刷單需求形成灰色產(chǎn)業(yè)鏈 手機實名制漏洞流出千萬黑卡

本報記者 陳寶亮 北京報道

3月伊始，“小叁工作室”開始大量囤積手機卡。他們知道，月底全國會有數(shù)萬保險業(yè)員工四處尋覓這些手機卡，用于完成企業(yè)APP的用戶注冊量考核任務。屆時，這些0.1-0.2元使用一次的手機卡，甚至可以帶來5元以上的價值。

“小叁工作室”是一個依托APP注冊任務而生的刷單團體，其核心成員是一名上海黑客“小叁”（化名），該黑客逆向破解了平安集團的平安金管家APP，并打造了一個名為“f3322”的刷單平臺，通過虛擬機實現(xiàn)部分APP的虛假注冊。在該平臺，只需要錄入相關企業(yè)員工工號+注冊數(shù)量，自動可以輸出含有注冊手機號、密碼的表格。21世紀經(jīng)濟報道記者在此平臺用被泄露的員工工號測試，購買接近200個注冊量，僅需2次操作，每次操作可在1秒內(nèi)完成。目前，“小叁工作室”還給數(shù)百個代理商提供了平臺權限，后者成為“小叁”的刷單手。

2017年2月底，因為注冊任務激增，“小叁工作室”大多代理商出現(xiàn)斷號，注冊業(yè)務從最初的每個5毛漲至5元，但依然供不應求。

有了上個月的經(jīng)歷，嘗到甜頭的刷單手開始陸續(xù)囤積手機號，并籌劃在月底默契漲價，薅一把“羊毛”。2015年至今，“小叁”依托上述保險業(yè)相關APP注冊的盈利已經(jīng)超過2000萬元。

60%虛假注冊？

一位長期研究灰色產(chǎn)業(yè)人士白浪（化名）告訴記者：一些APP號稱過億的注冊用戶中，大半都是虛假注冊，這都是“f3322”這種平臺帶來的。需要指出，除“f3322”之外，業(yè)內(nèi)還有另外兩個類似平臺，其中一個名為“88886.ga”，三大平臺囊括了絕大多數(shù)刷單市場。

一位保險業(yè)員工向記者介紹，“APP最開始推廣的時候，我們都讓老客戶幫忙注冊。但APP對客戶沒有吸引力，部分老客戶不愿意下載、注冊，很快老用戶就不夠了。我們每個月開單也就1-2個，但APP注冊任務要求（每月）4-10個，新用戶也不夠完成任務?！痹搯T工介紹，注冊量的考核與各種業(yè)績、集團方案掛鉤，“如果業(yè)績達到鉆石標準，APP達不到，幾千塊的業(yè)績獎勵就沒有了，春節(jié)后還有開門紅獎勵，很多人都擠著買注冊。部門老大的任務如果完不成，整個部門都拿不到激勵方案，所以老大們一買就是幾百個?！痹搯T工“買過30-40個注冊，占總注冊量的60%，我在普通員工里屬于平均值”。

2月，恰逢春季開門紅。三大刷單平臺均出現(xiàn)供不應求，2月28日這天，大多代理商均接到數(shù)百、甚至上千個保險業(yè)員工的注冊任務。記者長期關注的多個刷單手均在3月1日凌晨發(fā)朋友圈表示，“完成了幾百個人的任務”。

在“f3322平臺”上，“小叁”還給部分長期大量合作的平安保險員工開設了VIP賬號。此外，“小叁”還在淘寶店鋪中開發(fā)了自動對接程序，可以從用戶留言中自動提取工號，從訂單中提取數(shù)量，注冊成功后發(fā)送給用戶，其店鋪旺旺名為PJ_2011。該店鋪在不到一個月的時間里達到4顆鉆石。

手機實名制漏洞不斷

“支撐‘小叁工作室’運行的基礎，是大面積流竄的手機黑卡”，白浪告訴記者：“目前，手里有十萬張卡以上的卡商，幾乎都做過刷單注冊。而且，小叁平臺每天都會有幾萬張卡上線，三家平臺，每個月需要幾百萬的卡?！?/p>

卡商，是圍繞三大運營商、虛擬運營商生存的養(yǎng)卡產(chǎn)業(yè)鏈。在電信行業(yè)，多數(shù)運營商員工為了完成每個月的開卡KPI任務不得不“批量開卡”、“養(yǎng)卡”。起初，由于實名制管理不嚴格，員工可以輕易批開成千上萬的手機卡。此類手機卡一度是電信詐騙的主要號碼來源。

2014年開始，工信部、公安部啟動打擊黑卡行動，對運營商嚴格要求實名制，運營商對各營業(yè)廳、渠道不斷改進實名制流程，實名制過程先后經(jīng)過了遠程掃描、營業(yè)廳終端掃身份證等過程。2017年1月1日，三大運營商開始陸續(xù)在營業(yè)廳、渠道安裝高拍儀，對實名認證啟動了人臉識別。

但遺憾的是，運營商每一次啟動的實名制監(jiān)管程序都難免有漏洞。以中國電信(微博)為例，2017年1月6日，中國電信集團簽發(fā)《關于二代身份證閱讀器控件升級及秘鑰控制功能上線的通知》，但在秘鑰上線的同時就有破解團隊稱“已獲取秘鑰”；中國聯(lián)通(微博)部署的高拍儀識別系統(tǒng)也被破解，有渠道商在激活手機卡時上傳了多個寵物圖片，依然能通過審核。

雖然目前所有手機號都已經(jīng)進行實名認證，但由于漏洞存在，卡商依然可以通過目前網(wǎng)上泄露的身份證信息批量開卡、激活。卡商、運營商員工濫用公民身份信息的同時，依然給電信詐騙留有通道。當然，絕大部分手機卡都被用于各類APP的虛假注冊、綁定等任務，成為“羊毛黨”的彈藥庫。

同時，在卡商與“羊毛黨”之間，還存在“接碼平臺”——大批量注冊時，人工讀取驗證碼效率極低，卡商普遍通過軟件平臺來批量提取短信驗證碼、語音驗證碼，這類平臺被稱為接碼平臺，目前市場上現(xiàn)存數(shù)十個接碼平臺。

以去年上線的“玉米”接碼平臺為例，21世紀經(jīng)濟報道記者在該平臺發(fā)現(xiàn)，有430多個卡商提供平安金管家注冊卡號，每個卡商都會對接20多個刷單手。除了平安金管家之外，京東商城、陌陌科技、攜程、百度糯米均有數(shù)百卡商對接。當然，除了此類公開平臺之外，記者還接觸到多個儲存了幾十萬、數(shù)百萬黑卡的私人平臺。2016年11月，警方曾破獲一個擁有700萬張手機卡的團隊。

黑卡孳生“羊毛黨”

“我們已經(jīng)標記了2000多萬張‘羊毛黨’經(jīng)常使用的黑卡。”錦佰安信息技術有限公司CEO馮繼強如是告訴記者，馮繼強是國內(nèi)早期黑客，目前知名網(wǎng)絡安全專家。2016年，通過與旅游平臺合作、在接碼平臺抓取數(shù)據(jù)、借助運營商系統(tǒng)分析，馮繼強收集整理了2000多萬張黑卡數(shù)據(jù)庫。錦佰安計劃今年將其數(shù)據(jù)庫打造成為防御“羊毛黨”的產(chǎn)品，正式面向企業(yè)推廣。

不過，需要指出，因為受成本限制，錦佰安并未能收集到全部的黑卡信息，這2000萬張黑卡并未涵蓋全部。21世紀經(jīng)濟報道記者從“f3322平臺”上獲取了接近200個手機號，經(jīng)測試，只有極少部分出現(xiàn)在錦佰安數(shù)據(jù)庫中。而且，大多卡商每個月都能從三大運營商開出成千上萬張黑卡。

“身份證、黑卡，成套的銀行卡、虛擬銀行卡，都是‘羊毛黨’的工具”，白浪告訴記者：“個人信息的大量泄漏、濫用造成了‘羊毛黨’的橫行，通過這些信息，‘羊毛黨’偽裝成真實用戶去參加互聯(lián)網(wǎng)金融、電商平臺、各大企業(yè)官網(wǎng)活動，批量套取返現(xiàn)、優(yōu)惠券等優(yōu)惠活動。”據(jù)記者了解，多家銀行、電商因為“羊毛黨”大規(guī)模套現(xiàn)取消了上線不到一周的活動。

最早的“羊毛黨”出現(xiàn)在Paypal進入中國時期，當時PayPal對新用戶贈送幾美元的政策吸引了大量投機者。2015-2016年間，Uber補貼成為“羊毛黨”爆發(fā)的節(jié)點，大量補貼的Uber最多一天被“薅”掉數(shù)千萬補貼，其后，盛行燒錢、補貼的互聯(lián)網(wǎng)金融、電商、O2O成為“羊毛黨”的圣地。如今，白浪告訴記者：“從業(yè)人員已達百萬級別，且還在持續(xù)增多，后面不知道多少人會從‘羊毛黨’走向黑產(chǎn)，這里誘惑太大了?！?/p>

值得一提的是，或許“羊毛黨”的泛濫刺激了通信行業(yè)的增長。根據(jù)工信部《通信運營業(yè)統(tǒng)計公報》，2015年，因為移動電話市場趨于飽和，全年用戶僅增長1964.5萬戶，包括北上廣在內(nèi)的10個省份移動電話普及率超過100%。但2016年，移動電話用戶又凈增了5054萬戶。 （編輯：林虹）