文|同盾科技有限公司 同盾反欺詐研究院
3月2日訊,隨著互聯(lián)網(wǎng)的快速發(fā)展,越來越多的交易從傳統(tǒng)的線下渠道遷移到在線、實(shí)時(shí)的互聯(lián)網(wǎng)平臺(tái)上?;ヂ?lián)網(wǎng)平臺(tái)為了培育市場(chǎng),在運(yùn)營(yíng)和推廣中投入了大量資金。凡事都有另一面,這同時(shí)也給互聯(lián)網(wǎng)“黑色產(chǎn)業(yè)”提供了滋生的土壤,黑色產(chǎn)業(yè)鏈的上下游運(yùn)作有序、分工明確,由此給企業(yè)帶來的則是品牌與資金的雙重?fù)p失。
近日邀請(qǐng)到戒小賢老師(同盾反欺詐研究團(tuán)隊(duì)核心成員),分享同盾在攻防對(duì)抗中的經(jīng)驗(yàn)、教訓(xùn)。本篇將重點(diǎn)揭示黑產(chǎn)基礎(chǔ)服務(wù)之驗(yàn)證碼,闡述虛假號(hào)碼的前世今生并簡(jiǎn)析同盾在防控方面的經(jīng)驗(yàn)與方法。
一、技術(shù)原理
“虛假號(hào)碼”這個(gè)詞,目前還沒有被大多數(shù)人所接受。關(guān)于虛假號(hào)碼的來源、危害、各種特性,外界也了解的很少,更不要提如何針對(duì)虛假號(hào)碼進(jìn)行風(fēng)險(xiǎn)防控了。
“虛假號(hào)碼”定義:
用于代替他人接受驗(yàn)證碼信息的未經(jīng)實(shí)名制手機(jī)號(hào)碼,統(tǒng)稱為虛假號(hào)碼。
國(guó)內(nèi)的大批接碼平臺(tái),提供了大量的虛假號(hào)碼。比如之前被查處的愛碼平臺(tái),累計(jì)經(jīng)手的虛假號(hào)碼達(dá)到了2000萬,每天可用的虛假號(hào)碼在500萬以上。此外,還有大批虛假號(hào)碼,被黑產(chǎn)團(tuán)伙直接持有,他們會(huì)自己開發(fā)自動(dòng)化工具,來完成驗(yàn)證碼接收和使用。目前這批虛假號(hào)碼的規(guī)模無法估計(jì)。下面,來一起見識(shí)一下虛假號(hào)碼的原理。
“貓池”定義:
英文名 Modem Pool。 Modem,即調(diào)制解調(diào)器,普通的家用寬帶撥號(hào)所使用的"貓"也是一種modem。字面翻譯過來,就是貓池。
Modem中一般封裝了撥號(hào)協(xié)議,寬帶所使用的Modem,封裝的是PPPOE協(xié)議。貓池所使用的Modem,封裝的是GSM、CDMA或其他的一些通訊協(xié)議。兩種Modem都可以通過AT指令集來進(jìn)行控制。
這是目前國(guó)內(nèi)比較普遍的一種貓池,16個(gè)卡槽,每個(gè)卡槽,是一個(gè)GSM模塊。設(shè)備通過USB和PC連接,掛載為一個(gè)串口設(shè)備。通過軟件或驅(qū)動(dòng)程序,向Modem發(fā)送AT指令,來完成特定的操作。
比如:電話呼叫13905168888
ATD+13905168888\r\n 掛斷
ATH\r\n 讀取短信
AT+CMG\r\n
由于AT指令通過串口發(fā)送,可以支持全平臺(tái)、全語言,開發(fā)難度、成本都非常低。近年來隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展,越來越多的地方需要使用到GSM協(xié)議。與此相關(guān)的技術(shù)、硬件、軟件相繼被開發(fā)出來,門檻也越來越低,互聯(lián)網(wǎng)上存在很多非常成熟的貓池軟件。
軟件通過AT指令,讀取到SIM中的短信,然后保存到數(shù)據(jù)庫中,包括發(fā)信人、短信主體、收信時(shí)間等。并且,通過模板匹配,可以精確提取出短信中哪幾個(gè)字符是驗(yàn)證碼,根據(jù)發(fā)信人的號(hào)碼,判斷驗(yàn)證碼對(duì)應(yīng)哪個(gè)平臺(tái),從而自動(dòng)填充到注冊(cè)表單或訂單頁面中。在條件允許的情況下,一個(gè)注冊(cè)機(jī),一天可以注冊(cè)超過10萬賬號(hào)。這些賬號(hào)再后續(xù)的一些黑產(chǎn)活動(dòng)中會(huì)被使用。
二、關(guān)于驗(yàn)證碼
既然說到虛假號(hào)碼,就不得不說“驗(yàn)證碼“,這里指發(fā)送到用戶手機(jī)上的驗(yàn)證碼信息,包括短信驗(yàn)證碼或者語音驗(yàn)證碼。短信驗(yàn)證碼可以輕松被貓池讀取,那么語音驗(yàn)證碼呢?
語音驗(yàn)證碼本質(zhì)上是一次電話呼叫,用戶接聽后,自動(dòng)播放一段語音,其中包含朗讀的驗(yàn)證碼信息。
某些接碼平臺(tái)提供了聽碼服務(wù),有專門的聽碼人員,或由開發(fā)者提供語音識(shí)別的功能,來完成驗(yàn)證碼提取。除此之外,通過在貓池上設(shè)置呼叫轉(zhuǎn)移,可以把包含驗(yàn)證碼信息的短信呼叫,轉(zhuǎn)移到特定的手機(jī)號(hào)上去,由用戶來聽取驗(yàn)證碼。
使用語音驗(yàn)證碼一定程度上提高了驗(yàn)證碼獲取和使用的難度,但依然無法阻止羊毛大軍的腳步。
三、虛假號(hào)碼的使用場(chǎng)景
虛假號(hào)碼的使用場(chǎng)景非常多,下面逐個(gè)進(jìn)行剖析。
3.1 首單減免
如此巨大的誘惑,很多羊毛黨趨之若鶩。即使普通人,也會(huì)樂于嘗試一些辦法來不斷地享受這個(gè)優(yōu)惠。
先到接碼平臺(tái)上申請(qǐng)一個(gè)手機(jī)號(hào),虛假號(hào)碼一般是獨(dú)占的,在我申請(qǐng)使用這個(gè)號(hào)碼之后,與我申請(qǐng)的驗(yàn)證碼模板相比配的第一條短信,會(huì)顯示在我的個(gè)人界面中。其他人不能使用這個(gè)號(hào)碼。
至此,憑借這條驗(yàn)證碼,就可以完成一次注冊(cè)了。
由于該平臺(tái)下單,是必須通過移動(dòng)端進(jìn)行的,而且該平臺(tái)已經(jīng)建立了自己的設(shè)備指紋。如果用我自己的手機(jī)登陸這個(gè)賬號(hào),設(shè)備指紋會(huì)顯示我已經(jīng)擁有過一個(gè)賬號(hào),然后自動(dòng)將兩個(gè)賬戶合并,優(yōu)惠券不在發(fā)放。
所以,一般還會(huì)配合模擬器,或改機(jī)工具進(jìn)行。
3.2 微信搶紅包
微信也是虛假號(hào)碼高度集中的一個(gè)區(qū)域。
由于很多規(guī)模較小的互聯(lián)網(wǎng)公司,已經(jīng)不再開發(fā)自己獨(dú)立的App了,轉(zhuǎn)而提供H5頁面,通過微信和支付寶的內(nèi)置瀏覽器,就可以訪問,并且對(duì)接了微信或支付寶的一些身份驗(yàn)證機(jī)制。
微信本身是不實(shí)名的,微信也不會(huì)將用戶的手機(jī)號(hào)或其他信息傳遞給應(yīng)用產(chǎn)商,僅憑微信賬號(hào)的唯一標(biāo)識(shí)來區(qū)分用戶。很多微信上的優(yōu)惠活動(dòng)類似于:關(guān)注領(lǐng)紅包、投票抽獎(jiǎng),就面臨了被薅羊毛的風(fēng)險(xiǎn)。
羊毛黨會(huì)批量的注冊(cè)微信號(hào),然后通過模擬器、群控手機(jī)等方式保持這些賬號(hào)的活躍。這些賬號(hào)可以在之后很長(zhǎng)一段時(shí)間內(nèi),參與各種各樣的優(yōu)惠活動(dòng),賺取毛利。
一般的活動(dòng)中,紅包從2~10元不等,一個(gè)職業(yè)的羊毛黨,一天可以穩(wěn)定收入2000~5000元。每個(gè)垃圾賬號(hào)收到紅包之后,全部轉(zhuǎn)移至一個(gè)賬號(hào)上,然后提現(xiàn)。
由于微信不會(huì)對(duì)賬號(hào)進(jìn)行清洗,一個(gè)手機(jī)號(hào)注冊(cè)過之后,其他人就不能在繼續(xù)注冊(cè),只能申請(qǐng)解綁,或者申訴驗(yàn)證,于是衍生出了很多針對(duì)微信解綁的黑產(chǎn)技術(shù),在此不做討論。
3.3 刷單場(chǎng)景
和外賣平臺(tái)的首單優(yōu)惠很相似,電商也會(huì)有不定期的優(yōu)惠活動(dòng)。
這些優(yōu)惠活動(dòng)中,一般提供的優(yōu)惠券,比如:滿600減200等等。持有這些優(yōu)惠券進(jìn)行購物,實(shí)際支付的價(jià)格就比真實(shí)的價(jià)格要低很多。一旦物品到手,他們會(huì)以一個(gè)比較合理的價(jià)格倒手賣出,賺取中間的差價(jià)。
整個(gè)刷單包含了三個(gè)環(huán)節(jié):批量注冊(cè)、掃貨和下單,都有自動(dòng)化的工具。其中,虛假號(hào)碼就是用在批量注冊(cè)環(huán)節(jié)。
這是亞馬遜的一個(gè)注冊(cè)機(jī),其中包含了很多功能,包括隨機(jī)生成賬號(hào)、自動(dòng)獲取虛假號(hào)碼和驗(yàn)證碼、自動(dòng)更換IP,自動(dòng)識(shí)別圖形驗(yàn)證碼等等。甚至包含了一個(gè)生成隨機(jī)Mac地址的功能。
換IP通過寬帶或VPN重播,或者設(shè)定代理IP來實(shí)現(xiàn)。
注冊(cè)10個(gè)賬號(hào)只用了大約10分鐘,單個(gè)IP上的頻繁注冊(cè)很容易觸發(fā)風(fēng)控規(guī)則,而且驗(yàn)證碼特別難辨認(rèn),注冊(cè)的速度受到了限制。這些新注冊(cè)的賬號(hào)可以享受亞馬遜的優(yōu)惠,比如1元購買電子書。 下圖是同一個(gè)工作室開發(fā)的掃貨軟件。
除了刷單之外,一些活動(dòng)也可能使用到這些賬號(hào)。比如:刷評(píng)論,或者每日簽到等等,只要能夠牟利的地方,都有垃圾賬號(hào)的用處。
3.4 黃牛搶票
由于12306的注冊(cè)是需要身份證號(hào)的,這里沒有嘗試效果如何。如大家所知,12306一直是黃牛非常密集的地方。
四、虛假號(hào)碼的來源
關(guān)于虛假號(hào)碼的來源,目前普遍認(rèn)為是通過運(yùn)營(yíng)商內(nèi)部流出來的,這和我們目前收集到的情報(bào)相吻合。
一些管理不完善的運(yùn)營(yíng)商或虛擬運(yùn)營(yíng)商,存在內(nèi)部人員批量拿卡的情況,拿到的卡被批量倒賣,價(jià)格一般比較低,而且數(shù)量巨大。另外,根據(jù)我們的分析,還存在一些其他的途徑可以獲取到虛假號(hào)碼。
比如,某些營(yíng)業(yè)廳在給用戶辦卡的時(shí)候,可以獲取到用戶的身份信息,他們會(huì)盜用這些信息,額外多申請(qǐng)幾張卡,以滿足運(yùn)營(yíng)商的一些績(jī)效考核制度。運(yùn)營(yíng)商對(duì)此是清楚的,所以他們會(huì)根據(jù)手機(jī)號(hào)的一些狀態(tài),來判斷是否存在虛報(bào)數(shù)量的情況。但是這個(gè)判斷,僅僅根據(jù)”在網(wǎng)狀態(tài)“來進(jìn)行,即便卡插在貓池里,也會(huì)被認(rèn)為是開機(jī)狀態(tài),就不會(huì)被認(rèn)為是虛報(bào)。
也有一些,是由于用戶的個(gè)人信息泄露,而被他人盜用,辦理了手機(jī)卡。尤其是虛擬運(yùn)營(yíng)商,網(wǎng)上申請(qǐng)手機(jī)號(hào),僅需要身份證號(hào)、姓名、一個(gè)在用的手機(jī)號(hào)以及手持身份證的圖片即可。而這些東西,都可以很容易在網(wǎng)上找到,或者在黑市里購買。
以上這些渠道,構(gòu)成了國(guó)內(nèi)虛假號(hào)碼最主要的三個(gè)來源。具體規(guī)模,我們尚不可知,根據(jù)這些來源,我們把虛假號(hào)碼分成兩大類:實(shí)名的,沒有實(shí)名的。實(shí)名的卡,也叫黑卡或?qū)嵜诳?,目前缺乏有效的發(fā)現(xiàn)和防控手段,這里先不提及。我們目前所說的虛假號(hào)碼,其實(shí)是這批沒有經(jīng)過實(shí)名的,從運(yùn)營(yíng)商內(nèi)部流出來的號(hào)碼。
五、虛假號(hào)碼的用途
前面雖然提到了虛假號(hào)碼的使用場(chǎng)景,但是并沒有全部說明虛假號(hào)碼的用途,這里匯總?cè)缦拢?/p>
一般的,平臺(tái)的的優(yōu)惠政策,諸如:紅包、返現(xiàn)、優(yōu)惠券等等,直接影響虛假號(hào)碼的數(shù)量和占比。
在和虛假號(hào)碼的對(duì)抗中,我們必須關(guān)注各個(gè)平臺(tái)的優(yōu)惠活動(dòng),優(yōu)質(zhì)的活動(dòng)必然引來羊毛黨的關(guān)注。而且,并不是每一個(gè)優(yōu)惠活動(dòng)都可以被薅,這需要我們投入一定的力量進(jìn)行分析。
比如,之前客戶反饋的一個(gè)案例,新用戶注冊(cè)之后,將得到80元的新手禮包,不能提現(xiàn),但是可以用于購買貴金屬。期間,羊毛單通過操作眾多賬號(hào),批量買入和拋出,80個(gè)賬號(hào)中,有79個(gè)都虧了,但是最后一個(gè),可以賺到很多。
如果不是事后的數(shù)據(jù)分析捕捉到這個(gè)異常行為,可能都不會(huì)意識(shí)到有如此走心的羊毛黨。
六、虛假號(hào)碼的防控
目前我們對(duì)虛假號(hào)碼的防護(hù),主要來源于黑名單,黑名單的規(guī)模,直接影響了防控的效果。我們對(duì)國(guó)內(nèi)所有的接碼平臺(tái)進(jìn)行監(jiān)控,7*24小時(shí)從這些平臺(tái)獲取虛假號(hào)碼的數(shù)據(jù)。接碼平臺(tái)也有一定的技術(shù)實(shí)力,也會(huì)對(duì)爬蟲進(jìn)行規(guī)避。我們用戶爬取的賬號(hào)平均有效期只有一周,大大增加了我們的工作難度。我們一直在對(duì)各個(gè)接碼平臺(tái)進(jìn)行監(jiān)控,保證我們數(shù)據(jù)的持續(xù)更新和有效。某些平臺(tái)迫于一些壓力,開始轉(zhuǎn)入地下,我們依然能夠通過強(qiáng)大的情報(bào)系統(tǒng)找到他們。
6.1 虛擬號(hào)碼的生存期限
由于虛假號(hào)碼不會(huì)進(jìn)行實(shí)名制登記,存活期一般在60~90天(根據(jù)不同的運(yùn)營(yíng)商而變化)。我們隨機(jī)抽取了一份虛假號(hào)碼樣本,在兩個(gè)月的時(shí)間內(nèi),對(duì)手機(jī)號(hào)的存活狀態(tài)進(jìn)行了一些監(jiān)測(cè),統(tǒng)計(jì)已經(jīng)失效的手機(jī)號(hào)占比,結(jié)果如下:
手機(jī)號(hào)狀態(tài)檢測(cè),是我們判斷虛假號(hào)碼最強(qiáng)有力的一種方式。每一個(gè)虛假號(hào)碼,都逃不過被強(qiáng)制停機(jī)的命運(yùn)。但是我們只能在手機(jī)號(hào)已經(jīng)停機(jī)或變成空號(hào)之后才能發(fā)現(xiàn),欺詐分子可能已經(jīng)利用它參與了很多欺詐活動(dòng),在實(shí)際的使用中,并不理想。
但手機(jī)號(hào)狀態(tài)檢測(cè),為我們驗(yàn)證各種猜想提供了可靠的依據(jù)。
6.2 基于設(shè)備關(guān)聯(lián)關(guān)系
復(fù)雜網(wǎng)絡(luò),是我們識(shí)別虛假號(hào)碼的方案中最為出色的一種?;谕茉O(shè)備指紋的海量覆蓋,我們對(duì)設(shè)備(安卓、IOS、PC等)進(jìn)行了唯一標(biāo)識(shí),通過這個(gè)設(shè)備進(jìn)行注冊(cè)、登陸、交易等活動(dòng)的手機(jī)號(hào),就與這個(gè)設(shè)備建立了關(guān)聯(lián)關(guān)系。
我們通過已知的虛假號(hào)碼,分析出曾經(jīng)使用過這些號(hào)碼的設(shè)備;再通過這些設(shè)備的唯一標(biāo)識(shí),去檢索與之關(guān)聯(lián)過的其他手機(jī)號(hào),順藤摸瓜,揪出了更多的高風(fēng)險(xiǎn)手機(jī)號(hào)。一般,散戶的羊毛黨只會(huì)有一到兩臺(tái)手機(jī)進(jìn)行操作;具備一定能力的團(tuán)伙,會(huì)使用數(shù)十臺(tái)甚至數(shù)百臺(tái)設(shè)備。
根據(jù)我們的目前的數(shù)據(jù)分析,通過復(fù)雜網(wǎng)絡(luò)分析出來的“可疑手機(jī)號(hào)”,風(fēng)險(xiǎn)概率高達(dá)99%,最終變?yōu)榭仗?hào)的概率接近90%。其中有少部分手機(jī)號(hào)是羊毛黨的真實(shí)手機(jī)號(hào),可以作為定位羊毛黨身份的重要依據(jù)。
一個(gè)電信的虛假號(hào)碼復(fù)雜網(wǎng)絡(luò)關(guān)聯(lián)效果如下:
6.3 實(shí)名制對(duì)虛假號(hào)碼的影響
手機(jī)號(hào)實(shí)名制,從2016年10月開始強(qiáng)制施行。之后的幾個(gè)月中,我們監(jiān)測(cè)的數(shù)十個(gè)接碼平臺(tái),相繼下線。但是虛假號(hào)碼的總體規(guī)模,依然保持在原有的水平。隨著三個(gè)運(yùn)營(yíng)商和虛擬運(yùn)營(yíng)商的內(nèi)部監(jiān)管越來越嚴(yán)格,國(guó)內(nèi)的虛假號(hào)碼數(shù)量會(huì)有所下降。但這并不代表虛假號(hào)碼會(huì)從此消失。
卡商們發(fā)現(xiàn),國(guó)內(nèi)的手機(jī)號(hào)獲取變得困難,就開始轉(zhuǎn)向了國(guó)外。尤其是東南亞一些國(guó)家,缺乏通信方面的監(jiān)管,就可以大批量購卡。剛好國(guó)內(nèi)的很多平臺(tái),逐步開放了國(guó)際注冊(cè),比如:微信,熊貓TV,映客等等。
總而言之,和欺詐分子的對(duì)抗中,虛假號(hào)碼占了很重要的角色。在不斷的對(duì)抗中,我們嘗試了各種各樣的方法去檢測(cè)、識(shí)別虛假號(hào)碼;同時(shí),黑產(chǎn)也在持續(xù)的裂變中,發(fā)明了很多規(guī)避檢測(cè)的手段。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 馬云現(xiàn)身支付寶20周年紀(jì)念日:AI將改變一切,但不意味著決定一切
- 萬事達(dá)卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長(zhǎng)風(fēng)萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會(huì)2023在上海開幕 攜手共建數(shù)智金融未來
- 移動(dòng)支付發(fā)展超預(yù)期:2022年交易額1.3萬億美元 注冊(cè)賬戶16億
- 定位“敏捷的財(cái)務(wù)收支管理平臺(tái)”,合思品牌升級(jí)發(fā)布會(huì)上釋放了哪些信號(hào)?
- 分貝通商旅+費(fèi)控+支付一體化戰(zhàn)略發(fā)布,一個(gè)平臺(tái)管理企業(yè)所有費(fèi)用支出
- IMF經(jīng)濟(jì)學(xué)家:加密資產(chǎn)背后的技術(shù)可以改善支付,增進(jìn)公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國(guó)銀行業(yè)祭出限額措施
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。