你花100万做活动，羊毛党用脚本抢走90万，留下的10万还嫌门槛太高——这不是营销，这是慈善

一、营销欺诈的“三驾马车”：羊毛党、机刷、群控

在营销反欺诈的战场上，我们面对的主要是三类“敌人”。它们各怀绝技，又常常联合作战。

第一类：羊毛党——“人肉”薅羊毛

羊毛党，是最“原始”的营销欺诈者。他们通常是真实的人，用真实的设备，但会通过“养号”、“接码”、“众包”等方式，批量参与营销活动。

典型手法：

• • 接码平台：用一次性手机号批量注册账号，每个手机号收一条验证码，成本几分钱
• • 养号：提前注册大量账号，模拟正常行为“养”一段时间，让风控系统放松警惕
• • 众包薅羊毛：在QQ群、微信群发布“任务”，召集大量真实用户参与活动，然后分成

风险特征：

• • 账号注册时间集中
• • 手机号来自特定号段或虚拟运营商
• • 收货地址异常（如“XX省XX县XX村村委会”）
• • 多个账号共用同一支付账户

XX银行的内部数据：一次信用卡“开卡送积分”活动，羊毛党贡献了42%的申请量，但真实消费转化率不到0.5%。

第二类：机刷——脚本的狂欢

机刷，是用自动化脚本模拟用户行为，批量完成注册、签到、下单等操作。机刷的效率远超“人肉”，一台服务器可以模拟成千上万个“用户”。

典型手法：

• • 模拟器：在电脑上用安卓模拟器运行脚本，一台机器开几十个窗口
• • 自动化框架：用Appium、AirTest等框架模拟点击、滑动、输入
• • 协议破解：直接调用App的API接口，绕过界面，效率最高

风险特征：

• • 操作轨迹过于规律（每次点击间隔完全相同）
• • 设备指纹异常（模拟器特征、root/越狱、调试模式）
• • 网络特征异常（IP来自数据中心、请求频率过高）
• • 行为序列异常（注册后立即领券、立即下单、立即退出）

XX电商平台的监测：一次“秒杀”活动中，机刷脚本的请求量占到了总请求量的70%，但所有请求来自不到200个IP。

第三类：群控——“人机结合”的高级玩法

群控，是羊毛党和机刷的“升级版”。它用一台电脑同时控制成百上千台真实手机，每台手机都是一个“真实用户”，但所有操作由中心系统统一指挥。

典型手法：

• • 硬件群控：一台电脑通过USB HUB连接几十到几百台手机，用脚本统一控制
• • 云手机群控：在云端租用大量虚拟手机（云手机），远程控制
• • 多开分身：在一台手机上安装多个“应用分身”，每个分身独立运行

风险特征：

• • 大量设备地理位置高度集中
• • 设备型号、系统版本高度一致
• • 设备电量、信号强度变化高度同步
• • 多台设备的操作时间戳完全一致

XX支付公司的发现：一个群控机房被端掉时，现场查获了800多台手机，每台手机上都登录了5-10个账号，共控制着超过6000个账号。这些账号每天自动签到、自动做任务、自动领券，每月“薅”走价值超过50万元的权益。

二、为什么传统风控“拦不住”营销欺诈？

营销欺诈和传统的信贷欺诈、交易欺诈有一个本质区别：金额小、频率高、手法多变。

一笔信贷欺诈可能涉及几万元，风控可以“花大代价”去识别。而营销欺诈，单次可能只薅几块钱的优惠券，但规模是百万级、千万级的。风控必须在极低的成本下，高效识别海量请求。

传统风控手段在这个战场上有三个“致命伤”：

硬伤一：规则引擎反应太慢

规则引擎是“被动防御”的典型代表。羊毛党今天用A手法，你明天上线规则A；明天他们换成B手法，你后天上线规则B。你永远追不上。

XX公司的一个真实数据：一个营销活动上线后，羊毛党找到漏洞的平均时间是4小时，而风控团队修复漏洞的平均时间是24小时。这意味着，在20个小时的窗口期内，羊毛党可以“畅行无阻”。

硬伤二：单点特征失效

传统风控依赖单点特征：IP地址、手机号、设备指纹……但羊毛党太“聪明”了。IP不够？换代理。手机号被封？接码平台有的是。设备指纹被标记？云手机一开又是一批新设备。

XX银行的实验：将IP、手机号、设备指纹三个维度同时加入风控规则，羊毛党的绕过率仍然超过60%。因为这三个“点”都可以无限生成。

硬伤三：误杀与漏杀的“两难”

把风控调严了，误杀真实用户；调松了，漏掉羊毛党。在营销场景中，误杀一个真实用户的成本可能远高于漏掉一个羊毛党。这就形成了一个“两难困境”——风控太严，活动效果差；风控太松，预算被薅光。

XX电商平台的教训：一次“新用户专享”活动中，为了严防羊毛党，风控设置了极其严格的规则，结果真实新用户的转化率从预期的15%跌到了3%，活动效果惨不忍睹。

三、营销反欺诈的“五层防御体系”

经过多年实战，我总结了一套“五层防御”的营销反欺诈体系。从轻到重、从快到慢，层层递进。

第一层：设备指纹——识破“伪装者”

设备指纹是营销反欺诈的第一道防线。它的核心是：给每台设备一个唯一的“身份证”，无论它怎么伪装，都能识别出来。

核心技术：

• • 主动指纹：通过JavaScript/ SDK主动采集设备信息（浏览器、操作系统、屏幕分辨率、字体等）
• • 被动指纹：通过通信协议栈特征识别设备（TCP/IP指纹、TLS指纹）
• • 硬件指纹：采集设备硬件ID（IMEI、Android ID、IDFA等），但需注意隐私合规

先进做法：Canvas指纹Canvas指纹通过让浏览器绘制一张隐藏图片，不同设备、不同GPU驱动、不同浏览器渲染出的图片有细微差异，可以生成近乎唯一的设备标识。

XX公司的效果：引入Canvas指纹后，设备识别准确率从85%提升到97%，羊毛党通过“重置设备ID”绕过风控的成本大幅增加。

第二层：行为验证——让“机器”现出原形

行为验证的核心思想是：让用户完成一个“对人简单、对机器困难”的任务。最典型的就是验证码。

行为验证的演进：

• • 第一代：图形验证码——输入扭曲的数字/字母。机器识别率已超过99%，基本失效
• • 第二代：滑块验证——拖动滑块完成拼图。机器已能通过轨迹模拟破解
• • 第三代：无感验证——通过分析用户行为（鼠标轨迹、点击节奏、页面停留时间）判断是人还是机器，无需用户额外操作

前沿技术：行为生物特征每个人滑动鼠标、点击屏幕的“习惯”是独一无二的。通过深度学习分析用户的行为序列，可以生成“行为指纹”，区分真人和脚本。

XX支付公司的实验：行为生物特征对机刷的识别准确率达到96%，误报率仅0.3%。

第三层：关系网络——揪出“团伙”

设备指纹和行为验证能防住“单兵作战”的羊毛党，但对群控、团伙作案效果有限。这时需要关系网络出马。

图挖掘的典型应用：

XX电商平台的一次“拉新”活动，通过关系网络分析发现了一个异常社区：

• • 800个账号，共用23台设备
• • 所有账号的注册时间集中在凌晨2-4点
• • 所有账号的收货地址是同一栋写字楼的不同房间号
• • 所有账号的邀请关系形成一个“树状结构”，根节点是3个“团长”账号

处置：整个社区的800个账号全部标记为“无效拉新”，扣除佣金。团长账号封禁。

第四层：异常检测——捕捉“看不见”的异常

营销欺诈的“招式”千变万化，规则引擎永远追不上。但有一个东西是不变的——异常。无论手法如何变化，羊毛党的行为一定和正常用户有差异。异常检测就是捕捉这些差异。

实践案例：时间序列异常检测

XX银行的一次“签到领积分”活动，正常用户的签到时间分布在一天24小时，而羊毛党的签到时间集中在凌晨0:00-0:05（因为签到奖励每天0点刷新）。通过检测“凌晨签到占比”这个指标，系统自动识别出一批可疑账号。

多维度异常检测：

• • 时间维度：凌晨活跃、节假日活跃模式异常
• • 行为维度：操作轨迹过于规律、页面停留时间异常短
• • 网络维度：IP归属地与设备GPS不匹配、代理/VPN检测
• • 关联维度：设备关联账号数、IP关联账号数

第五层：策略引擎——动态博弈的“大脑”

以上四层都是“感知层”——识别风险。第五层是“决策层”——如何处置。好的策略引擎，不是简单地“杀”或“放”，而是和羊毛党动态博弈。

分层处置策略：

动态博弈策略：

• • 诱饵策略：对疑似羊毛党，不直接拒绝，而是发放“假权益”（如一张已过期的优惠券），观察其行为，反向标记
• • 限速策略：对高频请求限流，而不是直接拒绝，避免激怒真实用户
• • 成本提升策略：对羊毛党增加验证成本（如多次滑块验证），让“薅羊毛”的边际收益为负

XX公司的效果：引入分层处置后，羊毛党的“有效攻击”成功率从40%降到8%，而真实用户的误拦截率从5%降到0.5%。

四、实战案例：一场2000万预算的“保卫战”

回到文章开头的XX电商平台。在经历了那次“惨案”后，他们重新设计了营销反欺诈体系，并在下一次大型活动中应用。

活动背景：“双11”新用户专享——注册送50元券包，预算2000万。

防御体系：

1. 1. 设备指纹层：Canvas指纹+硬件指纹，识别设备异常
2. 2. 行为验证层：无感行为验证，对可疑请求弹出滑块
3. 3. 关系网络层：实时检测“设备-账号”关联，单设备关联>3个账号自动标记
4. 4. 异常检测层：检测凌晨注册占比、注册到领券的时间间隔、IP段集中度
5. 5. 策略引擎层：分层处置，高风险直接拒绝，中风险延迟发券

结果：

• • 活动总注册量：180万
• • 识别并拦截的羊毛党账号：67万（占比37%）
• • 其中机刷账号：42万
• • 群控账号：18万
• • 人肉羊毛党：7万
• • 真实用户：113万
• • 真实用户转化率（7日内下单）：31%
• • 单用户获取成本：从预估的50元降到实际28元

活动结束后，运营总监小陈笑着说：“这次不是给羊毛党发年终奖，是给我们的风控团队发年终奖。”

五、营销反欺诈的“三大趋势”

1. 从“单点防御”到“全链路防御”

营销反欺诈不能只盯着“注册”这一个环节。羊毛党可以在注册、签到、领券、下单、核销、提现等多个环节发起攻击。全链路防御，就是在每个环节都设置风控点，让羊毛党无处遁形。

2. 从“被动响应”到“主动预测”

与其等羊毛党攻击了再防御，不如提前预测他们会在哪里攻击、用什么手法攻击。通过分析黑产论坛、暗网情报、历史攻击模式，主动预判下一次攻击的“时间、地点、手法”。

3. 从“防御思维”到“博弈思维”

营销反欺诈的本质，是和羊毛党的“成本-收益”博弈。风控的目标不是“100%拦截”，而是让羊毛党的攻击成本高于收益。当薅羊毛的成本超过收益时，羊毛党自然会“另寻他处”。