互聯(lián)網(wǎng)黑產(chǎn)剖析：虛假號碼的前世今生

文|同盾科技有限公司 同盾反欺詐研究院

3月2日訊，隨著互聯(lián)網(wǎng)的快速發(fā)展，越來越多的交易從傳統(tǒng)的線下渠道遷移到在線、實時的互聯(lián)網(wǎng)平臺上?；ヂ?lián)網(wǎng)平臺為了培育市場，在運營和推廣中投入了大量資金。凡事都有另一面，這同時也給互聯(lián)網(wǎng)“黑色產(chǎn)業(yè)”提供了滋生的土壤，黑色產(chǎn)業(yè)鏈的上下游運作有序、分工明確，由此給企業(yè)帶來的則是品牌與資金的雙重損失。

近日邀請到戒小賢老師(同盾反欺詐研究團隊核心成員)，分享同盾在攻防對抗中的經(jīng)驗、教訓。本篇將重點揭示黑產(chǎn)基礎服務之驗證碼，闡述虛假號碼的前世今生并簡析同盾在防控方面的經(jīng)驗與方法。

一、技術原理

“虛假號碼”這個詞，目前還沒有被大多數(shù)人所接受。關于虛假號碼的來源、危害、各種特性，外界也了解的很少，更不要提如何針對虛假號碼進行風險防控了。

“虛假號碼”定義：

用于代替他人接受驗證碼信息的未經(jīng)實名制手機號碼，統(tǒng)稱為虛假號碼。

國內(nèi)的大批接碼平臺，提供了大量的虛假號碼。比如之前被查處的愛碼平臺，累計經(jīng)手的虛假號碼達到了2000萬，每天可用的虛假號碼在500萬以上。此外，還有大批虛假號碼，被黑產(chǎn)團伙直接持有，他們會自己開發(fā)自動化工具，來完成驗證碼接收和使用。目前這批虛假號碼的規(guī)模無法估計。下面，來一起見識一下虛假號碼的原理。

“貓池”定義：

英文名 Modem Pool。 Modem，即調(diào)制解調(diào)器，普通的家用寬帶撥號所使用的"貓"也是一種modem。字面翻譯過來，就是貓池。

Modem中一般封裝了撥號協(xié)議，寬帶所使用的Modem，封裝的是PPPOE協(xié)議。貓池所使用的Modem，封裝的是GSM、CDMA或其他的一些通訊協(xié)議。兩種Modem都可以通過AT指令集來進行控制。

這是目前國內(nèi)比較普遍的一種貓池，16個卡槽，每個卡槽，是一個GSM模塊。設備通過USB和PC連接，掛載為一個串口設備。通過軟件或驅動程序，向Modem發(fā)送AT指令，來完成特定的操作。

比如：電話呼叫13905168888

ATD+13905168888\r\n 掛斷

ATH\r\n 讀取短信

AT+CMG\r\n

由于AT指令通過串口發(fā)送，可以支持全平臺、全語言，開發(fā)難度、成本都非常低。近年來隨著物聯(lián)網(wǎng)技術的發(fā)展，越來越多的地方需要使用到GSM協(xié)議。與此相關的技術、硬件、軟件相繼被開發(fā)出來，門檻也越來越低，互聯(lián)網(wǎng)上存在很多非常成熟的貓池軟件。

軟件通過AT指令，讀取到SIM中的短信，然后保存到數(shù)據(jù)庫中，包括發(fā)信人、短信主體、收信時間等。并且，通過模板匹配，可以精確提取出短信中哪幾個字符是驗證碼，根據(jù)發(fā)信人的號碼，判斷驗證碼對應哪個平臺，從而自動填充到注冊表單或訂單頁面中。在條件允許的情況下，一個注冊機，一天可以注冊超過10萬賬號。這些賬號再后續(xù)的一些黑產(chǎn)活動中會被使用。

二、關于驗證碼

既然說到虛假號碼，就不得不說“驗證碼“，這里指發(fā)送到用戶手機上的驗證碼信息，包括短信驗證碼或者語音驗證碼。短信驗證碼可以輕松被貓池讀取，那么語音驗證碼呢?

語音驗證碼本質上是一次電話呼叫，用戶接聽后，自動播放一段語音，其中包含朗讀的驗證碼信息。

某些接碼平臺提供了聽碼服務，有專門的聽碼人員，或由開發(fā)者提供語音識別的功能，來完成驗證碼提取。除此之外，通過在貓池上設置呼叫轉移，可以把包含驗證碼信息的短信呼叫，轉移到特定的手機號上去，由用戶來聽取驗證碼。

使用語音驗證碼一定程度上提高了驗證碼獲取和使用的難度，但依然無法阻止羊毛大軍的腳步。

三、虛假號碼的使用場景

虛假號碼的使用場景非常多，下面逐個進行剖析。

3.1 首單減免

如此巨大的誘惑，很多羊毛黨趨之若鶩。即使普通人，也會樂于嘗試一些辦法來不斷地享受這個優(yōu)惠。

先到接碼平臺上申請一個手機號，虛假號碼一般是獨占的，在我申請使用這個號碼之后，與我申請的驗證碼模板相比配的第一條短信，會顯示在我的個人界面中。其他人不能使用這個號碼。

至此，憑借這條驗證碼，就可以完成一次注冊了。

由于該平臺下單，是必須通過移動端進行的，而且該平臺已經(jīng)建立了自己的設備指紋。如果用我自己的手機登陸這個賬號，設備指紋會顯示我已經(jīng)擁有過一個賬號，然后自動將兩個賬戶合并，優(yōu)惠券不在發(fā)放。

所以，一般還會配合模擬器，或改機工具進行。

3.2 微信搶紅包

微信也是虛假號碼高度集中的一個區(qū)域。

由于很多規(guī)模較小的互聯(lián)網(wǎng)公司，已經(jīng)不再開發(fā)自己獨立的App了，轉而提供H5頁面，通過微信和支付寶的內(nèi)置瀏覽器，就可以訪問，并且對接了微信或支付寶的一些身份驗證機制。

微信本身是不實名的，微信也不會將用戶的手機號或其他信息傳遞給應用產(chǎn)商，僅憑微信賬號的唯一標識來區(qū)分用戶。很多微信上的優(yōu)惠活動類似于：關注領紅包、投票抽獎，就面臨了被薅羊毛的風險。

羊毛黨會批量的注冊微信號，然后通過模擬器、群控手機等方式保持這些賬號的活躍。這些賬號可以在之后很長一段時間內(nèi)，參與各種各樣的優(yōu)惠活動，賺取毛利。

一般的活動中，紅包從2~10元不等，一個職業(yè)的羊毛黨，一天可以穩(wěn)定收入2000~5000元。每個垃圾賬號收到紅包之后，全部轉移至一個賬號上，然后提現(xiàn)。

由于微信不會對賬號進行清洗，一個手機號注冊過之后，其他人就不能在繼續(xù)注冊，只能申請解綁，或者申訴驗證，于是衍生出了很多針對微信解綁的黑產(chǎn)技術，在此不做討論。

3.3 刷單場景

和外賣平臺的首單優(yōu)惠很相似，電商也會有不定期的優(yōu)惠活動。

這些優(yōu)惠活動中，一般提供的優(yōu)惠券，比如：滿600減200等等。持有這些優(yōu)惠券進行購物，實際支付的價格就比真實的價格要低很多。一旦物品到手，他們會以一個比較合理的價格倒手賣出，賺取中間的差價。

整個刷單包含了三個環(huán)節(jié)：批量注冊、掃貨和下單，都有自動化的工具。其中，虛假號碼就是用在批量注冊環(huán)節(jié)。

這是亞馬遜的一個注冊機，其中包含了很多功能，包括隨機生成賬號、自動獲取虛假號碼和驗證碼、自動更換IP，自動識別圖形驗證碼等等。甚至包含了一個生成隨機Mac地址的功能。

換IP通過寬帶或VPN重播，或者設定代理IP來實現(xiàn)。

注冊10個賬號只用了大約10分鐘，單個IP上的頻繁注冊很容易觸發(fā)風控規(guī)則，而且驗證碼特別難辨認，注冊的速度受到了限制。這些新注冊的賬號可以享受亞馬遜的優(yōu)惠，比如1元購買電子書。 下圖是同一個工作室開發(fā)的掃貨軟件。

除了刷單之外，一些活動也可能使用到這些賬號。比如：刷評論，或者每日簽到等等，只要能夠牟利的地方，都有垃圾賬號的用處。

3.4 黃牛搶票

由于12306的注冊是需要身份證號的，這里沒有嘗試效果如何。如大家所知，12306一直是黃牛非常密集的地方。

四、虛假號碼的來源

關于虛假號碼的來源，目前普遍認為是通過運營商內(nèi)部流出來的，這和我們目前收集到的情報相吻合。

一些管理不完善的運營商或虛擬運營商，存在內(nèi)部人員批量拿卡的情況，拿到的卡被批量倒賣，價格一般比較低，而且數(shù)量巨大。另外，根據(jù)我們的分析，還存在一些其他的途徑可以獲取到虛假號碼。

比如，某些營業(yè)廳在給用戶辦卡的時候，可以獲取到用戶的身份信息，他們會盜用這些信息，額外多申請幾張卡，以滿足運營商的一些績效考核制度。運營商對此是清楚的，所以他們會根據(jù)手機號的一些狀態(tài)，來判斷是否存在虛報數(shù)量的情況。但是這個判斷，僅僅根據(jù)”在網(wǎng)狀態(tài)“來進行，即便卡插在貓池里，也會被認為是開機狀態(tài)，就不會被認為是虛報。

也有一些，是由于用戶的個人信息泄露，而被他人盜用，辦理了手機卡。尤其是虛擬運營商，網(wǎng)上申請手機號，僅需要身份證號、姓名、一個在用的手機號以及手持身份證的圖片即可。而這些東西，都可以很容易在網(wǎng)上找到，或者在黑市里購買。

以上這些渠道，構成了國內(nèi)虛假號碼最主要的三個來源。具體規(guī)模，我們尚不可知，根據(jù)這些來源，我們把虛假號碼分成兩大類：實名的，沒有實名的。實名的卡，也叫黑卡或實名黑卡，目前缺乏有效的發(fā)現(xiàn)和防控手段，這里先不提及。我們目前所說的虛假號碼，其實是這批沒有經(jīng)過實名的，從運營商內(nèi)部流出來的號碼。

五、虛假號碼的用途

前面雖然提到了虛假號碼的使用場景，但是并沒有全部說明虛假號碼的用途，這里匯總如下：

一般的，平臺的的優(yōu)惠政策，諸如：紅包、返現(xiàn)、優(yōu)惠券等等，直接影響虛假號碼的數(shù)量和占比。

在和虛假號碼的對抗中，我們必須關注各個平臺的優(yōu)惠活動，優(yōu)質的活動必然引來羊毛黨的關注。而且，并不是每一個優(yōu)惠活動都可以被薅，這需要我們投入一定的力量進行分析。

比如，之前客戶反饋的一個案例，新用戶注冊之后，將得到80元的新手禮包，不能提現(xiàn)，但是可以用于購買貴金屬。期間，羊毛單通過操作眾多賬號，批量買入和拋出，80個賬號中，有79個都虧了，但是最后一個，可以賺到很多。

如果不是事后的數(shù)據(jù)分析捕捉到這個異常行為，可能都不會意識到有如此走心的羊毛黨。

六、虛假號碼的防控

目前我們對虛假號碼的防護，主要來源于黑名單，黑名單的規(guī)模，直接影響了防控的效果。我們對國內(nèi)所有的接碼平臺進行監(jiān)控，7*24小時從這些平臺獲取虛假號碼的數(shù)據(jù)。接碼平臺也有一定的技術實力，也會對爬蟲進行規(guī)避。我們用戶爬取的賬號平均有效期只有一周，大大增加了我們的工作難度。我們一直在對各個接碼平臺進行監(jiān)控，保證我們數(shù)據(jù)的持續(xù)更新和有效。某些平臺迫于一些壓力，開始轉入地下，我們依然能夠通過強大的情報系統(tǒng)找到他們。

6.1 虛擬號碼的生存期限

由于虛假號碼不會進行實名制登記，存活期一般在60~90天(根據(jù)不同的運營商而變化)。我們隨機抽取了一份虛假號碼樣本，在兩個月的時間內(nèi)，對手機號的存活狀態(tài)進行了一些監(jiān)測，統(tǒng)計已經(jīng)失效的手機號占比，結果如下：

手機號狀態(tài)檢測，是我們判斷虛假號碼最強有力的一種方式。每一個虛假號碼，都逃不過被強制停機的命運。但是我們只能在手機號已經(jīng)停機或變成空號之后才能發(fā)現(xiàn)，欺詐分子可能已經(jīng)利用它參與了很多欺詐活動，在實際的使用中，并不理想。

但手機號狀態(tài)檢測，為我們驗證各種猜想提供了可靠的依據(jù)。

6.2 基于設備關聯(lián)關系

復雜網(wǎng)絡，是我們識別虛假號碼的方案中最為出色的一種?；谕茉O備指紋的海量覆蓋，我們對設備(安卓、IOS、PC等)進行了唯一標識，通過這個設備進行注冊、登陸、交易等活動的手機號，就與這個設備建立了關聯(lián)關系。

我們通過已知的虛假號碼，分析出曾經(jīng)使用過這些號碼的設備;再通過這些設備的唯一標識，去檢索與之關聯(lián)過的其他手機號，順藤摸瓜，揪出了更多的高風險手機號。一般，散戶的羊毛黨只會有一到兩臺手機進行操作;具備一定能力的團伙，會使用數(shù)十臺甚至數(shù)百臺設備。

根據(jù)我們的目前的數(shù)據(jù)分析，通過復雜網(wǎng)絡分析出來的“可疑手機號”，風險概率高達99%，最終變?yōu)榭仗柕母怕式咏?0%。其中有少部分手機號是羊毛黨的真實手機號，可以作為定位羊毛黨身份的重要依據(jù)。

一個電信的虛假號碼復雜網(wǎng)絡關聯(lián)效果如下：

6.3 實名制對虛假號碼的影響

手機號實名制，從2016年10月開始強制施行。之后的幾個月中，我們監(jiān)測的數(shù)十個接碼平臺，相繼下線。但是虛假號碼的總體規(guī)模，依然保持在原有的水平。隨著三個運營商和虛擬運營商的內(nèi)部監(jiān)管越來越嚴格，國內(nèi)的虛假號碼數(shù)量會有所下降。但這并不代表虛假號碼會從此消失。

卡商們發(fā)現(xiàn)，國內(nèi)的手機號獲取變得困難，就開始轉向了國外。尤其是東南亞一些國家，缺乏通信方面的監(jiān)管，就可以大批量購卡。剛好國內(nèi)的很多平臺，逐步開放了國際注冊，比如：微信，熊貓TV，映客等等。

總而言之，和欺詐分子的對抗中，虛假號碼占了很重要的角色。在不斷的對抗中，我們嘗試了各種各樣的方法去檢測、識別虛假號碼;同時，黑產(chǎn)也在持續(xù)的裂變中，發(fā)明了很多規(guī)避檢測的手段。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。