文|同盾科技有限公司 同盾反欺詐研究院

3月2日訊，隨著互聯(lián)網(wǎng)的快速發(fā)展，越來(lái)越多的交易從傳統(tǒng)的線下渠道遷移到在線、實(shí)時(shí)的互聯(lián)網(wǎng)平臺(tái)上?；ヂ?lián)網(wǎng)平臺(tái)為了培育市場(chǎng)，在運(yùn)營(yíng)和推廣中投入了大量資金。凡事都有另一面，這同時(shí)也給互聯(lián)網(wǎng)“黑色產(chǎn)業(yè)”提供了滋生的土壤，黑色產(chǎn)業(yè)鏈的上下游運(yùn)作有序、分工明確，由此給企業(yè)帶來(lái)的則是品牌與資金的雙重?fù)p失。

近日邀請(qǐng)到戒小賢老師(同盾反欺詐研究團(tuán)隊(duì)核心成員)，分享同盾在攻防對(duì)抗中的經(jīng)驗(yàn)、教訓(xùn)。本篇將重點(diǎn)揭示黑產(chǎn)基礎(chǔ)服務(wù)之驗(yàn)證碼，闡述虛假號(hào)碼的前世今生并簡(jiǎn)析同盾在防控方面的經(jīng)驗(yàn)與方法。

一、技術(shù)原理

“虛假號(hào)碼”這個(gè)詞，目前還沒(méi)有被大多數(shù)人所接受。關(guān)于虛假號(hào)碼的來(lái)源、危害、各種特性，外界也了解的很少，更不要提如何針對(duì)虛假號(hào)碼進(jìn)行風(fēng)險(xiǎn)防控了。

“虛假號(hào)碼”定義：

用于代替他人接受驗(yàn)證碼信息的未經(jīng)實(shí)名制手機(jī)號(hào)碼，統(tǒng)稱(chēng)為虛假號(hào)碼。

國(guó)內(nèi)的大批接碼平臺(tái)，提供了大量的虛假號(hào)碼。比如之前被查處的愛(ài)碼平臺(tái)，累計(jì)經(jīng)手的虛假號(hào)碼達(dá)到了2000萬(wàn)，每天可用的虛假號(hào)碼在500萬(wàn)以上。此外，還有大批虛假號(hào)碼，被黑產(chǎn)團(tuán)伙直接持有，他們會(huì)自己開(kāi)發(fā)自動(dòng)化工具，來(lái)完成驗(yàn)證碼接收和使用。目前這批虛假號(hào)碼的規(guī)模無(wú)法估計(jì)。下面，來(lái)一起見(jiàn)識(shí)一下虛假號(hào)碼的原理。

“貓池”定義：

英文名 Modem Pool。 Modem，即調(diào)制解調(diào)器，普通的家用寬帶撥號(hào)所使用的"貓"也是一種modem。字面翻譯過(guò)來(lái)，就是貓池。

Modem中一般封裝了撥號(hào)協(xié)議，寬帶所使用的Modem，封裝的是PPPOE協(xié)議。貓池所使用的Modem，封裝的是GSM、CDMA或其他的一些通訊協(xié)議。兩種Modem都可以通過(guò)AT指令集來(lái)進(jìn)行控制。

這是目前國(guó)內(nèi)比較普遍的一種貓池，16個(gè)卡槽，每個(gè)卡槽，是一個(gè)GSM模塊。設(shè)備通過(guò)USB和PC連接，掛載為一個(gè)串口設(shè)備。通過(guò)軟件或驅(qū)動(dòng)程序，向Modem發(fā)送AT指令，來(lái)完成特定的操作。

比如：電話呼叫13905168888

ATD+13905168888\r\n 掛斷

ATH\r\n 讀取短信

AT+CMG\r\n

由于AT指令通過(guò)串口發(fā)送，可以支持全平臺(tái)、全語(yǔ)言，開(kāi)發(fā)難度、成本都非常低。近年來(lái)隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，越來(lái)越多的地方需要使用到GSM協(xié)議。與此相關(guān)的技術(shù)、硬件、軟件相繼被開(kāi)發(fā)出來(lái)，門(mén)檻也越來(lái)越低，互聯(lián)網(wǎng)上存在很多非常成熟的貓池軟件。

軟件通過(guò)AT指令，讀取到SIM中的短信，然后保存到數(shù)據(jù)庫(kù)中，包括發(fā)信人、短信主體、收信時(shí)間等。并且，通過(guò)模板匹配，可以精確提取出短信中哪幾個(gè)字符是驗(yàn)證碼，根據(jù)發(fā)信人的號(hào)碼，判斷驗(yàn)證碼對(duì)應(yīng)哪個(gè)平臺(tái)，從而自動(dòng)填充到注冊(cè)表單或訂單頁(yè)面中。在條件允許的情況下，一個(gè)注冊(cè)機(jī)，一天可以注冊(cè)超過(guò)10萬(wàn)賬號(hào)。這些賬號(hào)再后續(xù)的一些黑產(chǎn)活動(dòng)中會(huì)被使用。

二、關(guān)于驗(yàn)證碼

既然說(shuō)到虛假號(hào)碼，就不得不說(shuō)“驗(yàn)證碼“，這里指發(fā)送到用戶手機(jī)上的驗(yàn)證碼信息，包括短信驗(yàn)證碼或者語(yǔ)音驗(yàn)證碼。短信驗(yàn)證碼可以輕松被貓池讀取，那么語(yǔ)音驗(yàn)證碼呢?

語(yǔ)音驗(yàn)證碼本質(zhì)上是一次電話呼叫，用戶接聽(tīng)后，自動(dòng)播放一段語(yǔ)音，其中包含朗讀的驗(yàn)證碼信息。

某些接碼平臺(tái)提供了聽(tīng)碼服務(wù)，有專(zhuān)門(mén)的聽(tīng)碼人員，或由開(kāi)發(fā)者提供語(yǔ)音識(shí)別的功能，來(lái)完成驗(yàn)證碼提取。除此之外，通過(guò)在貓池上設(shè)置呼叫轉(zhuǎn)移，可以把包含驗(yàn)證碼信息的短信呼叫，轉(zhuǎn)移到特定的手機(jī)號(hào)上去，由用戶來(lái)聽(tīng)取驗(yàn)證碼。

使用語(yǔ)音驗(yàn)證碼一定程度上提高了驗(yàn)證碼獲取和使用的難度，但依然無(wú)法阻止羊毛大軍的腳步。

三、虛假號(hào)碼的使用場(chǎng)景

虛假號(hào)碼的使用場(chǎng)景非常多，下面逐個(gè)進(jìn)行剖析。

3.1 首單減免

如此巨大的誘惑，很多羊毛黨趨之若鶩。即使普通人，也會(huì)樂(lè)于嘗試一些辦法來(lái)不斷地享受這個(gè)優(yōu)惠。

先到接碼平臺(tái)上申請(qǐng)一個(gè)手機(jī)號(hào)，虛假號(hào)碼一般是獨(dú)占的，在我申請(qǐng)使用這個(gè)號(hào)碼之后，與我申請(qǐng)的驗(yàn)證碼模板相比配的第一條短信，會(huì)顯示在我的個(gè)人界面中。其他人不能使用這個(gè)號(hào)碼。

至此，憑借這條驗(yàn)證碼，就可以完成一次注冊(cè)了。

由于該平臺(tái)下單，是必須通過(guò)移動(dòng)端進(jìn)行的，而且該平臺(tái)已經(jīng)建立了自己的設(shè)備指紋。如果用我自己的手機(jī)登陸這個(gè)賬號(hào)，設(shè)備指紋會(huì)顯示我已經(jīng)擁有過(guò)一個(gè)賬號(hào)，然后自動(dòng)將兩個(gè)賬戶合并，優(yōu)惠券不在發(fā)放。

所以，一般還會(huì)配合模擬器，或改機(jī)工具進(jìn)行。

3.2 微信搶紅包

微信也是虛假號(hào)碼高度集中的一個(gè)區(qū)域。

由于很多規(guī)模較小的互聯(lián)網(wǎng)公司，已經(jīng)不再開(kāi)發(fā)自己獨(dú)立的App了，轉(zhuǎn)而提供H5頁(yè)面，通過(guò)微信和支付寶的內(nèi)置瀏覽器，就可以訪問(wèn)，并且對(duì)接了微信或支付寶的一些身份驗(yàn)證機(jī)制。

微信本身是不實(shí)名的，微信也不會(huì)將用戶的手機(jī)號(hào)或其他信息傳遞給應(yīng)用產(chǎn)商，僅憑微信賬號(hào)的唯一標(biāo)識(shí)來(lái)區(qū)分用戶。很多微信上的優(yōu)惠活動(dòng)類(lèi)似于：關(guān)注領(lǐng)紅包、投票抽獎(jiǎng)，就面臨了被薅羊毛的風(fēng)險(xiǎn)。

羊毛黨會(huì)批量的注冊(cè)微信號(hào)，然后通過(guò)模擬器、群控手機(jī)等方式保持這些賬號(hào)的活躍。這些賬號(hào)可以在之后很長(zhǎng)一段時(shí)間內(nèi)，參與各種各樣的優(yōu)惠活動(dòng)，賺取毛利。

一般的活動(dòng)中，紅包從2~10元不等，一個(gè)職業(yè)的羊毛黨，一天可以穩(wěn)定收入2000~5000元。每個(gè)垃圾賬號(hào)收到紅包之后，全部轉(zhuǎn)移至一個(gè)賬號(hào)上，然后提現(xiàn)。

由于微信不會(huì)對(duì)賬號(hào)進(jìn)行清洗，一個(gè)手機(jī)號(hào)注冊(cè)過(guò)之后，其他人就不能在繼續(xù)注冊(cè)，只能申請(qǐng)解綁，或者申訴驗(yàn)證，于是衍生出了很多針對(duì)微信解綁的黑產(chǎn)技術(shù)，在此不做討論。

3.3 刷單場(chǎng)景

和外賣(mài)平臺(tái)的首單優(yōu)惠很相似，電商也會(huì)有不定期的優(yōu)惠活動(dòng)。

這些優(yōu)惠活動(dòng)中，一般提供的優(yōu)惠券，比如：滿600減200等等。持有這些優(yōu)惠券進(jìn)行購(gòu)物，實(shí)際支付的價(jià)格就比真實(shí)的價(jià)格要低很多。一旦物品到手，他們會(huì)以一個(gè)比較合理的價(jià)格倒手賣(mài)出，賺取中間的差價(jià)。

整個(gè)刷單包含了三個(gè)環(huán)節(jié)：批量注冊(cè)、掃貨和下單，都有自動(dòng)化的工具。其中，虛假號(hào)碼就是用在批量注冊(cè)環(huán)節(jié)。

這是亞馬遜的一個(gè)注冊(cè)機(jī)，其中包含了很多功能，包括隨機(jī)生成賬號(hào)、自動(dòng)獲取虛假號(hào)碼和驗(yàn)證碼、自動(dòng)更換IP，自動(dòng)識(shí)別圖形驗(yàn)證碼等等。甚至包含了一個(gè)生成隨機(jī)Mac地址的功能。

換IP通過(guò)寬帶或VPN重播，或者設(shè)定代理IP來(lái)實(shí)現(xiàn)。

注冊(cè)10個(gè)賬號(hào)只用了大約10分鐘，單個(gè)IP上的頻繁注冊(cè)很容易觸發(fā)風(fēng)控規(guī)則，而且驗(yàn)證碼特別難辨認(rèn)，注冊(cè)的速度受到了限制。這些新注冊(cè)的賬號(hào)可以享受亞馬遜的優(yōu)惠，比如1元購(gòu)買(mǎi)電子書(shū)。 下圖是同一個(gè)工作室開(kāi)發(fā)的掃貨軟件。

除了刷單之外，一些活動(dòng)也可能使用到這些賬號(hào)。比如：刷評(píng)論，或者每日簽到等等，只要能夠牟利的地方，都有垃圾賬號(hào)的用處。

3.4 黃牛搶票

由于12306的注冊(cè)是需要身份證號(hào)的，這里沒(méi)有嘗試效果如何。如大家所知，12306一直是黃牛非常密集的地方。

四、虛假號(hào)碼的來(lái)源

關(guān)于虛假號(hào)碼的來(lái)源，目前普遍認(rèn)為是通過(guò)運(yùn)營(yíng)商內(nèi)部流出來(lái)的，這和我們目前收集到的情報(bào)相吻合。

一些管理不完善的運(yùn)營(yíng)商或虛擬運(yùn)營(yíng)商，存在內(nèi)部人員批量拿卡的情況，拿到的卡被批量倒賣(mài)，價(jià)格一般比較低，而且數(shù)量巨大。另外，根據(jù)我們的分析，還存在一些其他的途徑可以獲取到虛假號(hào)碼。

比如，某些營(yíng)業(yè)廳在給用戶辦卡的時(shí)候，可以獲取到用戶的身份信息，他們會(huì)盜用這些信息，額外多申請(qǐng)幾張卡，以滿足運(yùn)營(yíng)商的一些績(jī)效考核制度。運(yùn)營(yíng)商對(duì)此是清楚的，所以他們會(huì)根據(jù)手機(jī)號(hào)的一些狀態(tài)，來(lái)判斷是否存在虛報(bào)數(shù)量的情況。但是這個(gè)判斷，僅僅根據(jù)”在網(wǎng)狀態(tài)“來(lái)進(jìn)行，即便卡插在貓池里，也會(huì)被認(rèn)為是開(kāi)機(jī)狀態(tài)，就不會(huì)被認(rèn)為是虛報(bào)。

也有一些，是由于用戶的個(gè)人信息泄露，而被他人盜用，辦理了手機(jī)卡。尤其是虛擬運(yùn)營(yíng)商，網(wǎng)上申請(qǐng)手機(jī)號(hào)，僅需要身份證號(hào)、姓名、一個(gè)在用的手機(jī)號(hào)以及手持身份證的圖片即可。而這些東西，都可以很容易在網(wǎng)上找到，或者在黑市里購(gòu)買(mǎi)。

以上這些渠道，構(gòu)成了國(guó)內(nèi)虛假號(hào)碼最主要的三個(gè)來(lái)源。具體規(guī)模，我們尚不可知，根據(jù)這些來(lái)源，我們把虛假號(hào)碼分成兩大類(lèi)：實(shí)名的，沒(méi)有實(shí)名的。實(shí)名的卡，也叫黑卡或?qū)嵜诳?，目前缺乏有效的發(fā)現(xiàn)和防控手段，這里先不提及。我們目前所說(shuō)的虛假號(hào)碼，其實(shí)是這批沒(méi)有經(jīng)過(guò)實(shí)名的，從運(yùn)營(yíng)商內(nèi)部流出來(lái)的號(hào)碼。

五、虛假號(hào)碼的用途

前面雖然提到了虛假號(hào)碼的使用場(chǎng)景，但是并沒(méi)有全部說(shuō)明虛假號(hào)碼的用途，這里匯總?cè)缦拢?/p>

一般的，平臺(tái)的的優(yōu)惠政策，諸如：紅包、返現(xiàn)、優(yōu)惠券等等，直接影響虛假號(hào)碼的數(shù)量和占比。

在和虛假號(hào)碼的對(duì)抗中，我們必須關(guān)注各個(gè)平臺(tái)的優(yōu)惠活動(dòng)，優(yōu)質(zhì)的活動(dòng)必然引來(lái)羊毛黨的關(guān)注。而且，并不是每一個(gè)優(yōu)惠活動(dòng)都可以被薅，這需要我們投入一定的力量進(jìn)行分析。

比如，之前客戶反饋的一個(gè)案例，新用戶注冊(cè)之后，將得到80元的新手禮包，不能提現(xiàn)，但是可以用于購(gòu)買(mǎi)貴金屬。期間，羊毛單通過(guò)操作眾多賬號(hào)，批量買(mǎi)入和拋出，80個(gè)賬號(hào)中，有79個(gè)都虧了，但是最后一個(gè)，可以賺到很多。

如果不是事后的數(shù)據(jù)分析捕捉到這個(gè)異常行為，可能都不會(huì)意識(shí)到有如此走心的羊毛黨。

六、虛假號(hào)碼的防控

目前我們對(duì)虛假號(hào)碼的防護(hù)，主要來(lái)源于黑名單，黑名單的規(guī)模，直接影響了防控的效果。我們對(duì)國(guó)內(nèi)所有的接碼平臺(tái)進(jìn)行監(jiān)控，7*24小時(shí)從這些平臺(tái)獲取虛假號(hào)碼的數(shù)據(jù)。接碼平臺(tái)也有一定的技術(shù)實(shí)力，也會(huì)對(duì)爬蟲(chóng)進(jìn)行規(guī)避。我們用戶爬取的賬號(hào)平均有效期只有一周，大大增加了我們的工作難度。我們一直在對(duì)各個(gè)接碼平臺(tái)進(jìn)行監(jiān)控，保證我們數(shù)據(jù)的持續(xù)更新和有效。某些平臺(tái)迫于一些壓力，開(kāi)始轉(zhuǎn)入地下，我們依然能夠通過(guò)強(qiáng)大的情報(bào)系統(tǒng)找到他們。

6.1 虛擬號(hào)碼的生存期限

由于虛假號(hào)碼不會(huì)進(jìn)行實(shí)名制登記，存活期一般在60~90天(根據(jù)不同的運(yùn)營(yíng)商而變化)。我們隨機(jī)抽取了一份虛假號(hào)碼樣本，在兩個(gè)月的時(shí)間內(nèi)，對(duì)手機(jī)號(hào)的存活狀態(tài)進(jìn)行了一些監(jiān)測(cè)，統(tǒng)計(jì)已經(jīng)失效的手機(jī)號(hào)占比，結(jié)果如下：

手機(jī)號(hào)狀態(tài)檢測(cè)，是我們判斷虛假號(hào)碼最強(qiáng)有力的一種方式。每一個(gè)虛假號(hào)碼，都逃不過(guò)被強(qiáng)制停機(jī)的命運(yùn)。但是我們只能在手機(jī)號(hào)已經(jīng)停機(jī)或變成空號(hào)之后才能發(fā)現(xiàn)，欺詐分子可能已經(jīng)利用它參與了很多欺詐活動(dòng)，在實(shí)際的使用中，并不理想。

但手機(jī)號(hào)狀態(tài)檢測(cè)，為我們驗(yàn)證各種猜想提供了可靠的依據(jù)。

6.2 基于設(shè)備關(guān)聯(lián)關(guān)系

復(fù)雜網(wǎng)絡(luò)，是我們識(shí)別虛假號(hào)碼的方案中最為出色的一種。基于同盾設(shè)備指紋的海量覆蓋，我們對(duì)設(shè)備(安卓、IOS、PC等)進(jìn)行了唯一標(biāo)識(shí)，通過(guò)這個(gè)設(shè)備進(jìn)行注冊(cè)、登陸、交易等活動(dòng)的手機(jī)號(hào)，就與這個(gè)設(shè)備建立了關(guān)聯(lián)關(guān)系。

我們通過(guò)已知的虛假號(hào)碼，分析出曾經(jīng)使用過(guò)這些號(hào)碼的設(shè)備;再通過(guò)這些設(shè)備的唯一標(biāo)識(shí)，去檢索與之關(guān)聯(lián)過(guò)的其他手機(jī)號(hào)，順藤摸瓜，揪出了更多的高風(fēng)險(xiǎn)手機(jī)號(hào)。一般，散戶的羊毛黨只會(huì)有一到兩臺(tái)手機(jī)進(jìn)行操作;具備一定能力的團(tuán)伙，會(huì)使用數(shù)十臺(tái)甚至數(shù)百臺(tái)設(shè)備。

根據(jù)我們的目前的數(shù)據(jù)分析，通過(guò)復(fù)雜網(wǎng)絡(luò)分析出來(lái)的“可疑手機(jī)號(hào)”，風(fēng)險(xiǎn)概率高達(dá)99%，最終變?yōu)榭仗?hào)的概率接近90%。其中有少部分手機(jī)號(hào)是羊毛黨的真實(shí)手機(jī)號(hào)，可以作為定位羊毛黨身份的重要依據(jù)。

一個(gè)電信的虛假號(hào)碼復(fù)雜網(wǎng)絡(luò)關(guān)聯(lián)效果如下：

6.3 實(shí)名制對(duì)虛假號(hào)碼的影響

手機(jī)號(hào)實(shí)名制，從2016年10月開(kāi)始強(qiáng)制施行。之后的幾個(gè)月中，我們監(jiān)測(cè)的數(shù)十個(gè)接碼平臺(tái)，相繼下線。但是虛假號(hào)碼的總體規(guī)模，依然保持在原有的水平。隨著三個(gè)運(yùn)營(yíng)商和虛擬運(yùn)營(yíng)商的內(nèi)部監(jiān)管越來(lái)越嚴(yán)格，國(guó)內(nèi)的虛假號(hào)碼數(shù)量會(huì)有所下降。但這并不代表虛假號(hào)碼會(huì)從此消失。

卡商們發(fā)現(xiàn)，國(guó)內(nèi)的手機(jī)號(hào)獲取變得困難，就開(kāi)始轉(zhuǎn)向了國(guó)外。尤其是東南亞一些國(guó)家，缺乏通信方面的監(jiān)管，就可以大批量購(gòu)卡。剛好國(guó)內(nèi)的很多平臺(tái)，逐步開(kāi)放了國(guó)際注冊(cè)，比如：微信，熊貓TV，映客等等。

總而言之，和欺詐分子的對(duì)抗中，虛假號(hào)碼占了很重要的角色。在不斷的對(duì)抗中，我們嘗試了各種各樣的方法去檢測(cè)、識(shí)別虛假號(hào)碼;同時(shí)，黑產(chǎn)也在持續(xù)的裂變中，發(fā)明了很多規(guī)避檢測(cè)的手段。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。