刷粉、炒信、薅羊毛菠菜周边“黑账号”批量注册网络黑产之源
移动社交的快速发展,给网民带来便捷体验同时,也滋生了刷粉、炒信、“薅羊毛”、精准诈骗等互联网黑产。
在整个利益链条中,“黑账号”恶意注册已经成为黑产之源。恶意注册背后隐藏着哪些猫腻?
给网民哪些生活场景带来影响?如何与黑产打好这场攻防战?围绕这些焦点话题,近日推出“透视‘黑账号’恶意注册产业链”系列报道。
透视菠菜周边“黑账号”批量注册产业链(上)
利用大量账号加好友聊天,以美女作头像情感诱惑,在建立一定感情基础后,向用户出售根本不值钱的茶叶等商品,事实上,这些账号并不是真实用户的身份注册;有些用户被莫名拉入荐股群,里面各种鼓吹专家,却暗藏着荐股诈骗,大部分账号可能都是由同一个人或同一个团伙控制;老人机自带的微信软件可能是没有授权的“李鬼”版微信,会不时冒出海外代购等小广告,原来软件加密网络传输协议曾被人破解……
这些被不法分子盯上的生活场景,其实都是源于“黑账号”的恶意注册。“互联网账号恶意注册黑色产业正是互联网违法犯罪的源头行为,关涉国家通信及互联网实名制规则的落实,涉及公民信息的非法获取提供,以及下游网络犯罪及黑灰产业提供帮助行为。”最高人民检察院公诉厅副厅长张相军说。
在互联网犯罪的利益链条中,账号恶意注册扮演这什么角色?注册后会给用户带来哪些危害?
黑会产使用的猫池工具,猫池是将相当数量的Modem使用特殊的拨号请求接入设备连接在一起,可以同时接受多个用户拨号连接的设备
黑账号“匿名隐身”实现批量注册、养号
在互联网世界里,每个人都需要有身份账号,而寄生在互联网生态中的黑灰产业,则需要大量账号为他们提供网络身份,从而牟取利益、隐蔽真实身份,特别是菠菜行业,这就催生了恶意注册以及养号的黑色产业。
在近日举办的互联网账号恶意注册黑色产业治理主题论坛论坛上,腾讯推出的《互联网账号恶意注册黑色产业治理报告》中提到,“恶意注册”是指不以正常使用为目的,违反国家规定和平台注册规则,利用多种途径取得的手机卡号等作为注册资料,使用虚假的或非法取得的身份信息,突破互联网安全防护措施,以手动方式或通过程序、工具自动进行,批量创设网络账号的行为。
其实,广义的“恶意注册”还包括注册之后的“养号”。因为账号一旦被识别为恶意注册,就可能会被限权或封禁。于是,黑灰产人员就想尽办法将账号养活、养贵。“从‘料商’手中获取身份证号、银行卡等,与公民个人信息进行账号绑定,继续通过自动化程序工具,模拟正常账号的状态,每天进行常用操作,比如浏览新闻、购买商品、加好友等,防止被封禁。”腾讯安全管理部网络安全与犯罪研究基地首席研究员门美子说。
“网络犯罪持续呈现大幅上升态势,恶意注册黑产成为滋生助长互联网犯罪的核心利益链条之一。”公安部网络安全保卫局研发中心主任许剑卓说。从目前来看,恶意注册和养号已形成上下游分工明确的产业链,黑灰产人员只需通过卡商和接码平台,即可获得手机号和验证码;而接码平台则是利用猫池、群控等工具,接收来自互联网平台下发的短信或语音验证码,并向账号实施者提供。
“‘恶意注册’‘养号’成了网络黑灰产之源。为突破互联网平台的安全防护措施,账号注册者会使用改机工具,伪造设备硬件信息,使用动态IP拨号工具等,伪造网络环境,利用自动化攻击完成整个注册流程。”门美子说。
产业链下游:刷粉、炒信、“薅羊毛”
对于“黑账号”恶意注册带来的危害,京东集团首席合规官李娅云感受深刻。她说,京东平台上每天都会接收大量的机器注册账号,它们甚至使用各类软件批量注册,一天注册有几百万甚至上千万。
“黑账号”恶意注册后会发生什么?李娅云说,比较普遍的是刷信任红包,比如,用户首次注册时会有一个188元的新人礼包,以及各式各样的优惠券,黑产人员拿到账号后可以进行批量下单;还有恶意占库存,比如,同款产品可能多个商家售卖,不法分子瞬间把商家产品全部秒光但不付款,利用下单到付款的时间差距把库存占住。
其次是“薅羊毛”。门美子介绍,一些电商、互联网金融服务平台会不定期发放小额优惠策略,目的在于积累用户数量,但黑灰产人员不以真实消费为目的,囤积大量账号配合一些快速自动化工具,迅速采集小额优惠或返利。某电商平台的统计,大概有70%到80%的优惠券没有被真正想要消费的人领走,而是被专门薅羊毛的“羊毛党”薅走。
一排两米左右的铁架子上摆放着近百部手机,这些手机多是廉价新手机和二手机,接入后可以同时进行操作。(记者 李政葳/摄)
“利用批量注册账号来‘薅羊毛’,体现较多的就是某一个产品在标价时标错了,但却在零点零几秒的时间内就被瞬间买光,如果商家不发货对方就要求索赔。曾经因为这么一个案例,我们导致了上千万的损失。”李娅云说。
另外,恶意注册也滋生了刷粉刷量和刷单炒信等虚假流量行为,成了互联网诚信体系建设的一大毒瘤。“不仅间接影响内容评价体系,还会因为流量直接与广告商支付的成本相关,导致广告商因虚假流量而虚增成本支出,甚至会间接影响平台吸引广告商投入的热情,导致平台利益受损。现在已经有了内容平台状告‘刷量’公司胜诉的民事判决案例。”门美子说。
产业链上游的手机黑卡、公民信息从哪来?
从上游卡商、接码平台、恶意注册到下游的刷单、炒信、“薅羊毛”等危害场景,已经形成了完成的产业链条。或许很多人也在疑惑:“黑灰产用于恶意注册的手机黑卡从哪来”?
“大部分的注册场景都是通过手机号完成,在全国实行通信号码实名制规则后,恶意注册使用的是规避实名制的手机黑卡。”门美子说。
今年8月份,互联网公司协助广西、湖南公安机关侦破“长沙线尚网络科技有限公司”破坏计算机信息系统案中,这家黑产公司与多省运营商勾结,利用未投入市场未激活的“空号卡”,搭建平台运营商服务器用以注册帐号、收发验证码,被非法使用的“空号卡”超百万张。这也是全国首次出现通过运营商服务器批量获取电话“黑卡”及验证码的犯罪案例。
而这些黑卡来源包括:大量物联网卡、个别实名制责任落实不规范的虚拟运营商流出的黑卡、黑产人员与个别运营商勾结取得的非实名手机卡,以及其他未实名或者是虚假实名的手机号码。这些号码的共同特点是,无法实现手机号码信息与实际使用人的对应关系。
这些公民、企业的信息从哪来?门美子说,除了最常见的黑客手段直接获取和黑市交易信息外,很多公民、企业信息来自一些公开场景或公民自愿出售;另外,就是一些需要用到实体资料照片的场景,黑产人员也会利用软件,直接伪造证件照片和身份验证视频。
【科普】
◆卡商:
是指提供注册所需的手机卡号。大部分场景下,卡商会通过各种途径收集取得手机卡号提供给下游产业链,基于互联网平台将手机号码作为必不可少的注册信息,卡商也成为恶意注册和养号的重要源头之一。
物联网卡:主要用于加载针对智能硬件和物联网设备的专业化功能,满足智能硬件和物联网行业对设备联网的管理需求,以及公司连锁企业移动信息化应用需求。广泛应用在医疗健康、车联网、智能可穿戴设备、智能家居、移动传媒、无线POS机等。
“虚拟运营商”非实名卡:来源于虚拟运营商发行的非实名卡。虚拟运营商与实体运营商在某些业务上形成合作,实体运营商按一定比例把业务交给虚拟运营商。相较实体运营商,虚拟运营商存在实名制落实不到位、违规率高的情况。
其他未实名“白号”:在对部分恶意注册案例梳理后,发现部分手机号码的来源是黑产人员和个别运营商勾结后取得的,运营商后台存在大量未出售和已收回的停机号码,恶意注册黑产人员与其勾结,利用这些号码库存进行短信收发和注册。
虚拟个人实名卡:黑产人员通过盗窃、钓鱼、黑客等手段非法取得公民个人信息后,将信息注册成实体卡,以规避实名制要求,为下游网络诈骗等提供隐蔽条件。
◆接码平台:
在黑灰产业链中,接码平台与卡商和恶意注册直接相连,是恶意注册和养号链条中最重要的参与方式之一。接码平台核心功能是取得注册过程中互联网平台下发的短信或语言安全验证流程,基于实名制规范要求,互联网平台大多数采取“手机号+下行或上行短信验证码”方式进行用户鉴权,在验证了短信验证码后才能完成注册。接码平台就起到了关键作用:接码平台使用“猫池”工具养了大量手机卡,用于接受验证码并反馈给注册群体,完成验证过程。
◆打码平台:
在部分产品和场景(如发现用户进行异地登录或更换设备登录)下,注册或登录还可能出现除了短信、语音验证码之外的验证环节,例如,字符、图像识别、滑块验证码识别等,此时就有专门的打码平台接受注册者需求,为其提供打码服务,用于自动化识别各类验证码。
◆群控系统:
群控系统是为了绕过平台对设备的检测,通过电脑同时控制多部移动设备,使其按照既定的脚本指定操作。对于账号验证部分可以集合滑动验证,自动获取手机号、验证码、随机聊天等操作。群控是恶意注册和养号常见工具,目前已发展为更方便的云控(不用固定连接某台电脑,通过浏览器下达命令,控制上千部手机),和租借手机资源(不实际持有手机,借用别人的手机远程执行脚本注册账号)的模式,恶意注册的准入门槛逐步降低。
◆料商:
通过各类非法渠道搜集个人姓名、身份证号、银行卡号、企业工商主体等各类身份信息,通过整理形成相关数据库,面向黑产养号人员进行出售。各类“真实”的身份信息使得养号的过程更加高效。
◆号商:
号商会大批注册、持有某些平台的账号,专注于出售各种类型和属性的账号。至今,号商已形成规模化、自动化、团伙化的账号注册、养号、销售盈利的流程,和能够支撑下游快速、大量、长期消耗的运营模式。号商之下的各级代理则是通过网站、论坛、社交群组等多个渠道和方式分发账号资源等,类似中介。