近日，上海嘉定公安接到某网络电商公司报案称，发现公司网购平台用户中有存在利用服务漏洞“薅羊毛”的可疑交易，致使企业累计损失达100万。通过梳理，民警最终锁定并抓获了王某、汪某等分散于多个省市的实施“薅羊毛”诈骗的20名犯罪嫌疑人。

【----帮助网络安全学习，以下所有学习资料文末免费领！----】

那么问题来了，这家电商公司出现这么大的业务漏洞，业务人员自然是难逃罪责，但是安全人员是不是也会因此背锅？

【图源：陕视新闻官网微博】

随着互联网的迅猛发展和电子商务的兴起，“薅羊毛”消费文化悄然兴起。消费者们通过熟练运用各种平台的红包、满减、折扣券等福利手段，使得购物变得更加经济划算。无论是线上购物平台还是线下实体店，都纷纷推出各种吸引人的促销活动，为消费者提供更多实惠。

然而，随着“薅羊毛”逐渐成为一种趋势，不可避免地出现了一些问题。一些不法分子利用虚假信息、诈骗手段等手段，通过“薅羊毛”牟取私利。

羊毛薅的好，牢饭少不了？

近年来，利用平台漏洞“薅羊毛”的事件可谓是层出不穷。但靠漏洞蹭一些小红包、优惠券满足低价购物需求的“薅羊毛”行为，和利用漏洞套现、或与他人产生金钱交易以换取大额盈利的诈骗行为是有本质区别的。

去年2月，有网友发现得物APP出现了一批bug价格，包括名牌衣服、鞋子甚至名表，价格统一为9元，与正常价格差价极大，因此不少人趁机下单。

很快得物官方就发表公告称，经过公司排查发现，由于后台系统技术原因，部分商品上线价格显示异常，与实际价格存在较大差距。在此期间，对于价格错误的订单，平台将统一进行关闭处理。作为道歉，得物将向受到影响的每位用户发放特例商品除外的2张50元无门槛优惠券。

虽然9元商品没“薅”到，但是不少网友也表示算是用一次bug免费换取了大额优惠券，这波不亏。

去年4月，星巴克APP因出现bug被网友推上了微博热搜。有多名网友反映，自己的星巴克App账户里忽然多了大量优惠券，包括生日邀请券、周年庆邀请券、金星晋级饮品券等。其中，部分优惠券的有效期截至本周或本月底，而有的券都到了5月份。

对于这一情况，星巴克官方微博回应称，系统确实出bug了，技术伙伴们正在全力抢修。星巴克客服也表示，的确是系统出现了异常，正在修复。优惠券如果在门店正常核销，就可以使用。

最终，真的很多用户薅到了这波羊毛。

当然，也不是所有的“薅羊毛”都能被称为是“薅羊毛”。

去年9月，上海有5名大学生因利用肯德基手机客户端和微信客户端之间数据不同步的漏洞获利20多万元。法院一审认为各被告人通过发起虚假交易，获取退券退款的行为，是基于两个客户端之间数据不同步，使被害单位在错误的基础上进行财产处分，进而造成财产损失，故各被告人的行为符合诈骗罪的构成要件。

【图源：央视新闻】

去年7月，上海市公安局闵行分局接辖区一直播平台企业报案，称企业为鼓励用户推荐新人而设置的返现奖励金疑似被人冒领，直接经济损失15万元。经梳理，警方在该直播平台系统内发现了9个用户，在并未发生邀请行为的情况下，成为了其他196位用户的“邀请人”，累积领取奖励金达800余次，其中最多的用户在45天内领取235次，成了“专职”邀请人。

【图源：文汇报】

"薅羊毛"属于违法行为吗？

无可否认，“薅羊毛”的确已经成为了当代消费者的一种普遍行为。在日常的购物过程中，消费者们通过合理的调查研究和耐心的等待，以最低的价格获得心仪的商品或服务，实现消费的最大化这本身没什么问题。

但之所以一些人因为“薅羊毛”获罪，主要在于其超越了“羊毛党”界线，构成了诈骗，为他人造成严重经济损失。

比如在上述提及的新闻报道中，通过漏洞免费获取一些优惠券、红包等都属于正常的消费者“薅羊毛”行为；而部分“羊毛党”利用漏洞搞一些“生财门道”，就属于非法行为了。

比如利用APP客户端漏洞进行退款操作，免费骗取兑换券，售卖给他人获利，直接对商家造成经济损失；再比如利用购物平台漏洞，免费退换货赚取退货赔偿金等。

诸如此类行为的非法性和欺骗性非常明显，并非单纯获取优惠券的“羊毛党”那么简单，这些人可不是平常抢个几块到几十块不等红包以自娱自乐的普通人，而是大规模靠技术和人工手段，靠钻漏洞来薅羊毛获取利润的大群体。所以这类人因其非法行为获刑，也就不意外了。

企业被恶意“薅羊毛”，是安全人员的“锅”吗？

如果从“被损害利益”的企业层面出发，因消费者非法“薅羊毛”而造成的经济损失，责任到底该归咎于谁？究竟是制定“薅羊毛”活动玩法规则的业务人员，还是维护系统安全漏洞的安全人员。这是一个需要认真思考和解决的问题。

首先，作为安全人员，的确有义务提升自身的安全防护水平，及时监测和应对平台用户的异常行为。但很多情况下，被“薅羊毛”并不全是因为安全漏洞。

“薅羊毛”活动，往往是一些新入驻的商家想要吸引眼球，老商家想要稳固客源所使用的一种营销手段，而筹备活动的业务方也难免有时候会在过程中忽略细节，玩法设置不缜密，从而造成一些本想给用户一点“甜”却险些被“薅秃”的情况出现。

所以由于漏洞被“薅羊毛”这事的责任归咎问题，需要分类讨论，不要看到【漏洞】二字，就觉得是安全人员的锅。

业务人员在制定一场活动时，理应建立更加完善的风险评估和应急响应机制。当然，安全人员也务必定期进行安全审计和漏洞修补。只有采取多层次、多措施的安全措施，加强用户信息的加密和存储安全，才能有效保护日常业务安全。

同时，消费者也应对自己的行为负责，避免参与任何违法或不道德的活动。

另外，政府和相关监管机构也应该发挥作用，加强对“薅羊毛”行为的监管和打击。加大对违法行为的处罚力度，提高执法效率，加强合作与信息共享，共同维护市场的正常秩序。

由此可见在当今信息科技高速发展的时代，网络安全已成为一个不可忽视的重要问题。学习网络安全已经变得至关重要。下面将告诉我们网络安全的重要性，以及如何保护自身免受网络威胁的方法。

拿下NISP-SO网络安全证书之后，身为普通的你可以：

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下BAT全国TOP100大厂敲门砖

体系化得到网络技术硬实力

IE大佬年薪可达30w+

> ① 网安学习成长路径思维导图 > ② 60+网安经典常用工具包 > ③ 100+SRC漏洞分析报告 > ④ 150+网安攻防实战技术电子书 > ⑤ 最权威CISSP 认证考试指南+题库 > ⑥ 超1800页CTF实战技巧手册 > ⑦ 最新网安大厂面试题合集（含答案） > ⑧ APP客户端安全检测指南（安卓+IOS）

首先要找一份详细的大纲。

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破 XSS漏洞 CSRF漏洞 SSRF漏洞 XXE漏洞 SQL注入 任意文件操作漏洞 业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞 RCE 综合靶场实操项目 内网渗透 流量分析 日志分析 恶意代码分析 应急响应 实战训练

该阶段学完即可年薪30w+

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

上述这份完整版的网络安全学习资料已经上传CSDN官方，朋友们如果需要可以微信扫描下方CSDN官方认证二维码 即可领取↓↓↓

或者点击链接也可免费领取【保证100%免费】

点击免费领取： CSDN大礼包:《黑课&网络安全入门&进阶学习资源包》