活動最怕遇上羊毛黨，一旦被羊毛黨盯上，輕則遭受經(jīng)濟損失，重則商家、店鋪破產(chǎn)。那么為了避免遭受損失，我們又該如何避免被“薅羊毛”呢？本文將向大家分享了一份“方法論+案例”，幫助大家找出羊毛黨。

大到頭部平臺（如去年的拼多多和京東），小到電商平臺里的個體戶，為了引流，提高轉(zhuǎn)化率，許多平臺會選擇通過一些優(yōu)惠福利吸引用戶，然而，羊毛黨的存在，卻讓企業(yè)和商家面臨著巨大的威脅。

投入上百萬甚至上千萬的活動資金，結(jié)果卻被羊毛黨迅速薅光，比如去年的京東和拼多多，拼多多被羊毛黨薅取優(yōu)惠券，后來因為被薅取的優(yōu)惠券和正常優(yōu)惠券的總和突破了平臺預設閾值，系統(tǒng)監(jiān)控到異常并自動報警后被發(fā)現(xiàn)才修復了漏洞。

羊毛黨表面上看像是貪圖小利，但是其實羊毛圈已經(jīng)發(fā)展出一套專業(yè)的作戰(zhàn)模式。

本文將通過一個方法論和一個案例來解析如何查出究竟誰在薅羊毛。

一、如何找到羊毛黨？

1. 找到1：找到一個具有明顯特征的一個人或者一個設備

發(fā)現(xiàn)數(shù)據(jù)異常：異常的增高且無理由流量 ，這種肯定是有問題的。

工作人員觀察：無論是產(chǎn)品還是運營，相信大家平時都會觀察自己產(chǎn)品的數(shù)據(jù)。

人工舉報：比如內(nèi)容型的或者社交類型的產(chǎn)品，會有來自其他用戶的舉報。

2. 找到模式：分析找到的這個1的運作模式或者是所具備到特征

（1）明確其目的

刷量：

比如說刷渠道量，播放量、閱讀量這些關(guān)鍵指標，這種行為呢，他有一些特征：比如說他刷播放量，那就一直看視頻，很難產(chǎn)生一些其他的特征。

薅羊毛：

比如我們平臺有些返現(xiàn)的紅包，補貼，他的特征是有大量的新用戶，來到我們的平臺不干什么其他事兒，直接進到套現(xiàn)的流程，沒有任何后續(xù)的行為路徑。

spam：

垃圾廣告，我們的產(chǎn)品里面有哪些地方是可以發(fā)表內(nèi)容出來給別人看的。在這個關(guān)鍵的地方去看用戶的調(diào)用頻次或者是發(fā)表內(nèi)容的重復度，可以快速的找到一個他們做壞事兒的基本模式是什么樣的。

（2）觀察其特征

機刷：

比如說，有些是機刷，機刷不同于真人，就是模擬器或者是真機，但是是機器在操作這些真機。

像這種的有很多特征可以被暴露出來，比如設備信息、所處的地理位置、手機傳感器的數(shù)據(jù)（比如：擺在機架上的手機如果沒有去做模擬的話，手機是不會動的）。

另外也可以通過我們自己產(chǎn)品接口的調(diào)用次數(shù)去判斷，比如說，一個正常的用戶進來，先訪問的是首頁的接口，然后再去看一個寶貝的詳情頁，最后加入購物車，但是如果是機器的話，它可能是寫好的一套程序——從哪進來、幾秒鐘后干什么——基本都是這種復制粘貼的操作

人肉刷：

如果你平臺的羊毛比較多，在利益的驅(qū)使下，他們會在全國各地的群里去發(fā)動這樣的任務，人肉刷找出他們比較難，但是還是有一些特征的。

我們可以用前面講到的行為序列分析法去觀察——

人肉刷的話這些羊毛黨還是特忙的，他們不會在一個平臺上停留太多時間，他們在發(fā)布任務時，比如說：第一步首頁，第二步某商品詳情頁，第三步直接購買，第四步購買成功。

這種行為序列是高度一致的，所以，我們可以通過前面講過的行為序列分析法去觀察。

（3）觀察不同維度的特征

多：

有些東西明顯變多，比如說做直播的時候 ，有些用戶會去薅新用戶的羊毛——像一些平臺，注冊的新用戶會有獎勵紅包，一般我們會限制紅包的使用途徑，比方說，如果是直播類的產(chǎn)品只能去買東西或者打賞主播，不能直接提現(xiàn)。

但有一種情況，羊毛黨讓自己的一個同伙去直播，其他的同伙去打賞，把所有的新用戶的紅包打賞給這個同伙主播，然后再變現(xiàn)。

但這一點還是可以發(fā)現(xiàn)的——一個新主播突然多了成千上萬個新用戶關(guān)注、打賞，而且都是用紅包打賞的，這種行為明顯是異常的。

少：

比如有些人他就是來薅羊毛的， 薅了就跑，但他們都是通過某一個特定的渠道，或某一些特定的屬性的，比如我們會發(fā)現(xiàn)這個渠道或這個屬性的用戶，留存特別的低，或者是說一些非核心業(yè)務他們從來不訪問，有時候我們找到一個可疑群體之后，拿不準的時候，這也是一個很好的方法。

比如說像幫助頁面，正常情況下不怎么會用到它，但是從概率上來說，我們劃分一個群體總有一些人會使用到。

但是如果我們找到了一個群體，他們只使用核心業(yè)務流程，所有的非核心業(yè)務（比如幫助頁面）他們都不使用，這個時候多半是驗證了我們的猜想，這是一個有問題的群體。

3. 找到N：通過這個模式和特征，找到更多用戶

研發(fā)童鞋爬取并人工審核：讓研發(fā)的同事根據(jù)前面我們發(fā)現(xiàn)的規(guī)則去匹配出來，然后人工進行最終的審核。

4. 一網(wǎng)打盡：把這些用戶提取出來

封：

封禁賬號或封禁這個賬號的權(quán)限（不讓他提現(xiàn)，不讓買東西，不讓其發(fā)表內(nèi)容），或者是發(fā)出來的內(nèi)容屏蔽掉。

或者是定向屏蔽，定向屏蔽他看不出來他被屏蔽了（這樣不會把他逼急了去看其他的事情，這是一個比較有智慧的手段）。

這里說一個小故事：

年三十那天晚上，我發(fā)了一個有關(guān)新冠肺炎的朋友圈，就被微信官方定向屏蔽了，我自己能看到這條朋友圈，用家人的手機看不到，哈哈…不得不說這是一個非常智慧的手段。

提高關(guān)鍵成本：

把刷的成本變高，比如：

事前：注冊7日后方可發(fā)帖。

事中：減少存在bug的商品的庫存。

后期：已經(jīng)薅了，所有的利益都有一個出口，我們可以提高提現(xiàn)的審核力度和周期，也提高他的成本 。

不做處理：

有些時候有一些垃圾量可以做處理，但是為了做這個處理，而投入的成本還比不上把他們端掉之后帶來的好處，可以不做處理。

二、案例解析：如何查出誰在薅羊毛？

還記得以前摩拜和ofo的紅包大戰(zhàn)嗎？

為了獲取更多的用戶，ofo也是想盡辦法——在ofo小黃車的客戶端，顯示車輛的分布地圖上也出現(xiàn)了大量的紅包圖標，還附帶“紅包策略”——只要用戶在指定區(qū)域解鎖汽車，就能隨機獲得現(xiàn)金紅包。

要求很簡單，只要滿足“騎行10分鐘，距離達到500米以上”即可，而且隨時提現(xiàn)。如果將車放入指定位置，那么紅包的面值將會極大提高。

而這一次單車“江湖”掀起的“腥風血雨”，又給了不少“羊毛黨”一次有機可乘的機會，因ofo自身存在的平臺漏洞，最終導致連日虧損上千萬。

下面我們通過上面的方法論，來查出誰在薅羊毛：

1. 找到1

點擊分布分析，時間選擇2018年10月10日到10月31日，選擇任意事件的次數(shù)，查看用戶一天內(nèi)進行任意事件的次數(shù)，選擇一天內(nèi)進行任意事件50次以上的數(shù)據(jù)，點擊查看用戶列表。

任意選擇一個用戶，查看其行為序列，發(fā)現(xiàn)此用戶在5分鐘內(nèi)共解鎖和鎖定活動單車14次，而且每次解鎖和鎖定活動單車的間隔時間沒有超過1分鐘。

根據(jù)活動，騎出地鐵站500米范圍后，鎖定活動車輛才算完成任務，但是1分鐘內(nèi)從解鎖單車到騎行500米再鎖定單車根本不現(xiàn)產(chǎn)，但是此用戶做到了，還領(lǐng)了紅包，所以，通過以上可以分析出此戶為異常用戶。

2. 找到模式

展開行業(yè)序列可以看出，用戶從解鎖單車到鎖定單車只用了15秒，而經(jīng)緯度卻發(fā)生了很大的變化 。

由下面4張圖可以看出，不但用戶的id還相似，并且解鎖和鎖定活動單車的時間和次數(shù)也基本一樣，所以，可以還判斷此類用戶是用了模擬器，同時登錄很多賬號刷紅包獎勵的。

3. 找到N

通過分布分析，查看一天內(nèi)進行解鎖活動單車次數(shù)為50次以上的用戶，查看用戶列表，發(fā)現(xiàn)用戶distinct_id都是309開頭的6位數(shù)，隨機抽取幾個用戶發(fā)現(xiàn)他們每次解鎖和鎖定活動單車的間隔時間沒有超過1分鐘，且發(fā)現(xiàn)這些用戶在5分鐘內(nèi)共解鎖和鎖定活動單車在14次左右，所以，判斷其是“團伙作戰(zhàn)”。

再抽查一天內(nèi)解鎖活動單車次數(shù)為20-30次的用戶，發(fā)現(xiàn)除了309開頭的6位數(shù)distinct_id的用戶，還有部分4開頭的istinct_id為6位數(shù)的用戶，查看用戶詳情發(fā)現(xiàn)此類用戶的作弊手段與309開頭的用戶不一樣。

309開頭的用戶作弊地鐵站基本都在一個地鐵站，而此類用戶作弊地鐵站跨度很大，如下圖，通過高德地圖查出，鼓樓大街地鐵站距宣武門地鐵站間距7站，乘坐地鐵需要19分鐘（圖三），騎行 需要36分鐘（圖二）而此用戶在這兩站解鎖單車的時間只相隔10分鐘。

4. 一網(wǎng)打盡

篩選出至少符合下面任意一個條件的用戶：

1. 在5分鐘內(nèi)完成兩次及以上騎行任務且領(lǐng)到紅包的用戶，
2. 一個id同時解鎖兩個單車的用戶，
3. 10分鐘內(nèi)完成兩次騎行任務領(lǐng)領(lǐng)到紅包的用戶且兩次騎行任務是在不同的地鐵站完成。

首先創(chuàng)建漏斗分析，漏斗步驟為：

• 第一步，解鎖活動單車
• 第二步，鎖定活動單車
• 第三步：解鎖活動單車
• 第四步，鎖定活動單車

漏斗窗口期為5分鐘，篩選出符合這個條件的用戶，并導出。

由下圖可知，滿足此條件的用戶的匿名id都是極度相似，有745個，id從309245至310000.因此，可以判斷出這批用戶為羊毛黨。

由以上分析可知，對于團隊用戶，基本都是一個人對應多部手機以及幾十個賬號，賬號極度相似，所以可以判定此類id并非我平臺真正的用戶，所以封號即可，封號的范圍為id從309245至310000，共745個id。

三、如何應對羊毛黨

1. 預防羊毛黨

1. 設置利益獲取上限：比如像上面的某單車的紅包活動，需要考慮到一個正常的用戶最多能夠完成的量，并設置上限。
2. 提高參與門檻：像上面的紅包車活動，設置活動門檻，比如注冊時間滿7天才能參與此次活動，而不是所有用戶都能參與。
3. 設置防范風險提示：制定規(guī)則，比如在活動期間如果有人惡意刷單違規(guī)操作，平臺有權(quán)取消其參與的資格或者相應的獎勵。
4. 避免直接利益：一般情況下，紅包可直接提現(xiàn)，是羊毛黨的最愛，可以用購物優(yōu)惠券或者會員卡抵用券的形式，這種情況下，羊包黨的即得利益就會少一些，興趣也會小很多。
5. 加強風控機制：活動時，首先要考慮到如果有羊毛黨的大批量涌入服務器的承載力，為服務器擴容。其次，加強黑客防范技術(shù)，避免平臺有漏洞被黑客攻擊。

2. 發(fā)現(xiàn)羊毛黨

1. 跟蹤數(shù)據(jù)：關(guān)注數(shù)據(jù)是每一個產(chǎn)品汪或者運營喵的日常工作，特別是在活動期間，我們要密切的跟蹤數(shù)據(jù)，這樣能第一時間發(fā)現(xiàn)數(shù)據(jù)異常。
2. 關(guān)注網(wǎng)絡輿論：在平臺的活動規(guī)則被羊毛黨關(guān)注時，通常在網(wǎng)絡上會有一些相關(guān)的消息，比如百度上、薅羊毛群里。

好啦，以上就是關(guān)于如何查出誰在薅羊毛的分享，希望能給大家提供一些思路和靈感，歡迎交流。

本文作者：菜菜，公眾號：菜菜嘮產(chǎn)品（caicailaochanpin)，歡迎關(guān)注~

本文由 @菜菜 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來自Unsplash，基于CC0協(xié)議。