今天被撸羊毛党狠狠上了一课

公司 app 做了一个门槛比较低的活动，大概就是用户注册后能在某个页面领兑换码兑换王者荣耀皮肤。拿到这个需求也太萌新了，就加了一个每个用户只能领一次的验证，然后就兴致冲冲上线了。

果不其然，凌晨两点运营收到库存告罄的短信。才发现被脚本批量注册，然后刷兑换码。app 注册方式有：手机号，QQ,微信，我们发现脚本用的都是真实的手机号、QQ 和微信注册，并且 ip 是随机的，设备号也不一样。感觉从注册入手没有办法，于是我们就想到了在获取兑换码的页面加一个验证码来防机器，然后我们就注册了《极验》，花了一个小时调试好把《极验》验证码上了上去，信心满满的让运营加库存。

果不其然，一个小时后撸羊毛脚本又正常运行了，库存再次告罄。然后在网上一查发现“滑块验证码”早就被破解了，就去找《极验》的销售，销售建议用付费版。但是我们这种小成本的运营活动花这么多钱买付费版肯定不划算，无计可施，运营只能把这个活动下掉。

V 社有没有同样踩到这种坑的同学，有什么好办法么？

Leigg

2019-03-23 09:46:17 +08:00

1. 注册账号用手机，且需要短信验证码，入库时将兑换码和手机号绑定
2. 兑换时对输入的兑换码和手机号做匹配验证+手机短信验证。
到这一步已经能筛掉 90%的羊毛党。（啥？你说他去找大量手机来搞，可以，但是有这资源和技术还会来刷你的皮肤么。）

abcbuzhiming

2019-03-23 09:53:38 +08:00

@burgleaf 这是目前物联网的漏洞，虽然一般的手机号码是实名的，但是实际上，有一个地方能找到大量的，不实名的手机卡，就是之前戴起来的共享单车，那里其实是有大量的，不实名但是可以用的卡的，这类卡可以收发短信，薅羊毛公司用一种叫猫池的东西批量管理这类卡，所以如果要验证，一个办法就是，页面告诉用户，要求用户主动的，向一个号码（该号码还必须是随机的）发送验证码（目前腾讯等大公司就是用的这个方法）。因为现在猫池控制系统似乎还没发展出能识别上行验证码然后主动发送的能力（但是我觉得这是暂时的，很可能以后真的只能靠让用户主动向特定号码拨号然后念随机语句来判断是否是真人了，毕竟音纹造假目前还没有什么进展）。

winglight2016

2019-03-23 12:16:29 +08:00

我们发现脚本用的都是真实的手机号、QQ 和微信注册，并且 ip 是随机的，设备号也不一样。

——既然如此，你们又是怎么判断一定是自动刷的呢？就不能是很多羊毛党手动刷吗？手动刷其实不能算违规了，毕竟你的活动规则也没说，羊毛党禁止参加，或者定义什么是羊毛党吧？

iblessyou

2019-03-23 13:09:25 +08:00

@winglight2016 我也感觉，王者荣耀没玩，但是以前的 LOL 没现在这么好获得皮肤的时候，
如果说哪个软件有这种活动，随便论坛贴吧转发下，估计服务器都能给他撑爆了

m939594960

2019-03-23 15:17:11 +08:00

当初在某即将暴雷的 P2P 工作时，公司弄了个很猛的活动，邀请注册就送 5 元微信红包，实名认证之后给 10 元微信红包。

实名认证需要 4 要素，身份证 + 同名电话 + 同名电话短信验证码 + 姓名，还需要绑定一个同名的银行卡。一切操作都是在微信授权之后进行的，一个 openid 只能领取一次。
就这样还被薅的怀疑人生。。。一夜之间，红包的账户已经没钱了，两台跑队列的机器都满载。。然后还是有一堆实名认证的请求没处理。。。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/547526

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.