近年來，“薅羊毛”成了許多消費者的一點“小確幸”，甚至在各種社交平臺上都存在著不少“薅羊毛”博主、“薅羊毛”粉絲群。不過，越來越多事件的發生提醒著我們：有些“薅羊毛”到最后就成了犯罪。

近日，上海市徐匯區人民法院就公開審理并判處了一宗“薅羊毛”詐騙案。

1998年生的徐某，是江蘇某大學的在校生。2018年4月，在利用肯德基客戶端點餐的過程中，徐某無意間發現系統的兩個“bug”。

第一個bug是在APP客戶端用套餐兌換券下單，進入待支付狀態后暫不支付，之后在微信客戶端對兌換券進行退款操作，然后再將之前客戶端的訂單取消，這時候竟可以重新獲取兌換券，此種方式分文未付騙取了一份兌換券。

第二個bug是先在APP客戶端用套餐兌換券下單待支付，在微信客戶端退掉兌換券，再在APP客戶端支付，這時便可以支付成功并獲得取餐碼，此種方式等于分文未付騙取了一份套餐。

發現這個漏洞后，從當年4月開始，除了自己這樣點餐操作外，徐某還做起了“副業”，成為了一名“羊毛黨”。他將騙取得來的套餐產品通過線上交易軟件低價出售給他人，從中非法獲利。同時還與同學有“?！蓖?，將犯罪方法當面或通過網絡傳授給丁某等4名同學。截至同年10月案發，徐某的行為造成百盛公司（肯德基所有者）損失5.8萬余元，丁某等四人造成百盛公司損失0.89萬元至4.7萬元不等。

近日，上海市徐匯區人民法院開庭審理了此案，徐某等五人因犯詐騙罪、傳授犯罪方法罪被判有期徒刑兩年六個月至一年三個月不等并處罰金的刑罰。其中，徐某犯詐騙罪，判處有期徒刑二年，并處罰金人民幣六千元；犯傳授犯罪方法罪，判處有期徒刑十個月，決定執行有期徒刑二年六個月，并處罰金人民幣六千元。丁某等四人皆因相同案由被分別認定為詐騙罪或詐騙罪、傳授犯罪方法罪，分別被判處有期徒刑兩年至一年三個月，并處罰金人民幣四千元至一千元不等的刑罰。

也就是說，“薅”走了肯德基數十萬元的徐某等五人將要面臨的是兩年六個月至一年三個月的“牢獄之災”。

為什么“薅羊毛”成了犯罪？

“薅羊毛”，是年輕人用來泛指搜集各個銀行等金融機構及各類商家的優惠信息，以此實現盈利的行為。最常見的“薅羊毛”行為主要有兩類，一是利用平臺的活動規則從而獲得一定的優惠及盈利；二是違反平臺規則，利用系統漏洞獲得盈利。而違反平臺規則的“薅羊毛”就容易觸碰到法律紅線。

近年來，利用系統漏洞獲利從而構成犯罪的事件層出不窮?；谶^去的案件，利用漏洞型轉移財物的案件被學者分為四類：第一，利用系統存在的漏洞，人為干擾系統正常運行或者修改系統的特定數據，也就是“黑”了系統；第二，沒有干擾系統的正常運行，也沒有修改系統數據，但其利用漏洞的行為違背了明示的交易規則；第三，行為人在系統發生故障的情況下轉移財物；第四，行為人轉移財物的行為并不違反商家制定的交易規則，且在此過程中交易系統正常運行，但是行為人利用了退貨后商家在顧客返還積分之前便全額退款的漏洞，以付款后退貨但不退積分的方式套取積分，最典型的就是2017年判決的“江耀案”。

顯然，低價轉賣套餐的徐某等人是利用肯德基APP客戶端和微信客戶端之間的數據不同步獲利，并且取得了一定程度的非法收入，既不存在修改系統數據，也并非系統本身發生的機械故障或者缺陷，更類似于第二類案例。

根據“上海法治聲音”公眾號發布內容，徐匯法院審理后給出的解釋是，這種行為存在欺騙性，欺騙百勝公司，隱瞞已經下單或者取消訂單的事實，從而退款；或者對百勝公司隱瞞已退款的事實，又取消訂單返券或者確認獲得取餐碼。換句話來說，就是在明知系統存在數據不同步的漏洞的情況下，仍然以非法占有為目的，進行虛假交易，從而獲取了財物。

為什么構成的會是詐騙罪？

法院認定，百勝集團作為規則條件預設人，是隱藏在“機器”背后的，而肯德基APP客戶端和肯德基微信客戶端自助點餐系統這些“機器”發生的錯誤認識，并在錯誤認識的基礎上“自愿”進行的財產處分，造成了背后的百勝集團的財產損失，因此徐某等人通過發起虛假交易獲取退券退款的行為符合詐騙罪的構成要件。

“薅羊毛”背后的黑色產業鏈

這次事件中的徐某非法獲利的方式之一就是將詐騙來的套餐產品通過線上交易軟件低價出售給他人。而對于那些通過線上交易軟件買下徐某出售的低價套餐產品的消費者們來說，無疑也是“薅到了商家的羊毛”。

“薅羊毛”現象主要存在于電商平臺，以及在涉及卡券優惠、優惠碼、現金紅包類的優惠活動。事實上，瀏覽大大小小的諸如某寶、閑魚等交易平臺可以發現，存在大量兜售、轉賣優惠券的交易窗口，甚至微信群、微博群等社交媒體也早就出現了大量以“薅羊毛”為主業的專業組織，逐漸演化為成熟的“薅羊毛”黑灰產業鏈。

這樣的黑灰產業鏈，既可以是一個人“單槍匹馬”得干，也可以是一群人“訓練有素”得干，其背后的邏輯是類似的。

對于由個人完成的“薅羊毛”詐騙行為，黃小天是典型案例。

2017年，黃小天在一家專做母嬰用品的App在一次“買一桶奶粉送一桶奶粉”的優惠活動中找到了bug。他在一年之內使用腳本程序批量虛假注冊了該App的20萬個賬號。由于虛假賬號注冊過程中缺少必要審核信息而無法正常使用，黃小天轉而研究商家的App安裝包，并攻破App客戶端修改其驗證功能，使得2萬余個虛假賬號可成功注冊。隨后黃小天將2萬余個虛假賬號出售并獲利六萬余元，薅走兩萬多桶奶粉。不過他的結局可想而知，2019年10月，黃小天被北京市海淀區人民檢察院判處有期徒刑三年六個月。

而黑灰產團伙的“薅羊毛”鏈條則更為完整。2019年1月20日，拼多多優惠券bug事件引起軒然大波。社交電商平臺拼多多官方發布聲明稱，有黑灰產團伙通過平臺的過期優惠券漏洞盜取數千萬元平臺優惠券。隨后，上海警方以“網絡詐騙”的罪名立案并成立專案組調查。

以拼多多優惠券bug事件為例。事件中的優惠券是拼多多此前與一檔電視節目合作時因節目錄制需要特殊生成的優惠券類型，僅供現場嘉賓使用。也就是說，這款優惠券從未出現在平臺以往的任何活動，也從來沒有任何線上入口，這也意味著黑灰產業鏈團隊以非正常渠道挖到了這份“寶”。

黑灰產業鏈團伙上游通過非正常途徑獲取二維碼，并在掃碼之后獲得優惠券，并在多個黑灰產團伙間流傳；接著，團伙中游通過“養貓池”，用手機卡蓄養大量虛擬賬號，實現多張黑卡同時作業，大批量領取優惠券；最后，產業鏈下游迅速通過社交平臺及網絡將二維碼分享出去，通過手機話費、Q幣等虛擬充值的方式，短時間迅速將優惠券轉移至眾多網友，以至于形成了當天凌晨微博上“別睡了快起來搶券”的群體狂歡。這樣的上中下游形成的“薅羊毛”閉環就形成了此次“套券詐騙”案件。

可見，無論是以個人還是團隊組成的“薅羊毛”黑灰產業鏈，都離不開制作可以批量注冊賬號的工具、尋找系統存在的漏洞或惡意攻擊商家系統、購買大量手機SIM卡、通過軟件工具和貓池等硬件設備惡意注冊各平臺賬號并養號、最后快速將優惠券等平臺內資金轉移，將“薅”來的資金迅速轉嫁至底層消費者。

不少消費者認為，暫且不說這種行為是否犯法、是否合規，至少消費者省了一筆錢，獲得了好處。但是，消費者需要明白的是，一旦這樣的“薅羊毛”行為受到鼓勵，商家可能會為了避免被“薅”而不再發放優惠券，從而侵害到部分消費者本應獲得的權益，循環往復，除了黑灰產團隊漁翁得利，商家和底層消費者只能是兩敗俱傷。

責任編輯：王超