起底灰产:10小时撸走拼多多1个亿的存在
2018年7月26日,拼多多赴美国上市,创始人黄峥说,阿里受过的苦我们都得受一遍。6个月后这句话就应验了,而且是更大的苦,价值近一个亿。
2019年1月20日,拼多多也像曾经的阿里以及其他互联网公司们一样被灰产盯上了。当日凌晨,有消息称拼多多可以无限制领取100元的通用优惠券,随后大批羊毛党蜂拥而至,迅速领取并用于话费、虚拟货币等商品并达成交易。
据悉,有人薅了太多,因为害怕,秉持着法不责众的心理,于凌晨5点左右,将消息从羊毛党内部群扩散到公开渠道,引发第二轮抢券高潮。一直到当日上午10点,该漏洞才被拼多多最终修复。彼时,有用户宣称已充值超过50万。
拼多多发布的公告显示,“有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券”。
拼多多说的没错,这件事很明显都是灰产大军的痕迹。
但最令人吃惊的是:这都2019年了,各大平台对灰产的防备还如此鸡肋。
甚至于很多的互联网从业者,对灰产的了解也少之又少。
有人的地方就有江湖,有羊毛的地方就有羊毛党。
当然,灰产大军可远远不止羊毛党,微信、淘宝、外卖平台、电商、互联网金融、打车平台等等,所有你可能想到的领域,都由灰产的存在。
每一个互联网平台的阴影下,都有一批灰产大军在伺机而动,他们有组织、有纪律,他们无时无刻不在程序化、有条不紊地行动着,更可怕的,如病毒一般,灰产大军会随你一起进化。
一、你的身份信息还安全么
如今,为了响应国家的政策,同样也为了规避恶意使用平台资源,很多互联网平台都有这个意识,那就是实名注册,用户除了填写基本信息之外,还要实名认证,就是要上传身份证照片等信息。
在普通人眼里,这些很麻烦,很多人甚至因为嫌实名认证麻烦,而放弃注册。但是,在灰产大军面前,这一切都显得轻松自然。
打开文件夹,里面是各类人的身份证照片、银行卡卡号。
甚至很多内部人员也不知道这些资料具体出自哪里,他们也不清楚到底有多少人在非法使用这些资料,他们也不想知道,他们只清楚,1毛钱就能买一个人的信息,这对他们来说便利了很多。
他们想实名认证多少就实名认证多少。
现如今,互联网早已融入了我们的生活,隐私看似已经不那么重要了,因为很多APP都在悄悄收集我们的信息,我们毫无招架之力。日光之下,并无新事。我亲身经历,一个巨头互联网公司都会恶意获得权限,收集我的数据,不敢想那些小公司会拿我的隐私做些什么勾当。
不知道大家有没有听说过社工库,全称社会工程学数据库,英文是Social Engineering Database。这个名字是传奇黑客Kevin David Mitnick提出的。
这个人有多牛,曾经侵入过北美空中防护指挥系统,被联邦调查局注意到,后来又侵入联邦调查局的网络系统,尴尬地发现联邦调查局正在调查的黑客就是自己。
而且,他是世界上第一个因网络犯罪而入狱的个人。
简言之,社工库就是一个黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方。
这些用户数据大部分来自以前黑客们拖库撞库获得的数据包,包含的数据类型除了账号密码外,还包含被攻击网站所属不同行业所带来的附加数据。
比如,酒店类网站数据泄露,所泄露的开房数据;订票类网站,所泄露的火车飞机票数据;购物类网站,泄露的银行卡数据和交易数据等等。
所以,恐怖的事情就在这。
黑客对数据进行整理后,就能知道一个人的姓名、身份证号、照片、住在哪里、工作单位、经常买什么、吃什么、一般去哪里旅游、收入水平多少、看什么类型的电影、去什么档次的餐馆,看什么类型的书……
这基本上已经是一张较为简略的用户画像了。
如果再深入一点,或者说如果黑客觉得你有价值,再利用一些手段,侵入对应账户的移动端,也就是你的手机,又可以通过你的短信,通讯录,即时通讯应用的聊天记录得到你的人际关系网。
那么这张用户画像,会越来越清晰,也就是所谓的:你在互联网上留下的数据比你妈更了解你。
当然了,如今的APP已经开始明目张胆地这么做了。
你不给我?那就别用。就是这么不要脸~
二、灰产里的常青树之卡商
早在2013年9月1日,电话实名制已经开始实施。
2015年9月1日,进一步加强管控,非实名用户可能被停机。
那这些卡商的手机卡从何而来?
大部分来自物联卡。
何为物联卡,某百科给的解释:
物联卡,是运营商为物流网服务企业提供的用于智能终端设备联网的,仅面对企业用户进行批量销售,广泛用于共享单车、移动支付、智能城市、自动售卖机等领域,不面向个人用户。
换言之,只要是有营业执照的企业,哪怕是个皮包公司,都可以批量申请。
0月租,能接发短信,能接电话。
而大多数地区的相关营业厅,对大批量购买物联卡用来干什么,心知肚明。
但秉承着存在即合理,利益至上的原则,营业厅对此缄言不语。
除了物联卡,东南亚国家的境外卡,同样是无需实名的完美替代品。
那如果一定要实名制的手机卡怎么办?
第一、虚拟运营商
虚拟运营商包括很多家,但是号段分布都是一样的,1703.1705.1706是用的移动网络。1704.1707.1708.1709和171号段是用的中国联通网络。电信的就是1700.1701.1702。
这些实名可以在网络上购买手机卡的时候完成,这就可以用上我们第一部分讲的身份信息,大多数可以直接上传身份证照片通过认证(现在很多需要视频人脸认证)。
第二、真人实名注册
这里插播一个小故事
2016年,网贷开始风靡互联网,尤其是医疗美容方面的贷款,异常火爆。
许多小平台都想分一杯羹,可惜螳螂捕蝉黄雀在后,这一下就被灰产大军抓到了漏洞。
灰产大军先和医疗美容机构串通好,约定分成。
然后租一辆大巴车,到农村招呼大妈,免费到xx地旅游。跟送盆送鸡蛋然后卖净水器差不了多少。
等拉到地儿,让大妈们排着队申请贷款。然后再假装做个小手术拍个照片,就把大妈送回了家。
贷款是直接打到医疗美容机构的账户,灰产大军分完了钱,拍拍屁股就走了,村里的大妈们还浑然不知。
网贷平台想找大妈还钱?门都没,我没借钱,也不在乎什么征信。
来硬的?来,进村聊。
就这样,整个行业,光这种医疗美容贷款,就被灰产大军薅掉了15个亿。
说到这里,这个手机卡知道怎么来的了么。就是把贷款换成了办手机卡。
当然这么搞的不多,毕竟其他渠道更方便快捷。
上边所说的是实卡操作,还有不用卡的操作,这就轮到另一批灰产大军登场了,下段我们再聊。
三、接码平台和打码平台
接码平台,是代接各种网站、APP注册的手机短信验证码,甚至支持API接入。
网站APP要绑定手机号?又不想办实卡?
不用担心,接码平台来帮您。一搜一大堆平台,你就知道这个灰产大军有多庞大了。
那一个新手机号的注册短信验证码多少钱呢?
不要998,不要668,只要1毛钱。
而这些接码平台,有的用群控,有的用猫池。
群控,分为线控及云控。可以用一台电脑控制上百部手机,实现上百部手机同时同步操作。群控在2017年非常火爆,很多人都了解过,买大批的二手廉价安卓手机,买一个群控系统,就可以开工了。
大部分灰产大军里的羊毛党就是用群控注册APP拉人头、薅羊毛。
还有一种是猫池,猫池(外文名:ModemPOOL)就是将相当数量的Modem使用特殊的拨号请求接入设备连接在一起,可以同时接受多个用户拨号连接的设备。
这种叫做“猫池”的高科技装备,只是一台机器,不需要屏幕,一次能插入上百张SIM卡,“虚拟”出几百台手机,通过一个软件就能集中控制群发短信、自动上网、还能相互“拨打电话”。
和之前的群控相比,猫池显然更专业,技术含量更高。
而且它有一个很容易操作的薅羊毛手段,那就是从移动运营商处骗钱。
这个源头其实还是在于运营商的KPI(业绩)考核机制,即每个的营业厅和代理商都有着开卡的数量要求,这个大家很容易就理解了。
那这种利用猫池,虚拟出短信、电话、上网等行为,使得运营商后台以为正常开卡,从而给予下游全额补贴,这就叫做“猫池养卡”。
从技术层面讲,猫池的先进程度绝对超出你的想象,支持256卡256待、具备LTE-A的4G+连接能力,连接最新规格的运营商网络,甚至还有VOLTE高清通话。不得不感叹猫池的研发厂商真的是把高智商用在了歪心思上。
打码平台
打码平台,就是利用图像识别技术,对付那些烦人的图片验证码信息。这个系统可自动识别图片单词、数字,做简单的计算,让大家免去输入验证信息的烦恼。
很多简单的字符验证码直接使用简单的OCR识别工具就可以识别,稍微复杂的可以结合机器学习等进行高准确率的识别。
为了对付这些灰产大军的验证码自动识别,网站也不是吃素的,因而又产生了一些较复杂的验证码,比如这种奇葩:
针对这种需求,人工打码平台就产生了,他们通过组织真实的人来进行识别,并提交验证结果。
根据调查发现,这种平台的佣工打100个验证码即可获得1元。
整个流程就是灰产大军会在打码平台注册账号并充值,通过打码平台提供的API接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈。
四、IP
现在大部分的网站、APP注册,都是防IP机制,这就牵扯到了换IP。这个相信都知道,就不说了。
灰产大军如此厉害,那对于企业,只能撅着屁股等挨打么?
不然,对于企业来说,同样有应对的法宝
一、建立风控系统。通过用户设备的编号、地址、网络ip、网络mac地址、用户行为等自动区分出羊毛党和正常用户。因为羊毛党通常需要批量操纵,而企业通过建立系统是完全可以识别的
二、借助大平台。像现在的微信、阿里以及很多金融公司都对羊毛党等不良用户进行过严厉打击,用户的真实性较高。
三、做慢进式的活动。很多公司做互联网营销活动喜欢把优惠一口气送出去,这样很容易被羊毛党盯上。可以每天做点多个简单的小任务让用户赢取,这样做的好处是让真正的用户在参与活动的同时充分了解你们的公司,同时也增加了羊毛党的成本和风险。
任何行业的营销模式推广方法都不尽完美,互联网行业的推广通常都是这个AARRR模型
而灰产大军看中的就是“获取用户”这一层,你花钱做流量,那我给你假流量,你想给钱邀请好友,那我就邀请我的小号。
根据第三方机构的从业者提供的数据表示,目前市场上的羊毛构成有40%的可能是平台烧钱拉用户,另外60%是推广渠道瞒着P2P平台找羊毛来完成任务(在运营圈内,有些推广渠道的返点几乎达到广告额的20%)。
稍微黑暗一点的做法是某些平台的推广人员与羊毛党合作,对外吃回扣;对内,完成了漂亮的数据,对老板也好交差。简直一箭双雕,两全其美。公众H:谈社群营销。观看更多
黑格尔说:存在即合理。这句话用在这里同样适用。
在一定的历史契机总会出现相应的历史产物。谁也不好去评判好与坏,优与劣。
所有的社会活动都不过是一席交易,而参与交易的每一个人都期望获得满足。
公司为了冲数据,拿融资;投资方急切地想看到流量,看到数据。
这些都是催生灰产大军的推进器。
当发生雪崩的时候,没有一片雪花是无辜的。
与其痛之,哀之,不如思之,省之,改之。