说明：方法是灵活的，应该根据实际情况做一些变动，实时更新。

一、定期导出全校网薪（经验值）累计值，以作差的方式求出两个时间点网薪（经验值）增量

1、分析本校同学是否存在网薪被盗

特点：

被盗时间在很小一段范围内，大部分被盗者，所剩网薪不足100，或者在100 附近【被盗后

经过一段时间活跃赚回几千的除外】，用户几乎倾尽所有网薪，在一个很小的时间段内通过网薪转账到另一个易班用户账号，这个账户一般是外校的【并不代表这个账户是盗网薪的，是不法分子利用拿来储存网薪的账号】。被盗者一般是没有关联的，几乎同时将网薪转账到另一和账号，属于异常。

（1）通过作差、排序，通过查询几个网薪增量为负且网薪累计值不足100 的用户在该时间段内的网薪交易详情，找出被盗时间。

【被盗时间一般相近，所以找出几个时间几乎一致的，即找出大致网薪被盗时间】

（2）导出被盗时间范围内的网薪增量，例如5 月18 日中午有大量用户网薪被盗，导出5 月18 日至19 日网薪增量，也可适当放大范围，范围越小被盗网薪数量越精确。再和目前的网薪累计值匹配，如果要计算出19 日的网薪累计值也行【用目前的网薪累计值，减去19 至今的网薪增量，大致就是19 日的网薪累计值】，如果用户在短时间内倾尽几乎所有网薪转账赠送【网薪累计值不足100 或者接近100】，那这些用户网薪即可初步确认为被盗。

（3）通过查询已初步确认网薪被盗用户在18 日或者18-19 日网薪详情，判断时间是否一致，是

否不约而同赠送给同一个用户账号，如果是，即可确认被盗。【这个用户账号一般是外校的，如果初步判断，在用户信息查询输入昵称即可，查不到的多半是外校的账号，如果查得到，也不一定是本校的，如果要确认是哪个学校的，可重置任意一个被盗者账号密码，登录网页端在消息盒子中找到网薪转账记录，点击转账赠送用户姓名即可查看到这个账号所属学校】

（4）目前已经确认了被盗者名单【含被盗者ID 号码和被盗数量】，也知道了被盗者网薪转账赠送用户所属学校，应第一时间告知对应学校易班负责人或易班总部，及时冻结异常网薪，以免大量网薪流入其他学校普通用户，扰乱他校网薪商城正常秩序。

并告知易班总部的老师对相应账号进行处理，并追查此号转出的网薪去向【建议总部的老师通知有购买网薪的同学所属学校对购买网薪的用户做一些处理，或者公开有哪些学校有用户购买网薪，让学校联系总部获取购买网薪名单做一些违规处理】。

其实不法分子储存网薪所属学校也有能力追查网薪去向，查到购买网薪用户所属学校，只不过麻烦点，就像查被盗网薪去向一样，重置储存网薪这个账号密码，进入消息盒子，点击交易对象名字即可知道购买网薪用户所属学校。

想要确认被盗者名单，其实除了逐个查询初步确认名单网薪详情，其实还可以联系对应学校要取盗薪账号在该小时间段内网薪交易详情【比如本校几乎在5 月18 号中午11:28 至11:29网薪被盗，联系对应学校获取盗薪账号在11:25 至11:35 之间网薪交易详情，时间越短越精确，但用户数据不应该随便透露给不认识的人，不完整的手机号或者昵称，删除一个也行，通过总部获取也是个好的方法】，通过数据匹配，可直接确认网薪被盗者名单及被盗数量。

【匹配不完整的手机号和昵称，如果不完整的手机号和昵称完全一致即可确认为被盗，如果不完全一致，视情况查详情吧，有时评一个信息也可确认的，灵活处理啦】

知道本校网薪被盗名单及数量，第一时间不是找总部先系统追回，而是通知本校相应同学修改密码，以防追回的网薪可能导致二次被盗。新注册的用户因设置密码时必须含有数字、字母、符号中的两种，因此不太容易被盗。要想知道哪些用户收到了通知并修改了密码，学校易班有很多方法，比如用快搭，用报名功能，让同学修改了密码后进行确认，但这个不一定准；还可以将被盗者一键导入一个临时公共群，在公共平台发布通知，如果已经阅读了通知的，也就知道了情况，但这也不一定准确。【因为知道自己网薪被盗，并知道易班建议修改密码，用户不一定修改密码，比如我校在告知一位辅导员老师，网薪被盗，密码太简单被破解，也追回了老师的被盗网薪，可该老师的网薪也二次被盗】

网薪系统追回，应该处理完成后，将用户ID 及被盗数量交给总部系统追回，学校易班做好记录，如果属于不确认修改密码没，应进行重点监控。对于不太重视的用户，我校已强制修改密码【通过机构号重置密码】，以防这些账号被不法分子长期利用【包含用这些账号发动态、签到等来刷网薪，不法分子发动态、刷票、签到可不是一个一个来的哦，如果用一万个账号连续7 天签到并发动态，一天11 网薪，连续7 天额外送50，就是61 万网薪】

不法分子一次盗薪，大概也是几分钟盗几千人网薪，盗两三千人网薪，差不多也就盗了两三百万网薪吧，按1 千网薪/元计算，也就两三千块吧，按4 千网薪/元计算，也是近千元。

如果学校兑换一个50 元的礼品需要5 万网薪，被同学用10 元买了去，这不是亏大了，而且同学的网薪还不是通过活动赚取的，大家都去买网薪，那活动还怎么做啊，网薪商城还有什么意义呢。

【这些情况会好转起来，易班正在优化，不法分子可利用账号越来越少，偷盗网薪的情况会

越来越少，购买网薪的会越来越少，最后不会出现网薪被盗和购买情况】

我校易班鼓励大家从活动中获取网薪，鼓励同学在建设易班中获得网薪，严禁同学购买网薪，我校一经发现，是没收所有网薪，并禁止一年参加有关网薪的活动，购买网薪后将网薪大量流入其他用户的，或者有意避开学校分析异常网薪的，严重扰乱网薪商城秩序的，联系总部封号处理，或者学校强制修改用户密码，并更换手机号，再解绑，未经机构号重置密码，用户不可登录易班。同时，我校定期监控用户认证情况，如果不太可能认证，却认证了，可能存在盗用情况，2016 级已经在入学考试前全部认证，如果还有2016 级进行新认证，也可能是盗用认证信息，需进行处理。其他一些数据也定期导出，以免违规修改。

2、分析本校同学网薪未被盗，但是密码已经破解，存在潜在危险。

【由于目前网薪赠送规则，赠送需为100 的整数，故网薪不足100 不会被盗，但存在潜在危险，

同时也存在网薪超过100 很多，但是网薪未被盗的例外】

特点：

网薪未被盗、密码被破解的账号，在密码被破解时，一般伴随本校其他用户网薪被盗一起发生。其他网薪被盗用户在被盗的前一个时刻，会产生登录易班时，系统赠送的网薪。由于网薪不足，只进行了第一步：登录，网薪无法被盗。

（1） 数据处理方法同上，不同的是用户网薪不减反增，由于客户端不允许同时在多处登录，盗

薪者如果登录客户端，会打草惊蛇，也无法批量操作，单个操作也非常缓慢，网页端操作不容易被普通用户发现。不法分子一般直奔网薪而去，只要破解了密码，都会在哪个短时间内产生+1 的网薪【客户端登录会产生+2 的网薪】

（2） 通过筛选5 月18-19 号网薪增量为+1 和+3 的，且18 或19 号网薪累计值低于100 或在10附近的，单个查询18 号网薪交易详情，确认密码是否被破。

（3） 想要知道哪些人密码被破解，我还有办法，赠送用户一定的基础网薪，使用户网薪略高于

100，如果密码被破解，也会伴随这微薄的网薪被盗，被盗后网薪剩余不足100，网薪被盗，肯定也是密码被破解，密码被破解，只要有高于100 的网薪也会被盗，这就送一发现啦。

3、分析本校同学是否存在购买网薪行为

同学购买网薪，如果不及时发现，会对本校其他老老实实赚网薪、参加活动获取网薪的同学不公，扰乱本校网薪商城秩序。原本本校网薪平均网薪不多，打算50 元礼品要5000 网薪兑换，被别人几块钱买的网薪兑换了，限量、限时抢兑，也不是禁止他们购买网薪的办法。

（1） 数据处理如上，也是定期导出网薪累计值，发现网薪增量超过本校一定水平，可查询网薪

交易详情，例如我校工作站某部门同学因工作需要，每个月必定产生1000 以上网薪增量，但是全校范围来看，数量不多，因此我选择为数不多的作为标准，在这个标准附近，我都会逐个查询网薪交易详情。发现有交易对象不是本校的，可根据情况适当处理，如果通过网薪红包，交易对象是易班，这个也没多大影响。

（2） 在学校范围内，有人收到大额网薪红包，应该有发送大额网薪红包的人，如果没有，那就

是从外校引入，每个学校情况各有不同，对于同样的50 元的礼品，可能有的学校需要好几万网薪，甚至数十万网薪，但是有的学校只需要几千网薪，甚至只要几百网薪，因此允许全站用户参与的活动，赠送网薪不宜过大。

（3） 通过查找被盗网薪去向，然后查询该号网薪赠送去向，也可锁定购买网薪者。

（4） 将网薪分流、有意避开异常网薪分析，严重扰乱本校或他校网薪商城秩序者，报总部封号

吧。

以上经验来源：西昌学院 唐勇老师

2017 年6 月16 日