數據顯示，以購物券形式出現的贈品、折扣、減價券等欺詐性兌換每年給美國企業造成的損失高達3-5億美元（≈19-32億人民幣）。哪里有錢賺，哪里就有網絡犯罪絞盡腦汁利用漏洞薅錢。毫無疑問，同樣的道理也適用于地下活動愈發活躍的購物券欺詐。

購物券欺詐對商業活動來說到底意味著什么？2012年，主要制造企業成為偽造購物券的受害者，其中一家消費品公司的損失達128萬美元（≈832萬人民幣），而另一起策劃了近十年之久的購物券詐騙案更是從商業公司中偷走了2.5億美元（≈16.3億人民幣）。

真正的損失遠不止咖啡無限續杯、免費乘車、住酒店或是其他一些小便宜。地下購物券黑產利益鏈能夠撼動企業盈利，影響企業正常業務開展，進而嚴重威脅企業生命線。

購物券欺詐和商業活動的危害

地下購物券欺詐活動花樣繁多，不過也有規律可尋——尤其是以商業活動為線索。

　　典型購物券交易中地下網絡黑產服務如何聯結購物券欺詐一同威脅正常商業活動

　　左側：正常購物券交易流程；右側：異常交易流程

購物券交易通常會涉及用戶、零售商或購物券發行人、清算中心之間的數據交換，用以整理、審計各個票券。中繼環節也常常被應用在整個流程中，如在線票券分銷商或幫助零售商做推廣的媒體服務供應商。

數據在各個鏈路和環節中被轉手，攻破整個供應鏈只需要找到一個薄弱環節，而黑產手上正是掌握著專門做這樣事情的工具：通過盜竊或破譯票券算法的暴力破解方式，或利用驗證過程中的漏洞。曾有這樣一個案例：一名研究人員成功改寫了星巴克網頁應用中處理禮品卡的“競態條件”，結果就是無限量的免費咖啡喝到飽。

地區性或市場明確的票券同樣可能遭到攻擊。某家論壇上曾經出現了電信運營商內部員工才可以享受的移動電話通話、短信、數據折扣碼被公開出售。另一起事件中，酒店預訂驗證環節被攻破，酒店為客戶公司雇員提供的折扣碼被盜用。

這僅僅是冰山一角。許多地下黑產其實都是自動化攻擊，偽造、濫用的票券可達產業級的規模。還需引起重視的是，黑產地下流通的票券折扣力度通常比真實供應商更大，價格可以低至官方折上折的3折甚至1折。

以下是一些我們總結的地下黑產模式：

1、暴力破解和漏洞利用

暴力破解票券的軟件在黑市上公開售賣，甚至還有配套的使用教程被上傳到社交網絡上供人參考，指導人們如何破解一款搭車軟件的促銷碼。購物券一般來說都是由商家采用了特殊加密算法生成的，而如果這種算法被暴力破解，商家對購物券的使用就會失去控制。理論上說，隨機產生的代碼很難被破解，但事實上網頁應用中經常存在漏洞讓黑產有了可乘之機。

　　俄羅斯網站上出售的暴力破解軟件

2、購物券服務

購物券，不管真假，還可以在多層黑產中轉手倒賣賺錢，而且還是大宗倒賣。此外還有一些專門通過算法生成偽造購物票券的生成器，幫助黑產制造大量可用購物券。

　　購物券生成器

3、鉆“新用戶”空子

我們還發現了大量“新用戶”賬號被批發販賣。這些賬號主要用于以新用戶的身份領取網站或商家專門準備給新注冊客戶的各種福利。我們發現了一則帖子指導大家運用新注冊的谷歌云平臺賬號來“挖礦”虛擬貨幣。

　　暗網上販賣亞馬遜禮品卡號和帶有余額的沃爾瑪賬號的廣告

4、購物券交易聯盟

黑產之間有時會出現通過購物券來支付的行為，這樣可以逃過貨幣監控，也讓許多交易變得更加匿名，甚至還有用偽造購物券兌換出的商品來以物易物的情形。還有一些黑產從業者會利用傳銷或聯銷渠道發展潛在的詐騙犯。

　　一個美國航空快遞消費券的交易論壇

暗網上M.video網站（一家美國電商）上75折折扣券的出售廣告，QIWI錢包以及儲值消費卡的出售廣告

教訓

購物券的引入幫助商家吸引更多的客戶，理論上也可以幫助商家追蹤商品和服務的去向。新客戶當然是好事，但是商家應該更審慎，尤其是那些專門薅羊毛、擼折扣的專業黑產。

今年三月，一家美國居家產品制造商發布了印有“不得翻倍”警告的條形碼返點券，卻沒有設置兌換期限，招致了黑產的襲擊，不斷被人反復提現。

商家該如何防范呢？

采取有效的防護措施。限制購物券重復使用、傳播以及有效期限。通過采用更復雜的編碼、微型印刷、水印、授權認證等方式增加偽造成本，比如設置一次使用之后即失效的規則。主動采取行動，與分銷商和司法部門積極合作，指定購物券使用的詳細規則。作為非營機構的“購物券信息公司”就是為了幫助商家和制造商阻擊黑產而建立的。但更重要的是：在網關、端、網絡、服務器和其他公司運作、開展商業活動的架構上加強隱私和安全的防護。

作者：頂象