电商平台的蓬勃发展使之成为“黄牛代下”的重要阵地,当前已形成一个成熟的产业链,侵占了电商平台在内的各大平台正常消费者的优惠权益,严重破坏了平台的公平生态。
“黄牛代下”也就是黑灰产雇佣真人远程下单,来批量薅取活动限购的优惠商行为,真人用户按照黑灰产提供的商品下单方案下单到指定地点(或后期转寄到指定地点),最后得到返还的货款和佣金,黑灰产则收到商品后进行转销获利。
威胁猎人基于长期对电商黄牛代下产业链的调查和研究,结合代下报单数据,力求准确、客观展现当前黄牛黑灰产的作恶现状和行为模式。
本次分析报告的要点如下:
1、黄牛代下场景下,日化快消和美妆护肤品类是黄牛代下重灾区;国内头部电商平台为黄牛党主要攻击平台,也是各品类商品主要代下来源、其它特色小型电商因主营特色商品属性受黄牛关注;
2、黄牛代下组织作为多个中间节点,为同一或多个货主代下汇拢多个品类商品,供以转销获利;代下大货主广泛分布在沿海城市和四川成都,掌握着从各大电商平台代下的货物,形成一个个巨大的货源;
3、黄牛代下典型行为模式主要体现在其严密的组织、明确的分工,深入研究各大电商平台风控规避技巧,除了与大货主建立上下游密切的合作关系以外,也存在与平台商家、快递员等参与者勾结、互利双赢的现象。
一、产业链概述及危害
1.1 产业链概述
黄牛群体关注各大平台的日常营销活动,电商平台和品牌会发布大量优惠活动,例如平台优惠券、店铺优惠券、商品降价等,电商平台大促成为了黄牛党狂欢的盛宴,此时,一条清晰的产业链便展现出来了:
上游:掌握出货渠道的大货主、大黄牛根据商品市场需求和平台优惠力度设计出下单方案和佣金方案给到中游的代下组织。这些下单方案包含代下的具体商品链接、下单数量、下单地址,下单成本及佣金,并在最终收到代下优惠商品后进行转销;
中游:黄牛代下组织通过私域渠道如QQ群、微信群,传达发布上游的代下方案,组织代下人员进行下单并及时填写报单链接。这里的报单链接,是黄牛组织者为了方便统计和结算代下货款创建的登记表单,代下人员登记下单记录及收款账号。
下游:长期活跃在各个代下群里的成员,使用自己多个购物账号,按照指定的商品和地址等要求下单,等待货主货到验收,赚取黄牛返还货款及佣金。
1.2 危害
黄牛代下从表象上看是一种“合规”的代买行为,对于平台和商家来说,货品都是真金白银、实打实地卖出去了。
黄牛通过代下“撸”得大量低价正品资源,再转销经销商和其它渠道,赚尽差价,最终线下价格也会影响到线上定价和品牌定价。
长期的黄牛代下行为,直接侵占了平台正常消费者的优惠购买权益,正常购买者被迫增加购买成本,严重破坏了电商平台的公平生态。
实际上,许多电商平台和品牌建立了对应的风控体系,在账号信息、IP、地址、商品等多个维度用以识别黄牛代下攻击、禁止下单、处置风险账号以及拦截发货等一系列打击措施。
二、产业链与代下现状
2.1 日化快消和美妆护肤品类成为代下重灾区
威胁猎人捕获的代下方案中,代下品类TOP3为日化快消、美妆护肤和医药器械类,分别占总数的55.35%、20.09%和8%,其它 16.56%与保健品、家电、手机数码、时尚服饰、酒类等相关。
日化快消类型商品在各电商平台均占代下商品的大头,该类商品涵盖消费者的日常各方各面(洗漱个护、清洁、母婴用品、食品等),为刚需消耗型商品,不愁转销渠道;
美妆护肤类商品与日化快消有着相似属性且商品单价较日化快消较高,近几年美妆护肤消费群体不再受限于女性,正装及小样均是代下的重要标的;
医药与器械类商品在统计周期内有大量的代下趋势,从品类下top3具体代下商品分析,测氧仪、血糖仪、血压计、测温仪等各种家用医疗器械为主,与新冠疫情时期药品器械供需紧张存在关联关系。
2.2 国内头部电商平台为黄牛党多品类撸货平台,特色中小型电商为其它品类补充渠道角色
注:以下报告内容已做脱敏处理(相关电商平台用A、B、C等代称)
(1)国内两大头部电商平台A和B为黄牛党各品类撸货主要平台
威胁猎人从捕获周期样本数据中识别出27个被代下的电商平台,其中97.14%的代下报单方案来自国内两大头部电商平台A、B,其它22个平台包含各大中小型电商,仅占2.86%。
电商平台活动和补贴力度越大,越吸引黄牛党蜂拥撸货,捕获样本中主要的品类数据压倒性地表明:国内两大头部电商平台A和B为黄牛党撸货的集聚地,其它特色中小型电商更多地作为代下补充渠道角色,后者的品类覆盖度、商品体量、活动补贴力度均不及国内两大头部电商平台A、B。另有90.82%未知品类商品在头部电商平台B渠道被代下攻击。
注:未知品类商品指的是黄牛黑灰产用模糊关键词和代码指代商品,无法归类
(2)国内两大知名中小型电商D、F因主营特色商品属性受黄牛关注,充当其它品类代下补充渠道
平台的主营商品属性及带来的价格、品质优势,很大程度上决定了黄牛代下对电商平台攻击规模。国内头部电商平台A、B、C具有更明显的家电、手机数码商品属性,因此在品类平台分布中,在家电和手机数码品类中位列代下攻击前列。
国内知名中小型电商平台F主打美妆、母婴及食品保健品海淘进口和正品保障,其主要销售类别,较国内两大头部电商平台A、B以外较有优势,除了常规的日化快消、美妆护肤品类,平台上的保健品均是黄牛党代下目标。
国内某知名中小型电商平台D代下除日化快消、美妆护肤类商品外,保健品和服饰也占有一定比重。
2.3 各品类商品通过代下组织集中流向品类货主所在地,形成黄牛货源
(1)黄牛组织作为中间节点,服务各品类货主
威胁猎人长期监测数据显示,各大独立的黄牛代下组织发布的代下方案,涉及多种商品品类,涵盖日化快消、美妆护肤、手机数码等,而方案中的代下地址存在高度重合,黄牛组织作为多个中间节点,同时为同一或多个货主代下汇拢货物。
黄牛代下方案数据中的代下地址,指向代下商品最终归属大货主,货主集聚各类型商品再转销获利。同时,存在只回收某一品类的货主,如日化货主、美妆货主,也存在少数复合型货主,代下各类货物,这取决于货主的销货渠道资源。
以某一美妆护肤大货主常用代下地址为例:河南省郑州市二七区侯寨xxx,至少有16个独立的黄牛代下群组为该地址货主组织代下活动,不同的黄牛组织作为多个中间节点,同时为同一货主代下汇拢货物。
威胁猎人安全研究员也观察到,不同的黄牛组织在群组人满之后不断扩建新的分群,不断壮大其代下人员规模。
(2)代下大货主广泛分布在沿海城市
威胁猎人根据捕获到的关联地址信息的黄牛代下方案(其中提取到近3000个地址)进行统计分析,发现黄牛代下地址主要指向地区以沿海省份及四川省为主。
黄牛代下方案地址数量Top5省份为:山东省、河南省、广东省、安徽省和江苏省,说明代下货主及货源广泛分布在这些区域。
从城市维度来看,商品代下主要流往地区为临沂、成都、郑州、深圳和亳州市等城市。这些城市集聚着黄牛代下的上游团伙,掌握着从各大电商平台代下的货物,形成一个个巨大的货源。
商品流向Top10地区图,如下所示:
(3)各品类流向各地区货主
威胁猎人安全研究员按不同商品品类进行代下地区流向分析,下图为各品类商品代下流向图,展示品类货主及其聚集货源所在地。
日化快消商品主要流向临沂、成都和深圳地区的货主
美妆护肤商品主要流向郑州、临沂和深圳的货主
医药与器械商品主要流向位于朔州、商丘和临沂的货主
家电商品主要流向位于临沂、成都和郑州的货主
手机数码商品主要流向位于深圳、广州和河源的货主
酒类商品主要流向临沂、亳州和成都的货主
三、代下黑灰产典型行为模式
3.1 组织严密、分工明确
黄牛代下黑灰产以“私域群组”和“报单登记”为组织形式,群组分工明确:
上游方案群:有专门研究、匹配电商平台下单商品方案的方案群,负责研究出最优利润的商品方案;
中游组织群:代下组织群组接收上游的下单方案后,使用自己一套简约的模板,群发下达代下方案和报单返款流程,方案覆盖了可以指向商品的要素:平台、商品链接或口令、下单数量、付款成本、行情和佣金、收货地址和报单链接;
群组内分布在全国各地的代下人员在接收到方案后执行代下任务,并到指定团伙的报单链接进行报单;
中游专用报单链接:中游的代下组织除组织方案代下,会创建专用的在线报单登记表单,要求代下人员登记或选定具体的已代下方案和返款账号,便于统计和结算代下佣金。
整个流程从“设计方案——群发方案——执行代下——报单链接报单——货到结算货款佣金”,实现全链闭环。
黄牛群体的“防风控”意识贯穿组织代下全流程。黑灰产以各类黑话、谐音词和缩写作为内部交流的语言,主要体现在发布方案或者后期报单页面的用词,这一套语言也“体现”黑灰产团伙的效率化,对于内部代下人员理解成本低。
代下组织一般为长期的合作关系,上文提及的方案要素,并不需要一一出现,讲清楚“成本”和“佣金”,下对单、报对单,到货,货款佣金到账一条龙。代下黑灰产使用各类在线报单服务,限时开放链接,在返款后随即关闭对外不可见,降低被风控的风险。
综上,黄牛代下显著的组织性和下单、报单到返款的系统流程化,决定了普通的众包平台不适配于该类作恶活动。这也是黄牛代下是一种真人众包代下作恶行为,但却很少出现在众包平台的原因。
方案示例:
某知名化妆品牌洗发水护发素强韧发根控油去油无硅油4/ CZ0001 xK2ZWxxxx/:// CA1710两个都可以选数量2,25券,付款195,返利9.35%,成本176.7,固回184
江苏省苏州市昆山市XXX+XXX名字: 暗号XXX,电话自己的
注:成本指的是代下人员需先垫付的最低付款成本、固回指固定返款金额。
报单链接示例:“固定”指固定返款金额。
3.2 深入研究各大电商平台风控规避技巧
威胁猎人安全人员研究发现,黄牛黑灰产防风控意识强,除了体现在会使用内部黑话、及时关闭报单来防止风控,也体现在他们与平台风控系统此消彼长的长期对抗。
平台推出风控措施,限制黄牛成功下单——内部所谓的“加盾”、“厚盾”、“小盾”、“被盾”,黄牛党则采用一些技巧绕过风控,也就是所谓的“破盾技巧”。
黄牛党在私域群组传播破盾技巧,针对不同的电商平台他们有对应的识别风控和绕过风控的技巧,涵盖从养号到下单。
整体观察发现,破盾技巧在“巧”不在“技”,对抗平台、了解平台、顺应平台规则到绕开规则。
(1)模仿正常账号行为特征进行养号、洗号
黄牛党在代下时称“黑号”了,指的是账号被平台风控降权,标识为非正常消费账号,限制其下单行为。
黄牛代下团伙持续关注如何判断账号是否被风控的方法,同时为防止账号被风控或后期解除风控,有了“养号或洗号”防盾技巧,可以看出,黄牛党有意识地模拟正常用户的使用特征:
不在A平台关联闲置平台出售A处购买的商品,会被A平台风控判定为黄牛;
经常在平台官方店铺进行消费,有助于洗号;
短期减少薅羊毛活动;
使用平台账号参加线上公益活动,如购买公益午餐或捐款,有利于养号;
不随意在其它设备切换账号;
不多次使用代拍服务,防止因异地登录等问题被风控;
选购平台“优秀”账号:选定“老号”或符合商品订单编号生成某一规则的账号,被认为比其他普通账号更容易抢购秒杀到商品;
...
(2)积累多种下单技巧细节,突破风控规则
黄牛党在下单时,除了更换IP、使用辅助秒杀工具提高下单成功率之外,卡0点破盾下单,分流抢购破盾(如切换成小程序下单)、大促期间下定金单破盾,必须使用流量下单、下单过程不可有截图动作、下单后假聊客服以及在手机数码产品代下中常见地利用“以旧换新”服务来破盾等。
此处以“以旧换新”破盾方式举例:
指的是加购商品并选择以旧换新服务,选择到店交易,使用银行卡付完款,再把到店订单取消,即可成功下单。
(3)使用多种地址变形或转寄绕过风控
电商黄牛代下具备“商品下单到指定地点”的商品流向特征,目前绝大部分的代下团伙仍采用代下直下到指定收货地址的下单形式,因转寄会增加做单成本而压缩利润空间,但同一地址出现频率过高会被平台识别风控。
当然目前也有部分黄牛代下会在物流途中,在支持免费修改收件信息的物流侧,以修改收货地址的方式来防止下单时平台风控。
在直下地址的前提下,黄牛黑灰产在地址维度也有对应的破盾方法:往往只需要确保商品送达指定区域,详细地址可随意灵活填写。
不同的电商平台对代下地址识别的策略和程度有所差异,目前黄牛黑灰产仍在使用“变形地址”的形式“撸货”。对于详细地址五花八门的后缀,如标记任意水果、颜色等,则更多是黄牛党用于区别附近代下同行,不利清算。
3.3 与平台商家、快递员等参与者勾结、互利双赢
(1)与商家、直播间达人合作刷单、套取平台补贴
黄牛群体除了与大货主建立上下游密切的合作关系,实际上与部分不良商家也存在合作关系。
威胁猎人在长期情报监测中发现,黄牛群组利用自身大量的真人代下人员及账号资源,与商家、直播间达人等勾结进行指定商品下单,基于商家的不同动机,可达到刷销量、好评的效果,甚至通过不实际发货、发等重空包联合套取电商平台大额的满减券和补贴。
在行为上,黄牛群组会高度关注电商平台大额满减券(如6000-800元、3000-500元等)领取活动,群组内会动员群组人员提前领券,为联合代下活动做准备。
勾结案例:
某平台800卷签收就基本可以结算不用报单
XXX【习酒窖藏1988珍品金镶玉酱香型白酒53度500ml*6瓶】搜索链接
6954-800=6154 返款+100好评再加+10
地址一江苏某地址(后面随便编)
江苏省淮安市清江浦区清江人家(后面随便编)这个方案签收当天就可以告诉我当天基本能返款
(2)与片区快递员勾结完成指定地点派送
黄牛代下产业链条中还有一个特别的参与者——片区的快递员,在前文地址破盾方式中,他们是起着关键作用的一环,负责最终将代下货物送到真实的货主地址处。
对于平台来说,通过代下人员填写的虚构地址判别地址是否真实存在,有客观难度,但恰恰是快递员的识别标记,片区快递员更多地集中派件提成或赚取黄牛的费用,一举两得。
四、结语
在各大平台赚取差价是黄牛党在互联网电商时代的财富密码,持续与之对抗也是平台风控不变的主体。
平台抵制黄牛的举措,往往是涉及多个参与主体的复杂风险场景,只有不断更新对黄牛代下黑灰产作恶的多方面的认知,才能更好地维护公平的电商生态。