微信暗藏代收驗證碼服務被用作App虛假註冊、詐騙
“微信帶圈老號400元,探探女性賬號170元,男性賬號200元。”社交賬號銷售商“禾盛”說。記者調查發現,在賬號買賣黑產鏈條中,以銷售商身份存在的“禾盛”只是一個變現末端。位於該黑產上游,藏匿於微信公眾號之中的接碼平台被暴露出來。
所謂接碼平台,即接收驗證碼的平台,只不過用的並非自己的手機卡。陳淼(化名)的櫃檯中擺著大量“註冊卡”。“不能打電話,不過可以接短信。”
像陳淼這樣的卡販子,在業內被稱為“卡商”。據接近黑產人士透露,黑產人員只需要通過卡商和接碼平台即可獲得手機號和驗證碼,再利用自動化程序工具,即可完成整個註冊流程。目前,不少接碼平台已“入駐”微信公眾號,通過他們,可以在短時間內註冊多個App的賬號。接碼平台的下游包括“薅羊毛”和電信詐騙等多種黑灰產。前者,曾讓不少大型企業損失慘重;後者,則常見於備受關注的網絡“殺豬盤”等戀愛賭博騙局。
買賣微信、探探、婚戀網賬號,黑產愛盯“婚戀粉”
“(出售)各種婚戀網、相親、社交賬號。”在一個賬號交易QQ群中,暱稱為“禾盛賬號售賣中心”(下稱“禾盛”)的用戶發布了一則廣告。
禾盛在廣告中稱,世紀佳緣、珍愛網、抖音、快手等多個社交平台的賬號均有售,作為陌生人社交巨頭的探探、陌陌和微信賬號也在他的“業務範圍”內。
“微信帶圈(即朋友圈)老號400元,探探女性賬號170元,男性賬號200元,可定制。”據禾盛介紹,所謂的“定制”便是客戶可以指定圖片,他們負責作出數據和回复匹配。
另一名暱稱為“冰果”的銷售商表示,“珍愛網賬號新號300元,帶會員550元;老號550元,帶會員850元。世紀佳緣帶會員150元。”
新京報記者近日加入多個黑產行業交流群發現,有關賬號買賣的廣告仍然近乎刷屏。除了QQ,閒魚上此類信息也不少。記者在閒魚上看到大量與世紀佳緣等賬號買賣有關的商品展示框。
買賣這些賬號幹什麼呢?“殺豬。”簡單兩個字,是婚戀網站賬號賣家李峰(化名)給出的答案。
往往,受害者通過社交網站結識近乎完美的婚戀對象,在“戀人”的蠱惑下參與網絡博彩,最終全部積蓄和借款在充值進博彩賬戶後,與“戀人”一起消失。在犯罪分子看來,受害者只不過是用所謂“愛情”圈養的“豬”,養肥了自然要“殺掉”。這種騙局被取了個很形象又殘酷的名字——“殺豬盤”。
有黑產人士直言,通過婚戀社交平台賬號吸收的粉絲,在圈內的行話為“婚戀粉”。因婚戀粉黏性大,變現能力強,在黑產中“備受歡迎”。直白來講,就是實施詐騙更容易。
“是不是覺得我跟傻子似的,我自己都覺得我傻。”受害者張穎(化名)去年八月份在婚戀網站與一名自稱“王俊凱”的網友結識。“王俊凱”的顏值加之每天對張穎噓寒問暖,張穎迅速墜入情網,最終被騙走18萬。據張穎描述,對方一直避免與她視頻,她懷疑,照片本來就是假的。
李峰透露,目前該產業鏈已經模塊化發展。“批量註冊賬號的是一批人,被稱為註冊商;銷售賬號的是一批人,即銷售商;對賬號進行實名認證的又是一批人,被稱為認證商。”
李峰即銷售商中的一員。每個號花80元從上家提貨,再以100元的價格賣出,李峰買賣每個號可以獲得20元的利潤。“我出售的都是裸號,也就是未經認證的賬號。”李峰介紹,剛剛踏入此行不久的他每天可以收入幾百元。
微信暗藏驗證碼服務,一條驗證碼約一元
李峰提及的註冊商還有一個名字——“造號黨”。在“造號黨”之上,還存在接碼平台、卡商等多個利益鏈條。
對多數人來說,接碼平台是個較為陌生的詞彙。按照字面意思,可簡單解釋為“接收驗證碼的平台。”在黑產從業者的眼中,接碼平台被認為是“黑灰產的入門武器”,下游可對接詐騙、薅羊毛、刷單、水軍等多個黑灰產。
新京報記者調查發現,不少接碼平台已經“入駐”微信公眾號。
“本店主打短信加語音碼子。”記者通過一個名為“接碼卡商驗證碼收短信業務收語音”的公眾號與“海洋”取得了聯繫。“(每接一條驗證碼)探探1.2元,soul1元,陌陌1.5元,微信4元。”“海洋”表示。
“海洋”介紹,具體操作流程為,付款之後,他提供一個手機號,記者將手機號導入到各大App後點擊“發送驗證碼”,他便會將驗證碼發送過來。通過“海洋”發送過來的驗證碼,記者嘗試在探探等平台上輸入簡單信息後,便可註冊成功。整個過程,通常不會超過一分鐘。
在交流過程中,“海洋”頗小心,為了規避微信監管,他並不會在聊天中提及“驗證碼”三個字。當記者向其要驗證碼時,他要求,“不要說那三個字,可隨便用其他來代替。”
公安部門對驗證碼黑產的打擊在加大。公安部公佈的2018年9起打擊整治網絡亂象典型案例之中,就有全國首次出現通過運營商服務器批量獲取電話“黑卡”及驗證碼的犯罪模式。
據媒體報導,該網絡黑灰產團伙與廣西、貴州、四川等多省份運營商“內鬼”勾結,利用未投入市場未激活的“空號卡”,搭建平台連通運營商服務器用以註冊賬號、收發驗證碼。該公司將“空手機號+驗證碼短信”上傳至接碼平台,銷售給數十個“黑卡”卡商團伙,以供這些團伙註冊微信等互聯網平台賬號,進而實施刷粉刷量、詐騙、發布黃賭毒信息、網絡招嫖等違法犯罪行為。
今年7月,廣東省公安廳網警總隊偵破全國首例打擊預裝手機後門獲取驗證碼註冊網絡賬號的網絡黑產案件。經偵查,深圳某科技有限公司為多家雜牌手機廠商提供終端系統方案,在未出廠的手機操作系統底層植入木馬黑客程序,只要用戶買了手機插入電話卡,在不知情的情況下,其手機號碼即被黑客程序控制。此外,該公司還搭建多個接收手機驗證碼平台,結合事先植入手機操作系統底層的木馬黑客程序,把接收到的手機號碼和短信驗證碼用於為下游黑產團伙提供各類網絡賬號註冊服務,每次接碼服務費為0.4元至2.5元。經騰訊守護者計劃安全團隊技術分析,短信驗證碼回傳後,後台即刪除、屏蔽相關短信,導致手機用戶無法發現自身號碼已被他人利用註冊了網絡賬號。
一張註冊卡約10元,多用於電信詐騙、薅羊毛
根據騰訊發布的《互聯網賬號惡意註冊黑產產業治理報告》,卡商是惡意註冊產業鏈條的源頭。“卡商就是註冊卡販子。”一位接近黑產人士告訴新京報記者說。
據記者調查,因所需手機卡數量龐大,默認關閉語音功能、資費超低的註冊卡受到這些黑產從業者的青睞。“他們用貓池來做群控,可以實現多張手機卡同時作業。”上述接近黑產的人士表示。貓池即一種電子設備,在上面可以插多張手機黑卡。通過貓池可用手機卡接收驗證碼,也可蓄養大量虛擬賬號。
一般而言,卡商直接跟接碼平台合作,通過貓池將驗證碼自動發給接碼平台,接碼平台向“卡商”支付報酬,每條信息收費在1角至3元不等,卡商基本能“足不出戶,月入過萬”。
在北京某二手手機交易市場的地下,陳淼(化名)面前的玻璃櫃檯中雜亂地擺放著一摞白色的卡片。“註冊卡12元一張,數量多的話價格好商量。”
新京報記者在陳淼的攤位看到,除卡片全身素白外,和日常使用的手機卡並無二樣。“這就是註冊卡,不能打電話,不過可以接短信。”陳淼抬頭望了一眼暗訪的記者後,指著這摞白色卡片說,“可以用來註冊賬號,有了賬號想幹嗎就乾嗎。你如果想要的話,我可以給你發快遞。”
不過,陳淼並不願意透露這些註冊卡是怎麼來的。一位黑產研究人士Jane(化名)向新京報記者表示,這些卡中有相當一部分為物聯網卡,還有的是虛擬號卡。
“物聯網卡是通過代理商銷售並激活的,並非運營商。”一位天津的手機店老闆李通(化名)告訴新京報記者。據李通介紹,“一般來講,這些物聯網卡是嚴禁在手機上使用的,但是目前卻被包裝成手機流量卡流向市場。”
記者走訪了北京兩個二手手機賣場,發現其中均有註冊卡賣家,價位在十元上下。在多個QQ群和微信群,記者也發現註冊卡賣家發布的廣告。
《互聯網賬號惡意註冊黑產產業治理報告》中指出,惡意註冊是下游網絡犯罪的上游源頭行為。
以惡意註冊行為為核心,上游有提供手機卡號的號商,他們通過包括物聯網卡、個別虛擬運營商流出的非實名號、黑產人員與個別運營商工作人員勾結流出的非實名號,以及其他非實名白號和虛假實名號,提供給下游用於註冊信息;提供短信驗證碼或語音驗證碼的接碼平台,提供圖像和滑塊驗證碼的打碼平台,提供公民個人信息和企業註冊信息的“料商”,這些人分別提供了資源用於作為註冊信息和身份綁定信息,供應註冊行為人進行註冊行為。在註冊行為完成後,號商會進行養號從而提升號碼的價格和防止被安全措施封禁,並最終提供給下游,用於多種下游黑灰產業。
下游的黑灰產業,首先就是用於詐騙等犯罪場景。例如上文提到殺豬盤、美女詐騙、荐股類詐騙等,這些賬號顯然不是真實身份註冊的。此外,惡意賬號還可能被黑產人士用於薅羊毛,刷粉、刷量和刷單炒信等虛假流量行為,廣告營銷,其他違法或灰色行為。
電子商務研究中心主任曹磊此前在接受媒體採訪時表示,國內“羊毛黨”已經形成了組織化程度極高的黑灰產組織。上到BAT,下到初創的互聯網公司,只要舉辦市場活動,都可能面臨“羊毛黨”的巨大威脅。
專家:需要對監管責任主體進一步明確
11月19日,最高人民法院發布《司法大數據專題報告:網絡犯罪特點和趨勢》顯示,2016年至2018年,網絡詐騙案件被告人主要利用的虛擬犯罪工具為微信、QQ、支付寶等,佔比分別為42.21%、35.23%、15.28%。利用微信實施詐騙的案件在全部網絡詐騙案件中的佔比逐年快速提高,到2017年已有赶超QQ之勢。微信的普及使其成為2018年網絡詐騙犯罪分子使用較為頻繁的工具。
報告還指出,被告人在實施網絡詐騙案件時,以冒充他人身份來欺騙受害者的案件佔比最高,約佔31.52%。
平台加強監管被認為是斬斷黑產利益鏈的重要方式之一。“弱監管是很多平台存在的問題,這讓他們(黑產從業者)能夠直接在上面去發布廣告,聯繫客戶。通過設置關鍵詞等方式來加強信息審核或許不失為改善這個問題的一個突破口。”一位黑產研究人士稱。
有律師向新京報記者表示,“平台監管缺位為不法分子留下了空間,嚴格落實實名制度有利於減少信息洩露事件發生。”
多名專家表示,要打擊這類黑產,最有效的方式是直接打掉其產業鏈上游的惡意註冊工具提供商。
早在2016年9月,工信部、銀監會、公安部等六部門聯合發布《關於防範和打擊電信網絡詐騙犯罪的通告》,對電話實名制落實提出了明確時間表,同時對電信運營商開卡給予了數量限制。據媒體報導,參與偵破當時最大驗證碼平台“愛碼”案的沈勇認為,這將從根本上遏制此類平台(即接碼平台)的發展。
據介紹,成規模的卡商,往往握有幾百萬張手機SIM卡,通過介入驗證碼平台,可提供上萬個網站項目的接收驗證碼服務。“當時我們發現愛碼平台提供的服務項目大概有上萬個,價格從一毛到一塊不等。半年之間涉案的有歷史記錄的交易金額大概上千萬。”沈勇說。
近年來,監管一直在加大對源頭卡商的打擊。去年3月,黃埔警方在東區街、蘿崗街、長洲街搗毀3個“卡商”窩點,抓獲5名犯罪嫌疑人,繳獲作案用的電腦30多台、貓池100多套、手機卡40000多張等。據嫌疑人供述,大量的無名手機卡主要來自以企業或單位名義購買的手機卡,俗稱“企業卡”。此類手機卡登記在不同企業名下,多數只有接聽來電、收發信息的功能。嫌疑人利用“企業卡”無個人實名登記的特點,為需要規避實名制的各類“客戶”(大部分是實施電信詐騙的不法分子)提供服務。
網絡黑產不斷蔓延,河北省電子商務法研究會副會長兼秘書長、河北工程大學副教授馬三軍認為急需對相關電子商務運營平台進行強監管。“這需要對監管責任主體進一步明確,而今年1月1日剛施行的《電子商務法》並未規定具體的監管部門與職責劃分,僅是一般性規定,在實踐中缺乏可操作性,這需要相關部門適時出台相關配套法規或細則來進一步完善;另外網絡交易的取證難對監管也形成了新挑戰,這方面需要在加強行業自律和創新監管方式上付出更多努力。”