上篇我们回顾了中国电子商务二十年之争，从互联网荒漠到已连续8年稳居全球第一大网络零售市场。而在本篇，我们将从另一角度去审视我国电商二十年，黑灰产的演化与壮大。

中国互联网经济研究院将我国电子商务二十年划分为三个时期：

培育期：1999-2005年

创新期：2005-2015年

引领期：2015年之后

按照这条时间线，会发现寄生于产业之中黑灰产，同样会根据当时的技术条件而展现出特定的形态与影响，又会随着新技术的出现而迅速做出改变。

2021年，互联网黑灰产将给全球造成高达6万亿美元的损失。而隐匿在电商产业背后的黑灰产，则潜伏在暗处，随时送上致命一击。

一、黑灰产萌芽期

1.1 野蛮生长，假货横行

在我国电子商务起步阶段，为了鼓励商家将生意转移至线上，平台往往一路开绿灯，毕竟那个时候的竞争，就是比谁家货多，谁家客源多。正式这样粗放式的流量竞争，给了黑灰产机会。

2001年9月，上海虹口法院受理了一起「互联网购物假货」的电子商务官司。消费者杨小姐在使用其在易趣网购买的化妆品后，出现不适反应。经过检验，方得知自己通过互联网购买的这盒化妆品是假货。随机，消费者将易趣网络信息服务（上海）有限公司告上了法院。

《2006年电子商务诚信调查报告》指出，56.4%的消费者曾遇到在线购物信息不真实的问题，并有超过7成的消费者对电商平台的真实性与合法性产生过怀疑。而在消协受理的总投诉案例中，电商相关的投诉排在所有行业的第二位。

在电商培育期，黑灰产主要的表现，仍以出售假冒、劣质产品为主，无非阵地转移到了线上电商平台。

二、黑灰产高速发展期

2.1 刷单炒信，劣币逐良币

随着我国电商行业进入创新期，各大电商平台入驻商家也随之增多，竞争愈发激烈。以淘宝为例，2005年，淘宝蚕食了eBay易趣近六成的市场份额，以72.2%占据绝对优势。而在十年间，淘宝开店商家数量，更是从2005年的不足百万，暴增至2015年九百多万的规模。而一个残酷的现实是，只有10%的商家才能赚到钱。

大家都想成为这10%，然而不是所有店铺和商品都能被消费者看见。竞争是残酷的，如果不能很快从众多店铺中脱颖而出，结局就只有关店大吉。那么，该如何破局呢？

根据各个平台不同的规则，店铺推荐展现的情况各不相同。但有几个共通的基础指标：成交量、店铺信誉、评价，而这些便给了黑灰产发挥的空间。游戏规则一旦被打破，刷单炒信便成为商家突围的捷径，黑灰产发家致富之道。

还是以淘宝为例，店铺升级到皇冠是以信用积分的数量来衡量的：「好评」加一分，「中评」不加分，「差评」扣一分，4～10分升级为一颗心，250分升级为一颗蓝钻，500001分（也就是50W+1个好评）能到一个金皇冠。

正常情况下，从一个新开的网店到皇冠店，最快也需要一年半到两年的成长时间。而现实情况是，大多数网店撑不到半年时间。但是有黑灰产刷单炒信问题就简单很多，巅峰时期，只需花费一千元，三天时间黑灰产就能整出个钻石网店。

黑灰产刷单流程

而随着平台发展，以及监管力度的加强，刷单炒信从初期的商家互助配合机器刷单模式，发展到人工刷单，并带动底层刷手、空包快递等下游产业链。

店铺互刷+机器刷单

这种模式，适用于规模不大，刚起步的网店。反正闲着也是闲着，与其花钱找外包，不如大家互帮互助。一般由商家自发组织，规模在500-2000人不等的刷单群，大多通过QQ群发布信息，再通过语音聊天软件，进行分工操作与实时交流。

一般除群主外，还会增设若干群管理员，统一管理与发布大家的刷单需求，同时负责招募兼职的「刷手」。而作为群主，则会象征性的收取几元不等的抽成，个别规模大的互刷群，还会收取几十上百元不等的「会员费」，作为运营互助群的收益。相较外包，缺点也很明显，由于是互助模式，所以效率要低一些。这时，机器刷单就可以成为很好的补充与支撑。

全自动刷单软件，就是将店铺信息、产品、及相关信息填写到软件中，脚本模拟买家完成购物。短时间内即可完成，进店——拍下——付款——发货——收货整套购物流程。由于简单粗暴，所以在当时，经常会看到某某店铺双十一销售次数26，销售额却达到1088万，其中用户「周**雷」多次消费，仅此一人就给该店铺带来了近800万的销售额；某家纺店铺，多个异常买家一次性购买500条6000元的被子......

人工刷单

相较于机器，人工刷单更趋近于普通消费者的消费行为。刷手会浏览网店商品，也会与小二聊天，总之就是模拟真实买家行为，从而避开平台对于刷单炒信的监测。人工刷单对于大量真实账号的需求，以及上下游资源的整合，不论从门槛，还是价格上来说，都要高出很多。根据账号等级、产品定价以及代理等级等要求，市场价格在12-30元/单浮动。

高效的众包模式下，刷单黑灰产各有分工：

刷单招募：

代理招募

刷单行业的另一个获利方式是招募代理，商家在平台发布任务，刷手在线抢单，单人代理费150元到300元不等，平台仅代理费就获益百万。

刷手招募

对于刷手的招募主要集中在相关电商运营网站、网赚论坛和社群中。 

底层刷手：

刷手分为全职刷手和兼职玩家，其中主力军还是兼职刷手。这些分布在各个网赚平台和刷单群的人，通过闲暇时间完成刷单赚取佣金。

空包快递：

在刷单的最后环节，刷单店铺大多选择空包物流，价格在0.6~3元不等。这些空包快递的单号和其他真实交易订单中的物流信息无差别，有些是实发的包裹里面没有任何物品，还有一些只是快递公司数据库中的一条数据。

根据艾瑞网数据，在2016年仅淘宝单个平台，刷单产业规模已经突破6000亿。

2.2 羊毛党过境，寸草不生

2013年-2015年期间，随着移动互联网普及，电商开始延伸至本地服务，O2O兴起。新一轮的流量大战一触即发，「百团大战」，「出行补贴大战」下，微信红包、支付宝红包、巨额补贴、优惠券、免单等各类促销应接不暇。

为了数据好看，部分企业找到了个人站长、地推负责人以及网赚平台，双方结成利益联盟。平台通过让利补贴的方式交换市场份额，而作为「合作伙伴」，早期的羊毛党还兼顾着帮助平台达成数据指标，提升活跃度以及曝光量的任务。

「羊毛党」先驱们生意越做越大，这群幕后玩家开始建站做平台，从工作室做到万亿身家。等到补贴大战结束，企业所面对的，已然是背靠成熟互联网黑灰产业链，规模庞大，财力雄厚的职业化羊毛党。

更为可怕的是，「羊毛党」队伍里逐渐分离出两个旁支，一群更加贪婪的势力开始活跃，并逐渐走向职业化。至此，中国电商圈最可怕的三股-势力就此登上历史舞台。

职业羊毛党

根据京东金融《数字金融反欺诈白皮书》相关数据，作为营销欺诈代表，目前，羊毛党已形成15余工种、160余万从业人员、规模不低于1000亿元人民币的产业链。

卡商号商

一般情况下，平台针对优惠券、秒杀商品都会有风控限制，一个账号只能领取一张或者限购一件。想要批量的薅取资源，就需要大量的账号。作为黑灰产的核心资源市场，卡商号商生意异常红火，并且交易流程化、规范化。

- 账号类型齐全

在黑产市场上，有专门做各大电商平台账号买卖的平台。账号买卖平台众多，账号类型极其丰富。购物类账号几乎涵盖了各种类型的电商平台，应有尽有。

- 账号买卖等级分类，价格体系完善

账号买卖平台提供的账号分门别类，不同等级的账号价格不同，用途也不尽相同。比如淘宝的账号：包括实名和未实名，实名账号按照其等级价格逐渐增加，未实名的白号主要用于发布广告，价格相对便宜。实名账号中等级越高价格也越贵，比如实名 1 钻账号可以卖到 50～90 元一个。京东账号则按照京享值或者账号等级来计算价格，其中钻石账号最贵，可以卖到 15～30 元一个。其他的电商平台账号的等级分类并不多，主要是新号和老号。

还有一些年份久远或者淘气值高的淘宝账号卖价会更高（不同的平台卖价会有偏差）：

BAAS 服务

SAAS 服务即按需为用户提供软件服务，同样在黑灰产业中，也形成了非常专业的 BAAS服务（ Black production-as-a-Service）。目前黑产的软件市场主要包括三大类型的软件：提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。

在该领域内存在很多的技术服务公司，他们有专业的销售、研发工程师和售后工程师。黑产近两年软件服务方面的变化主要包括以下两个方面：

自动化软件不断集成新的功能，形成具有规模的一体化软件服务

早期的黑产软件是一些黑客或者技术从业人员根据自身需求研发的，比如注册账号需要批量注册机，抢优惠券就编写个自动抢券插件，抢购商品就研发一个抢购软件。随着各大平台的风控手段越来越多，包括增加验证码、设置风控规则、利用技术检测风险账号等，使得简单的自动化脚本很容易被识别进而封号。

因此，现如今的黑产软件服务提供方一般都会提供一整套的服务。比如一款抢购软件，会集成账号供给、自动打码、秒换IP、自动支付等多项功能。

例如：某下单软件研究

简介：专门做一元购项目

功能：软件是脚本全程自动化运行，无需人工，一台电脑挂机即可。主要包括：自动换号登录、查找商品、识别验证码、更换 IP、下单、支付。

软件价格：包含电脑的价格 3980 元；无需电脑只有软件 2980 元（提供远程安装和售后服务，并赠送 200 个小号）

软件完成下单支付后会生成一个数据记录，从这份数据记录中可以发现，该软件的下单完成率较高，仅有几单显示无效-违规订单。

该软件的销售人员介绍，这是他们公司的主打产品，销量非常好。一般一个京东白号可以做 3-7 单，一天下来可以实现 250-400 单，每单的利润在 5-10 之间，也可能会更多，一天1000 的营收不成问题。他们不仅提供软件服务，也提供账号，白账号 4 毛钱一个。

黑灰产市场上专业的技术服务不断集成和软件各项功能的不断完善，一方面使得黑产的准入门槛不断降低，完全不懂技术的人群也能很快参与其中；另一方面，技术的复杂化使得黑产市场的分工更加细致，懂技术的一部分人可以规避触碰法律红线的风险，将这些风险转嫁到更多人的身上。

移动平台占据主流，改机软件成为黑产必备神器

现在各大平台的主要战场是移动端，近两年移动端的作弊成了黑产技术突破的重要阵地，因此改机工具在黑灰产市场成了炙手可热的神器。

改机工具是指能够在安卓或者 iOS 设备上运行的 APP，能够修改包括 Android_Id、IMEI、手机序列号、WIFI-MAC、WIFI-Name、安卓系统版本、ROS 固件、手机号码、手机型号、手机品牌、CPU 型号、手机制造商、GPS 定位、通话记录模拟、手机短信模拟等各类手机系统信息的修改功能。通过不断刷新伪造设备指纹，让一台手机在信息上呈现多台设备的信息，极大的降低黑产的硬件成本。

一款改机软件的功能列表

在我们发现的异常用户中，最常见的改机神器包括 Xposed 、 supersu 和 Magisk 。Xposed 在圈内家喻户晓，很多改机APP（应用变量、深海等）都要在 Xposed 框架下才能安装使用。

Xposed 框架是一款可以在不修改 APK 的情况下影响程序运行(修改系统)的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。在这个框架下，手机可以加载很多插件 App，这些插件 App 可以直接或间接劫持、篡改、伪造一些信息。有了 Xposed 后，理论上插件 APP 可以 hook 到系统任意一个Java 进程 zygote。但是随着安卓系统的更新，Android 8.0 以上的 Xposed 官方版本没有再更新，于是 magisk 成为了后起之秀，在改机神器中脱颖而出。

Magisk 和 Xposed 都是改机平台，具体改机功能需要单独模块实现。由于开放性，这两个平台模块生态丰富，被黑产用来非法牟利。除了上述我们提到的对手机各种信息的修改，还有可以实现微信自动抢红包、撤回信息、远程打卡、修改 UI 设计。 

安卓手机由于其系统更加开放而受到羊毛党们的青睐：

由于改机工具的存在，这些环境信息基本上都可以更改，变得不再可信。在我们的分析中，还发现有的甚至将安卓品牌的手机系统信息改为 iOS 。

要通过伪造设备信息，使得在一台手机上呈现多台手机信息，黑灰产大概率篡改的信息前十： 

在我们检测到的异常流量中，显示的手机品牌厂商的分布如下：

总的来说用于作弊的设备大部分是主流安卓手机品牌，并且是中低端机型。黑灰产批量修改安卓信息的时候，会有一个信息库，根据安卓系统、手机型号、手机品牌、cpu 等信息随机匹配出一个看起来正常的手机信息。如果一些很老的手机型号，系统版本却很新，就不符合逻辑；还有像 cpu 信息和手机品牌不匹配也很容易被发现。

改机工具的存在主要是伪造设备信息，降低硬件成本。目前已经有手段可以应对设备信息造假，通过数据分析，结合环境指纹和行为信息，即使黑产全部数据都是伪造的，也同样可以识别。

职业差评师

作为早期羊毛党中的分支，职业差评师兴起于2012年，并于2014年达到规模峰值。根据阿里安全专家介绍，在峰值时期，职业差评师新增ID（身份认定）数曾接近4万/周，被相关数据模型命中并认定为职业差评师的ID历史累计接近500万。

让利、差评、打假本来是平台给消费者的权益保障。而当游戏规则被打破，便成为黑灰产手中利器，通过要挟和勒索商家，快速聚拢财富。

发展初期，职业差评师主要以单个差评进行攻击，由于量级较低，震慑性不足，直接影响成功率以及收益。发展到后来，职业差评师升级为团队作战，通过QQ群等工具，统一调度数千个ID，对目标店铺进行恶意下单并给出差评，商家苦心经营的店铺，可能一夜之间就化为乌有。而这数千个ID背后，很有可能只是一个个虚假账号，甚至是一台机器和一串代码，无从溯源。

职业差评师画像

- 关于账号，由于经常给予差评的号，其评价权重也有所降低，所以差评师旺旺号的买家信誉不会很高的，当然也不会是白号；

- 关于网店选择，一般选择钻级商家下手，通常挑选2钻至4钻或旺铺版2钻以下信誉的商家，特别是1钻以下旺铺版的商家是他们的主要对象。另外，店铺和宝贝没有中差评，或者中差评很少的商家也会被盯上，就是抓住商家重视，会比较容易花钱妥协；

- 关于商品选择，往往价格不高、容易破损类，一方面降低自身投入风险，另一方面增加破损投诉几率。另外，挑选对象的地域选择上，职业差评师一般会选择邮费比较高的地方进行购买，并会备注指定物流快递；

- 关于收货沟通，一般收货之后不会在旺旺上面留下任何的证据，尽量挑东西的毛病，也就是聊天时一个劲的说东西不好，如果打电话就可以暗示要商家花钱消灾。

针对日益猖獗的职业差评师群体，商家再次走到一起，只是这次联手项目比刷单棘手得多，大家尝试通过互助平台的模式应对职业差评师的攻击。例如，百度贴吧的「淘宝差评师曝光台吧」就曾曝出，淘宝差评师曝光台的相关网站，除常规的淘宝昵称、好评率这些信息外，连同真实姓名、联系方式和详细家庭住址一起都将被公开。由于涉及到隐私问题，争议不断，后来也就不了了之。 

职业打假人

中国职业打假人最早出现在1995年，22岁的王海在北京各商场购假索赔，50天时间获赔偿金8000元。2011年，王海以一篇名为《耐克减配版篮球鞋忽悠中国大陆消费者》的博客文章，起诉耐克中国，并促成耐克最终赔偿致歉，一战成名，由此职业打假人进入网民视野。

很快，职业打假人开始出现在电商圈，只是逐渐变了味，行径从「打假」变成「敲诈」。

据《法制日报》报道，在QQ上「职业打假群」就有3000多个，规模从几百到上千，大量职业打假人便在其中。而在群共享文件中，随处可见职业打假的相关「学习资料」，包括：《消费者权益保护法》、《新广告法》、《饿x么赔付思路》、《反不正当竞争法》、《10倍赔偿法》等法律条文、打假思路、举报话术、差评文本、法律条文、撤诉样本、民事起诉书等，应有尽有。

除群里的免费基础教程，还有专人负责以老带新，学费从尝鲜价30元到全套课程499元不等，并保证包教包会，当天回本。

为了增加理赔胜诉的筹码，这群人甚至会购买索赔的相关资料，包括：定制假货鉴定书、质检报告、快递内网信息、代发空包、快递底单、快递证明、医院证明、法院起诉书、公安报案回执、公安销假证明、品牌授权书等各种红章证明。价格10元一张，加急则额外收取8元服务费。

面对职业打假人，商家办法依然不多，跟应对职业差评师一样，商家联合起来，成立了类似「反恶联盟」、「掌柜查查」这样的平台。

据调查，目前我国职业打假人已经超过了70多万，商家这样漫无目的的防御，虽是杯水车薪，但也别无他法。

三、黑灰产引领期

根据商务部消息，我国已连续8年成为全球第一大网络零售市场。从跟跑到超越，中国电商走过了二十年。与此同时，我国也「孵化出」全球规模最大的黑灰产业链。

自2016年开始，随着4G以及即将大规模普及的5G的发展，使短视频类型载体形式可以更好切入用户生活，并且形成新的社交渠道。一种以红人，KOL群体为主，通过视频等形式推荐卖货并最终成交的新型电商模式开始兴起，电商直播开始发力。

头部流量平台和交易平台持续向直播倾斜资源，直播带货几乎成为各大平台的标配。与此同时，黑灰产开始渗透至直播电商产业。

3.1 直播数据造假

2020年11月，中消协发布「双11」消费维-权舆情分析报告，直指直播数据注水、刷单等行为。

抽样抓取全网3000万下单商品模型计算后，得出了96%直播商品购买率仅有10%，全网仅有2%商品购买率超过50%。而在某直播平台，商品购买率甚至超出130%，商品上架后5分钟不到，其实际订单数已远超在线观看人数。

资本的推动下，电商平台7天乃至二周一个爆款的节奏，已经满足不了市场的需求。3天甚至更短的时间，打造一个网红款销售神话。于是上有企业KPI，下有水军刷单拍，前脚验收拿到合同款，后脚批量退单闪。

根据腾讯网安团队的数据，截止至2019年7月，各类刷量平台在我国已超过1000家。其中，刷量产业链的相关人员，规模累计达到900多万。刷量就像慢性毒品，在很短的时间内，能够让企业获得极大的满足。但是，效果却很短暂，需要持续性的追加资本，直至成瘾。只是，这一切都是虚无，当烧光企业最后一笔费用后，剩下的只有一堆泡沫。

结语

流量的争夺，市场份额的抢占，上至平台，下至中大型企业以及后来者（创新，新型中小商家），疯狂做活动，百亿补贴、红包礼券、1元秒杀、0元免单、内部特价、自购返利等赚人眼球的背后，都是企业真金白银的营销支出。而一旦遭遇职业羊毛党，这项投入将是绝望的无底洞。

当然，平台也好，商家也罢，大家不可能永远做冤大头，面对黑灰产，企业一直都在尝试对抗。特别在2015 年之后，明显可以感受到，电商平台越来越重视自身的风控建设，而商家也逐渐与黑灰产的斗争中成长起来。

未来的风控面临巨大的挑战，一方面，黑产人肉众包的模式将加大风控的难度，另一方面，国家对隐私监管的范围不断收紧，保护用户隐私的同时，也让黑灰产更容易伪装与藏匿。所以，风控必须跳出传统的技术分析，而向多维度、关联数据分析转变，从用户业务行为出发结合多维度数据（设备、IP、账号关联、团伙数据等），发现黑灰产将变得越来越重要，而对抗仍将继续。