揭秘验证码平台背后的黑色产业链
11月8日,北京商报记者获悉,在网络盗号案中,警方破获了全国最大验证码平台——爱码案件,从而揭露了此类验证码平台背后的黑色产业链。包括爱码在内的平台通过介入验证码平台,使用插卡设备“猫池”,提供上万个网站项目的接收验证码服务,除了造成外卖平台数千万元的损失,还形成了欺诈行为。业内人士认为,这与电信实名制落实不彻底有很大关联。
新平台造就“羊毛党”
据了解,包括爱码在内的验证码平台的一大收入来源,就是钻外卖订餐平台及许多电商平台推出的优惠政策漏洞。很多平台为了保证注册用户的真实性,防止恶意注册和撞库登录等问题,都会在注册、登录模块设置短信验证码进行身份验证,比如饿了么、美团外卖、百度外卖等外卖平台都通过“首单优惠”政策用以拉新。
在这种商业模式下,利用验证码获取利益的互联网平台便滋生。由于普通用户手中一般只有一两个手机号码,平台上的一些优惠政策只能享受一两次,为了满足消费者“贪小便宜”的心理,一种叫做“猫池”的设备就被发明出来。
北京商报记者了解到,“猫池”就像一个能插多张手机卡的简易手机,可以理解为N卡N待,把大量的手机SIM卡插入“猫池”后,不管有没有实名或是否欠费,只要可以接收短信就可以使用。一台电脑可以连接几台“猫池”,每台“猫池”根据端口数量的不同,能同时插入8-64张手机SIM卡,就可以形成验证码接收平台,从而以新账号的姿态在各种平台上注册,成为所谓的新用户。
警方透露,由卡商购买“猫池”及手机卡,然后接到爱码这样的验证码平台上,手机号码注册电商平台或网站之后,卡商就会接收到验证码短信,打码后再传送给验证码平台,最后验证码平台将结果反馈给与此有连接服务的扫号软件,直接让黑客绕过短信验证实现撞库。
一些小型商家自己买“猫池”、收手机SIM卡,在QQ群里兜售接受验证码的服务,贪小便宜的外卖用户在搜索、QQ群等途径获知联系方式。北京商报记者在QQ平台上搜索“验证码”三个字后,出现几百个QQ群,如“手机验证码”、“验证码短信通道”、“九州卡商验证码”、“代接验证码”等QQ群。他们为用户提供手机号合作点外卖。以某外卖平台首单优惠20元来算,用户用黑卡订餐,付给刷手10元外,自己还能省下10元,为了天天吃上“很便宜”的外卖,许多普通用户成了黑卡平台获利的帮凶。
在网上,这种赚取小额返现奖励或者占取外卖平台便宜的角色被称为“羊毛党”,不仅是在外卖平台上,也在P2P网贷平台上。一些新平台上线,会推出注册就送50元等类似活动,吸引投资者注册,有些投资人会借几个身份证,一人注册多个账号,赚取小额奖励,这些小额奖励即所谓的“P2P羊毛”,对于那些活跃在各P2P平台上专门薅羊毛的投资者,业内称他们为“P2P羊毛党”。对于疯狂刷单型的羊毛党来说,通过“猫池”可以用几百个手机号、身份证、银行虚拟卡对同一活动狂薅。
验证码成诈骗工具
不过,零散的卡商只是验证码产业链中很小的一部分,像爱码一样的平台级卡商,手中往往握有几百万张手机SIM卡,可以提供9000多个网站项目的接收验证码服务。如上述类似骗取优惠的事例,在所有推出首单优惠的平台上都可以重复,在不良用户和验证码平台双方得利下,外卖平台的损失无疑非常严重,以700万手机黑卡计算,仅此一项给三大外卖平台带来的损失就高达数千万元。
阿里巴巴集团安全部合成作战中心高级安全专家璃珞透露,为了刷单和占优惠而购买服务的人,只占很小一部分。调用手机验证码的服务最终指向的都是大型电商平台,有15%-20%左右去“薅羊毛”(即享受优惠),70%是用这些手机号生成的账号来欺诈。
警方指出,在黑客绕过短信验证实现撞库后,个人信息和账户中的财产将无一幸免被盗走。爱码平台提供的服务项目大概有上万个,价格从0.1元到1元不等。去年10月破获的、半年之间涉案的、有历史记录的交易金额大概上千万元。据不完全统计,2015年互联网黑灰产业从业人员已超40万,比前年同比涨90%,规模据估过千亿元。
警方及互联网安全专家都认为,此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度。
电信实名仍是关键
“今年以来,电信运营商在实名制方面做了很多工作,但是在对于二级服务商的管理上,还是存在问题。”璃珞指出。正像上述所描述的,验证码平台可以获得几百万个手机号资源便是其中最重要的问题所在,因为按照电信实名制的规定,每个用户所能申请的手机号码数量是有限的。
在实名制还未被特别强调之前,黑卡大量存在,一些网购平台甚至明目张胆地进行号码买卖。产业观察家洪仕斌指出,非实名登记现象泛滥,很大一部分原因在于电信运营商靠渠道养卡、盲目追求用户数量,以前是三大运营商,近两年则是虚拟运营商。
北京商报记者调查了解到,自2014年移动转售业务启动,部分虚拟运营商走线上渠道吸引用户效果不理想,为盲目追求用户数量,便利用线下渠道养卡,即兜售给卡贩子,由此滋生了非实名卡、黑卡等乱象。由于许多虚拟运营商是轻资产企业,缺乏销售渠道,依靠单纯的线上渠道很难发展规模用户,只好靠线下的卡商、卡贩来分销。
今年9月,工信部、银监会、公安部等六部委联合发布了《关于防范和打击电信网络诈骗犯罪的通告》,对实名制落实提出了明确时间表,同时对电信运营商开卡给予了数量限制。洪仕斌认为,六部委出台的关于防范和打击电信网络诈骗犯罪的通告,规定电信实名认证年底要达到100%,到时此类验证码平台的生存环境就会差一些。