疯狂的“手机黑卡”产业链
虚商手机卡、物联网卡“假实名” 饿了么、美团、微信验证码随意买
■IT时报记者 郝俊慧 汪建君 丁晓东
“6·18的电商大促销令他们狂欢。”商城相关负责人向《IT时报》记者表示。
“他们”不是指消费者,而是指“羊毛党”——依靠注册新号获取新手优惠券或者利用多个账号争抢红包,大促期间的优惠补贴为他们提供了“捞钱”的机会。
在刚刚过去不久的6·18电商促销节,京东商城给出大量优惠:不仅定时会发放现金红包雨,红包最高值可达4999元,微信、手机QQ的京东公众号也上线互动活动,发放了总值超过2亿元的红包,“每个用户只能领取一张优惠券,因此账号越多,新号越多,抢到优惠的机会就越多,”上述京东人士表示:“而对于有刚需的买家来说,他们往往愿意出合适的价格购买这些优惠券,成交价从1元到几十元不等。”
需求产生供给,据《IT时报》记者深入调查发现,“羊毛党”猖獗的背后,一条养手机卡、注册账号、代收短信验证码、薅羊毛的黑卡产业链已经形成。据业内人士不完全估计,至少每年给相关产业带来40亿的损失。同时,尽管工信部要求到2017年6月30日之前,全部实现电话用户实名登记,但依然有很多“假实名制”的手机卡在黑卡市场内流转,其中虚拟运营商发放的手机卡和物联网卡是黑卡的重灾区。
调查一:
数千万张黑卡哪里来
当羊毛党在各个互联网平台抢新人券、购物券、优惠券时,当刷单客、营销客一次又一次给出好评时,一个令人深思的问题是,他们哪来的那么多手机号码?
物联网卡占黑卡比重超三成
在微信公众号“威胁猎人”发表的一篇名为《黑产大数据:手机黑卡调查》的报告中提到,虚拟运营商下的手机黑卡占所有黑卡的比例高达59.81%,乃当之无愧的黑卡主力来源,而物联网卡则是另一个主流渠道。所谓黑卡,是指非实名制或者假实名、并且用于非正常用途的手机卡。
“威胁猎人”的运营方是深圳永安在线科技有限公司,这是一家专业的风险账号检测公司,其创始人CEO毕裕告诉记者,报告中的数据来自他们一个名为“黑卡猎人”的海量恶意手机号码库,库中有8000万个黑卡号码,而且数量还在不断增加,目前每天新增黑卡号码数量在35万个左右。从8000万个号码中,他们随机抽取了2000万个号码作为样本,根据其号段进行数据统计,“因为物联网卡可以以企业名义批量申请,所以较易出现漏洞,在全国范围内,物联网黑卡占总黑卡的比例大约在35%左右。”
通过QQ群输入“物联网卡”查询搜索,弹出大量卡号售卖群,名称大多为“物联网卡交流群”以及“物联网卡及运营平台”等,《IT时报》记者随机申请加入了其中几个。
群里不时发放各类售卖手机卡和物联网卡的消息:“稳定提供13位和11位物联卡,每月10M/30M/50M/100M/1G/2G等,最低折扣1.6折”,“全新170/171联通卡大量到货,1元月租、2元余额,可注册多种服务”,类似消息不断更新,并提供具体的联系电话和微信号,若是群内有人咨询相关业务,在进行简单回复之后,对方会要求进行私聊。
有卡商特别对记者强调,物联网卡分为11位和13位,前者拥有语音功能并且能收发网间短信(比如从移动到联通),后者则没有语音功能且只能在网内收发信息(比如移动对移动),11位的价格比13位价格高出一倍左右,“带有语音功能的卡现在管理严格,开卡不那么容易。”一位卡商向记者介绍说。
在QQ群里卡商大肆宣传低折扣,最低甚至可以达到1.5折(以卡的套餐费用为基数),不过售价以数量为前提,比如1000张起2.5折,5000张起2折。
假营业执照也能买卡
数量以万为单位的手机卡和物联网卡为什么能在网上随意售卖?记者致电福建泉州的一名卡商,对方宣称自己拥有大量170/171号段的手机卡,他们与一些虚商都有合作,“这些合作伙伴会定期向我们供卡,而且我们都会进行实名认证。”
在交谈中记者了解到,170/171两种号段的手机卡可以批量出售,购买1000张以上则每张卖价11元,超过5000张则每张10.5元,如果高于10000张,则每张只需10元。
这名卡商特别强调,买卡不需要任何材料,只要下单、交钱就行,“我们与顺丰和德邦物流都有合作,你可以选择货到付款,不过除了购卡费之外还要缴纳物流服务费,顺丰大概四五百,德邦大概两三百。”
独立通信分析师付亮认为,这种方式显然不合法律法规,首先不能确定对方所说的实名认证是否属实,即便是用真的身份信息进行过实名认证,如此大规模地转手,导致使用人和认证人信息不一致,会造成严重的安全隐患。
另一名来自山东济南的卡商则告诉《IT时报》记者,他的销售法则是“薄利多销”,每卖一张卡只赚一块钱,但与上述卡商类似都是批量出售,同时强调购买量越大折扣越高。当记者表示要购买1000张手机卡和物联网卡时,对方表示需要提供个人身份证和公司营业执照信息。于是记者给对方提供了一张随意在网上找到的某公司营业执照,对方并没有提出任何质疑。
飞象网CEO、知名通信专家项立刚认为,批量购买1000张手机卡,却不需要经过严格的实名审核,完全违背相关法规。
政策监管趋严代理商趁机涨价
围绕卡商上下游存在两道程序,上游是从虚商处开卡,然后再将卡卖给需求者,卡商从中赚取利差。在出售手机卡、物联网卡的时候,一些相对谨慎的卡商往往会咨询购卡的用途,比如用于注册什么账号、需要怎样的套餐,对于陌生的购买者不会轻易出售。
随着监管日益严格,从未实名过的手机卡变得“以稀为贵”。记者通过各方渠道联系到一名售卖东莞和湛江两地移动手机卡卡商,这名卡商的手机号码归属地显示为“广东东莞 移动”,他表示,手上拥有东莞移动未实名的卡,但具体数量没有透露,同时强调,“现在这些卡价格很高,便宜点的要100多元,普通卡也要300~400元。”当记者问及为何一张手机卡会卖这么贵时,对方表示:“自然有用途,现在风险这么大,肯定要卖得贵。”
项立刚分析认为,手机卡卖出这么离奇的高价格,原因有多种,一方面可能这些卡本身的套餐比较昂贵,比如流量多等;另一方面可能的确是针对特定的人群进行售卖,比如去从事一些电信诈骗行为。
一名东莞联通的工作人员则告诉记者,前些年运营商为了扩大物联网卡等业务,与很多代理商开展合作,在审核管理方面可能并不到位,比如代理商资质是否到位、卡的流向与用途、是否按照规定进行实名等方面,都存在许多疏漏和管理不严的地方。不过他也表示:“现在联通完全按照政策要求来,国家对此有严格要求,相信所有运营商都不会触犯红线。”
调查二:
近万个网站被怎样薅羊毛
那么,是谁在买这些没有实名制或者没有真正实名制的“黑卡”呢?是羊毛党吗?不是。在手机黑卡的产业链里,羊毛党只是这个链条的最末端。
卡商平台:卡商和羊毛党的桥梁
事实上,购买这些“黑卡”的人被称为卡商,他们购卡的目的,就是用这些卡为那些不希望使用实名卡的人提供服务,并从中赚取利润。达到这个目的,所需要的工具很简单,大量手机卡和猫池。所谓猫池,是一种可同时支持多张手机卡的通信设备,你可以将其理解为一个可以同时插多张卡的“大号手机”,根据机型不同,插口从8到2048不等。通过猫池,手机卡可以直接拨号、收短信,而不需要卡商购买同等数量的手机。
在羊毛党和卡商之间,则存在着一个“神奇”的组织——卡商平台,或者也可称之为验证码平台。它类似于手机卡市场的“淘宝”,卡商将自己的卡号放到平台上售卖,而羊毛党或者其他有验证码需求的人则可以直接在平台上购买号码,接收短信,卡商平台提供软件支持、业务结算等服务,通过业务分成获利。
卡商平台的“能量”是惊人的。星辰是目前规模较大的平台之一,根据《IT时报》记者的测试,无需实名,便可以在平台上注册充值,购买可以接码的手机号码,用于在各个网站上注册账号。
记者调查:0.2元换饿了么15元优惠券
记者一次性购买了10个号码注册饿了么账号,很快验证码便发送到记者登记的账号里,根据这些手机号码和验证码注册后的饿了么账号中,8个有15元的新人红包,而记者需要付出的成本是,每个验证码0.2元。此外,记者还购买了一个可以同时注册饿了么、微信、ofo单车、美团外卖的手机号码,其中饿了么、美团的验证码售价为0.2元,ofo单车验证码的售价为0.5元,而微信验证码的售价最高为2.8元。
数十倍的利润,让羊毛党和卡商平台无视任何规则。在星辰的自我介绍中,卡商无需任何费用便可以入驻平台,如果没有猫池,星辰甚至提供自己的语音猫池给卡商租赁或购买,而且价格十分低廉,每台售价仅需1000元,卡商只需要手中有手机卡即可。
验证码平台最重要的收益来自分成。记者以卡商的名义与星辰客服取得了联系,对方告诉记者,一张从未做过验证码服务的卡,在平台上一天的收益大约有15-25元,根据验证码的属性不同,卡商和平台的分成比例也不同,语音类验证码五五开,短信类验证码三七开,卡商占七成。
在国内,像星辰这样的验证码平台并不鲜见。毕裕告诉记者,活跃的卡商平台至少有数十家,除了星辰,还有Thewolf、爱乐赞、玉米等等。2016年11月,当时最大的验证码平台爱码平台被警方查处,根据警方通报,爱码提供了上万个网站项目的接收验证码服务。一名业内人士向记者透露,除了供羊毛党薅羊毛外,爱码甚至涉嫌欺诈,利用卡商的号码进行通信诈骗。
然而,尽管爱码案发当时一批验证码平台曾随之销声匿迹,但时隔半年之后,同类平台又开始活跃起来。据记者了解,Thewolf平台甚至会根据卡商拥有的语音卡(实卡)数量及对应的猫池设备进行分类,不同等级的卡商与平台的分成比例不同,拥有10万张卡和50台2048口猫池设备的大区代理商,可以和平台三七分成,平台占30%。
在此前的媒体报道中,像爱码一样的平台级卡商,手中往往握有几百万张手机SIM卡,可以提供9000多个网站项目的接收验证码服务。
互联网公司一年至少损失40亿元
根据“威胁猎人”的初步估算,一张手机黑卡最终在羊毛党或者号商手中能产生近100元的收入,按每年4000万张黑卡计算,这个产业每年至少有40亿的产值。也就是说,相应的厂商和平台损失了40亿元。
“互联网已经是个传统行业,尤其是当很多传统企业准备触网,或者创业团队在互联网领域创业时,他们根本不知道,等待他们的会是什么?”毕裕研究黑产多年,在这个行业,技术更新和手段花样翻新程度,远远快于普通公司,甚至是互联网公司。
为了防止羊毛党“薅羊毛”或者批量注册,有的互联网平台采用了语音验证的方式,当用户注册完后,会有电话呼入,通过电话语音告之验证码,从而避开短信验证码被识别的风险。然而,这一招也已经被验证码平台攻破,在星辰平台上记者看到,提供接收语音验证码的服务,只是价格略贵于短信验证码。
“所谓道高一尺魔高一丈,很多客户甚至都不知道现在猫池已经如此先进了。”毕裕告诉记者,猫池的自动化流程已经越来越高,以往是人工插卡,手动收取验证码,现在验证码平台可以在SDK层面直接用软件对接卡商,将卡商所有号码都放到云端管理,也就是说,黑卡的应用门槛大大降低,号码流通速度进一步加快。所有卡的信息和验证码都可以通过云端自动发送。
同时,验证码平台也已经变成了卡商交易平台,不同人手里的卡在已有渠道资源被榨干后,可以通过一些卡商平台出售,其他人如果手里也有卡号,可以直接通过云端进行号码所有权的交换,而不需像以前一样必须要物理交换卡的实体。这样,一张黑卡的剩余价值在不同人手中被榨干,而“受害”的企业和平台越来越多。
薅羊毛新趋势:盯上触网的传统企业
被羊毛党“薅羊毛”薅到倒闭,并不是新闻。深圳一家互联网金融创业公司新上线一种理财产品,为此采用了拉新奖励的营销模式,并准备了一笔营销费用,结果到第三天发现,90%以上是羊毛党。无奈之下,平台只好关闭这个产品,重新刷新数据。
在对网络技术安全意识加强的同时,很多企业的业务安全意识是缺失的,“业务设计者在研发产品时没有安全意识,根本没有考虑风险,结果几天就把营销费用花光了,还没有实际效果。”
被黑产盯上的不只是互联网平台,一些刚刚触网的传统企业,“受害”更为严重。东鹏特饮是广东本地的一个饮料公司,其传统的促销活动是瓶盖抽奖,刮开瓶盖,会有金额不等的奖金,随着移动互联网普及,刮奖变成了扫二维码,用户可以扫码识别并领取红包,不仅省去了以往层层流转的繁琐,公司也可以收集到客户信息。然而毕裕他们发现,黑产和很多大城市收取废旧物资的核心节点合作,以很低的价格大批量收购瓶盖,然后由专业的公司用黑产里的手机号将所有二维码信息提取出来。结果东鹏特饮发现,实际兑换的奖金金额远远高于预期,营销费用大幅上升,但这些用户都是“僵尸”,营销效果几乎为“零”。此前有媒体报道,警方及互联网安全专家认为此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度。
防范篇:
打击“手机黑卡产业链”,需要多方力量,对于那些希望通过互联网推广营销的公司来说,一定要提醒自己,做好业务安全评估。
白帽子:用户发现异常一定要报案
国内知名白帽子、凌晨网络科技 CEO姚威认为,从技术角度来说,破坏干扰其他平台的正常秩序,欺骗干扰消费者的判断和选择,绝对是法律不允许的。
姚威曾经配合警方破获过多起黑卡案件。通常情况下,某家互联网平台会报案,称自己的平台受到大量恶意用户的攻击和骚扰,姚威则和公安部门一起通过大数据分析疑似羊毛党的号段、激活时间、号码归属地、运营商、账号注册IP 时间、频率等等,关联分析后便可以找到黑卡的出处、销售地区和扩散范围,通过网络追踪后进行现场取证和抓获。
姚威认为,目前黑卡产业链之所以横行,最大难点并不是技术和侦破手段,而是很少有商户和平台懂得报案,“他们觉得无法区分正常用户和黑卡用户,或者没有什么有力证据,所以选择忍着就算了,而实际上,不报案给了不法分子极大的生存空间。”
运营商:对物联网卡定向设置
从记者调查的情况来看,在电信运营商内部,非实名的手机卡市场存量已经不多,物联网卡是黑卡觊觎的另一个领域。随着三家运营商相继宣布物联网商用,在可预见的未来,物联网的发卡量将大幅增加,这迫切要求电信运营商从源头、从现在就管好手中的卡。
上海电信目前采取多元措施综合防范,一方面抓源头,对于一些物联网卡进行定向设置,使其只能定向访问,从而避免了在公网等领域使用,同时实行机卡绑定,将物联网卡和所使用的机器设备进行匹配,然后在后台进行监测、学习、认定,从而实现一卡一机使用。另一方面抓下游,在筛选客户时严格审核公司的资质和使用设备,细化应用场景,而对于一些规模较小而流量应用又较大的公司,签约时要求对方提供业务押金,作为约束客户的一个手段。
反黑产公司:一定要做业务安全评估
“在做线上推广之前,一定要做业务安全评估。”毕裕的公司主要功能是监控黑产,并通过“黑卡猎人”为客户提供黑卡辨识,所谓“黑卡猎人”是指一个庞大的黑卡手机样本库,当一家互联网平台准备做活动时,可以将每个注册的新号码都让“黑卡猎人”筛一遍,一旦发现异常,便可终止其注册登录。
“黑卡猎人”的样本来自“蜜罐”。黑产在选择攻击的时候,往往需要伪装自己的来源,通过一些虚拟服务器作为“跳板”,蜜罐则是安全公司特意设置的“陷阱”,它根据黑产者的攻击特征,精心布置的诱骗环境来吸引容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,并且提取攻击所使用的手机号码,将其录入核心数据库。
目前“黑卡猎人”库中的8000万样本中,60%以上是目前正在攻击的黑卡,有不到40%的黑卡,已经过了攻击的黄金时期,但还没有被二次投放使用。
但对于“黑卡猎人”的样本数,毕裕认为还不够。如今,不少互联网公司往往也会检测到很多黑产数据,但由于竞争所致,大家并不会共享信息,比如京东的信息肯定不会给。
“但如果行业之间形成联防联控,将所有的黑产信息都统一到一个数据库里,形成较为全面的防范黑产能力,然后再为所有企业提供服务。这样不仅数据样本足够大,而且也让一些小型的创业公司可以得到较为完整的服务。”毕裕认为,这样的第三方安全公司,可以由国家监管部门或者行业协会主导成立,从而保证其中立客观性。