行为极为罕见。不过，4月20日，上海市公安局通报一起通过企业红包软件套取50万奖励的违法行为，29名嫌疑人被抓捕。该案件中，利用红包漏洞套取奖励的行为被定义为“盗刷”，该案件或许会成为国内打击“羊毛党”的起点。

　　 “快点，武汉的红包车来了。”4月24日11时，知名“羊毛党”论坛“赚客吧”上有用户发帖告知“ofo在武汉有红包车了，快来薅。”4月16日，ofo推出“骑小黄车抢现金红包”活动之后，就被“羊毛党”形容为“衣食父母”，自称每日盈利上万元的大有人在。

　　 然而，活动初期一次骑行奖励数十元、数百元的运气似乎没有了，多个用户在这个帖子留言称“只有1块多”，大多“羊毛党”调侃“只是做到了免费乘车而已”。还有多个帖子留言称“今天的红包全是1分钱，被‘反薅’了一把”。当然，也有“因为被系统认定恶意刷单套取红包，被系统判定违规，连押金都没法退”。

　　 “这两天，ofo公司开始打击，很多人都‘下车’了”，资深业内人士郑小可（化名）表示：“前几天，玉米平台上一大堆卡商对接，今天陆续都下线了，项目ID都已经关闭了。”玉米是羊毛党常用“接码平台”，羊毛党使用手机号批量注册时，可以从该平台提取手机号、短信验证码。

　　 郑小可出示的数张截图显示，在玉米接码平台上，ofo对接项目ID号为4356。在玉米接码平台的交流群中，其中一个卡商号称“10万卡，每月新增5万张卡，实力对接ofo”。该QQ群群号“606077589”，群中存在多个手持10万张以上手机卡的卡商，其手机号在微信、京东、陌陌、中国移动、联通、平安集团、等大批企业注册成为用户。

　　 虽然部分羊毛党已经“下车”，但依然有活跃的“羊毛党”不断贴出数十元的红包—现金红包活动不停，“羊毛党”不止。

　　 “模拟器”、“任我行”

　　 “薅ofo，几乎没任何难度，所有的技术，在当初刷Uber的时候就已经成熟了”，郑小可表示，“比起Uber来，薅ofo太简单了。”

　　 ofo的现金红包活动要求在指定红包区域内解锁车辆，骑行10分钟、距离500米以上，骑行结束、结账之后可以领取现金红包。

　　 “首先，ofo应该不具备车辆GPS定位能力，所谓的红包区域跟车辆并不匹配，这是个很明显的漏洞”，郑小可表示：“你选中红包区域之后，根本不用选这个区域内或者区域附近的车。手动随便输入6位、7位数字，基本都可以开始骑行。”

　　测试，输入“1234567”、“2345678”等均提示故障车，不过，以“2345679”、“2623489”等随机输入的车牌号解锁。解锁后，手机静置超过10分钟后结束行程，不过，领取的红包未超过2元。同一个账号间隔一个小时之内在北京、武汉两地测试，均可领取红包。

　　 “一般散客都是拿自己的手机号去做测试，薅的羊毛有限”，郑小可表示：“专业点的‘羊毛党’，都是用模拟器，在电脑上一次注册、登录几十个账号、上百个账号，用‘任我行’调整定位设计好行车路线，然后10分钟后结束。一个账号次数满了之后，接着就提现。每一次操作在系统看起来都是不同用户的正常骑行。”

　　 “任我行”是隶属于iGrimace的一个产品，自称“全国第一款定位修改软件，是国内定位修改行业当之无愧的鼻祖”，任我行可以改变陌陌、微信、微博、QQ等各类社交软件的LBS应用，“简单实用上手快，修改定位成功率稳居市场第一”。除了被用于ofo、Uber等出行APP之外，大多营销公司在使用QQ、陌陌、微信“附近的人”功能进行营销时，也经常使用任我行。

　　 目前，尚不确定iGrimace的官方公司名称，不过，除了“任我行”之外，该品牌旗下产品还有NZT修改手机参数工具，“这个工具可以批量修改手机的IMEI号码，用一台设备就可以伪装成一堆手机。”任我行、NZT均为“羊毛党”常用软件。

　　 值得一提的是，iGrimace一边在官网公告中抵制“羊毛党”的刷单行为，一边又推广“羊毛党”工具，并且把知名“羊毛党”论坛“赚客党”放在官网的推荐位置。

　　 漏洞刷单或将判定“盗刷”

　　 “通过软件脚本，一天操作几千个号码非常轻松”，郑小可出示了一张专门为ofo“羊毛党”开发的简易软件，该截图显示有数十个手机号码同时在参加ofo的现金活动，部分已经完成的号码还会提醒“请提现”。多个“羊毛党”在赚客吧、百度贴吧留言称“每天操作2000多个号”。

　　 事实上，从2017年初，“羊毛党”就从“账号、密码共享”、“认证学生身份”、“优惠券”等多个领域洗劫ofo。

　　 在推出现金红包活动之前，ofo也预计到“羊毛党”的骗补行为。ofo联合创始人张巳丁表示，“红包区功能开发于三月份、上线于四月初，我们产品上线之前即预料到可能会有骗补情况。但是ofo希望产品先上线再进行迭代。目前ofo能够根据GPS、用户轨迹来定位，识别偏补，骗补的行为将被记录下来，并建立用户黑名单制度。”

　　 当然，不只是ofo，但凡存在用户补贴、优惠券、新老用户奖励等等推广烧钱的领域，都有“羊毛党”的身影。此前，Uber、滴滴等公司均曾出现套取百万级补贴的个人“羊毛党”，而个别缺少防范“羊毛党”经验的城市银行，也曾5天被“羊毛党”洗劫5000万推广经费。当然，国内电商、O2O、快递、金融公司，几乎每日都会与“羊毛党”进行攻防战。

　　 但遗憾的是，目前对于“羊毛党”是否违法没有明确法律定义。“从目前的法律来看，最多只能说“羊毛党”滥用公民信息，因为他们用的手机号都是海量公民身份证进行实名的”，多位企业、安全行业人士表示：“我们最多能从技术上把‘羊毛党’控制在一个可以接受的范围之内，损失只能自己承担，没有法律手段去限制他们。”

　　 多家公司建议，“希望行业内可以联合起来，给验证为‘羊毛党’的手机号打标签，然后数据在行业内共享。这样，隐藏的‘羊毛党’以后就会被曝光在阳光下，他们的生存空间也会越来越小。”不过，提出该建议的公司也担心，“不知道目前法律是不是允许我们企业是否能给‘羊毛党’手机打标签？毕竟，这也算是个人资产。”

　　 目前，企业采用法律手段打击“羊毛党”的行为极为罕见。不过，4月20日，上海市公安局通报一起通过企业红包软件套取50万奖励的违法行为，29名嫌疑人被抓捕。该案件中，利用红包漏洞套取奖励的行为被定义为“盗刷”，该案件或许会成为国内打击“羊毛党”的起点。

资料来源：公开资料，中国报告网整理，转载请注明出处（PF）。