业务风险并不是作为互联网、电商大国中国独有的问题，美国同行同样遭到众多专业黑产的侵袭。数量级虽不及中国之巨，却也足以对美国电商行业的发展造成重大危害。本文详细介绍了一些美国业界常见的黑产套利手法和细节，供国内从业人员参考。

数据显示，以购物券形式出现的赠品、折扣、减价券等欺诈性兑换每年给美国企业造成的损失高达3-5亿美元（≈19-32亿人民币）。哪里有钱赚，哪里就有网络犯罪绞尽脑汁利用漏洞薅钱。毫无疑问，同样的道理也适用于地下活动愈发活跃的购物券欺诈。

购物券欺诈对商业活动来说到底意味着什么？2012年，主要制造企业成为伪造购物券的受害者，其中一家消费品公司的损失达128万美元（≈832万人民币），而另一起策划了近十年之久的购物券诈骗案更是从商业公司中偷走了2.5亿美元（≈16.3亿人民币）。

真正的损失远不止咖啡无限续杯、免费乘车、住酒店或是其他一些小便宜。地下购物券黑产利益链能够撼动企业盈利，影响企业正常业务开展，进而严重威胁企业生命线。

购物券欺诈和商业活动的危害

地下购物券欺诈活动花样繁多，不过也有规律可寻——尤其是以商业活动为线索。

图1：典型购物券交易中地下网络黑产服务如何联结购物券欺诈一同威胁正常商业活动

图2：左侧：正常购物券交易流程；右侧：异常交易流程

购物券交易通常会涉及用户、零售商或购物券发行人、清算中心之间的数据交换，用以整理、审计各个票券。中继环节也常常被应用在整个流程中，如在线票券分销商或帮助零售商做推广的媒体服务供应商。

数据在各个链路和环节中被转手，攻破整个供应链只需要找到一个薄弱环节，而黑产手上正是掌握着专门做这样事情的工具：通过盗窃或破译票券算法的暴力破解方式，或利用验证过程中的漏洞。曾有这样一个案例：一名研究人员成功改写了星巴克网页应用中处理礼品卡的“竞态条件”，结果就是无限量的免费咖啡喝到饱。

地区性或市场明确的票券同样可能遭到攻击。某家论坛上曾经出现了电信运营商内部员工才可以享受的移动电话通话、短信、数据折扣码被公开出售。另一起事件中，酒店预订验证环节被攻破，酒店为客户公司雇员提供的折扣码被盗用。

这仅仅是冰山一角。许多地下黑产其实都是自动化攻击，伪造、滥用的票券可达产业级的规模。还需引起重视的是，黑产地下流通的票券折扣力度通常比真实供应商更大，价格可以低至官方折上折的3折甚至1折。

以下是一些我们总结的地下黑产模式：

1、暴力破解和漏洞利用

暴力破解票券的软件在黑市上公开售卖，甚至还有配套的使用教程被上传到社交网络上供人参考，指导人们如何破解一款搭车软件的促销码。购物券一般来说都是由商家采用了特殊加密算法生成的，而如果这种算法被暴力破解，商家对购物券的使用就会失去控制。理论上说，随机产生的代码很难被破解，但事实上网页应用中经常存在漏洞让黑产有了可乘之机。

图3：俄罗斯网站上出售的暴力破解软件

2、购物券服务

购物券，不管真假，还可以在多层黑产中转手倒卖赚钱，而且还是大宗倒卖。此外还有一些专门通过算法生成伪造购物票券的生成器，帮助黑产制造大量可用购物券。

图4：购物券生成器

3、钻“新用户”空子

我们还发现了大量“新用户”账号被批发贩卖。这些账号主要用于以新用户的身份领取网站或商家专门准备给新注册客户的各种福利。我们发现了一则帖子指导大家运用新注册的谷歌云平台账号来“挖矿”虚拟货币。

图5、6：暗网上贩卖亚马逊礼品卡号和带有余额的沃尔玛账号的广告

4、购物券交易联盟

黑产之间有时会出现通过购物券来支付的行为，这样可以逃过货币监控，也让许多交易变得更加匿名，甚至还有用伪造购物券兑换出的商品来以物易物的情形。还有一些黑产从业者会利用传销或联销渠道发展潜在的诈骗犯。

图7：一个美国航空快递消费券的交易论坛

图8：暗网上M.video网站（一家美国电商）上75折折扣券的出售广告，QIWI钱包以及储值消费卡的出售广告

教训

购物券的引入帮助商家吸引更多的客户，理论上也可以帮助商家追踪商品和服务的去向。新客户当然是好事，但是商家应该更审慎，尤其是那些专门薅羊毛、撸折扣的专业黑产。

今年三月，一家美国居家产品制造商发布了印有“不得翻倍”警告的条形码返点券，却没有设置兑换期限，招致了黑产的袭击，不断被人反复提现。

商家该如何防范呢？

采取有效的防护措施。限制购物券重复使用、传播以及有效期限。通过采用更复杂的编码、微型印刷、水印、授权认证等方式增加伪造成本，比如设置一次使用之后即失效的规则。主动采取行动，与分销商和司法部门积极合作，指定购物券使用的详细规则。作为非营机构的“购物券信息公司”就是为了帮助商家和制造商阻击黑产而建立的。但更重要的是：在网关、端、网络、服务器和其他公司运作、开展商业活动的架构上加强隐私和安全的防护。