“羊毛党”,网络商业的先驱,伪造手机号码是他们薅羊毛的最关键工具,无可争议。然而,你了解这些手机号码的来源吗?它们是如何被运用来获取收益的?作为我们这些风险控制专员,我们又应该如何防止利用伪造手机号码进行的羊毛党活动呢?
为了节省读者的时间,本文的重点已经如下整理:
伪造手机号码的主要来源:IoT卡、海外卡、伪实名卡、虚拟号码、企业号码等;卡商大规模搜集可以提供短信和语音验证码的SIM卡,通过硬件设备如猫池、设备农场,并借助接码平台,为黑灰产业和羊毛党提供验证码服务。
抵御伪造手机号码的攻击需要多维度立体的防御:我们需要从设备识别、行为识别等多个角度构建策略体系,并配备适当的运营体系。最简单有效的方式是直接接入手机黑名单服务,本文也会推荐一些提供API服务的专业网站,读者可以自行查询使用或接入。
随着互联网的飞速发展,越来越多的交易从传统的线下方式转向在线、实时的互联网平台。然而,为了在市场上生存和发展,互联网平台在运营和推广上投入了大量的资金。但是,好的一面总是伴随着负面影响,这也为互联网的”黑色产业”和”灰色产业”提供了发展的空间。在这个黑色产业链中,工作有序,分工明确,而电商从业者最常遇到的问题就是”羊毛党”。
“羊毛党”——他们利用注册新用户来获取新手优惠券,或者使用多个账号抢夺红包。大促销期间的优惠券和补贴为他们提供了赚取利润的机会。例如,刚刚过去的618电商大促销就让他们疯狂地享受到了这一盛宴。我相信每一个电商从业者都曾遇到过这种利用虚假手机号来薅羊毛的情况。对于小型的电商平台,只要涉及到新手优惠,基本都会遇到这种情况。
他们的共同之处在于使用了大量的虚假手机号,因此,对于运营来说,最大的挑战就是如何识别这是一个虚假的手机号。因此,本文的目的就是向所有的读者介绍”羊毛党”的虚假手机号。这些虚假手机号的来源,简单来说,就像下图所示:
接码平台仅作为一个供应商和黑市交易者交流的场所。
- 供应商利用猫池设备使数万张卡保持激活状态。
- 黑市交易者通过接码平台与供应商交互,利用供应商提供的手机号获取验证码。
- 供应商获得验证码后通过接码平台将其反馈给黑市交易者。
- 双方均获得所需,实现利润分配。
猫池:猫池是供应商用来接收验证码的设备。猫池的发展从2G到4G,与我们的手机发展步伐相一致,这说明了这个行业的健壮性。一般来说,猫池的价格从几千到几万元不等,可以插入16-128张卡甚至更多。猫池的硬件商属于高利润行业,可以与当前的比特币挖矿机相媲美。那时,它们是供不应求的。猫池是一种集成了多路短信接收和发送模块的高性能工业级短信猫设备,因此可以满足大量的短信接收和发送需求。
按插入手机卡的数量分类,有:单口猫池、八口猫池、16口猫池、32口猫池、64口猫池等等。随着2G到4G的过渡,现在通常可以插入16-128张卡不等。
按实用性分类,有:普通短信猫池、普通语音猫池、彩信猫池、GPRS/WAP四合一猫池等等。
(猫池设备)
然而,随着网络防护的升级,通过猫池生成大量账户的方法逐渐遭遇瓶颈。为了更好地满足“需求”(除注册外,刷投票、刷流量、刷阅读量同理),承载的硬件设备也从猫池升级为“手机农场”。如其名,手机农场由大量低价手机构成的“设备池”,并依赖“群控”工具执行批量操作,这比猫池设备更高级,更难以追踪且真实性更高。
(手机农场)
接码平台,也可以称为验证码平台。它就像手机卡市场的“淘宝”,卡商把自己的卡号放在平台上出售,而羊毛党或其他需要验证码的人,可以直接在平台上购买手机号、接收短信。卡商平台提供软件支持、业务结算等服务,通过业务然后分成盈利。接码平台其实原理也很简单,就是一个连接猫池的协议,一个连接云端的数据库,和客户端的PC。
(某接码平台客户端)
一张从未提供过验证码服务的卡,一天在平台上的收入大约在15-25元。根据验证码的属性不同,卡商和平台的分成比例也不同;语音验证码比例五五开,短信验证码比例三七开,卡商占多数。卡商,可以说是我们互联网产业链的初始供应链,他们手上拥有大量的运营商资源,可以以极低的价格获取手机卡。
在不需要实名注册的时代,零月租卡的时代,可以SP爆卡的时代,这些卡商的主要利润来自卖卡爆卡,一卡多卖,卖验证码。一个拥有上万张手机卡的小卡商每天运营,这是多么恐怖的事情!如果每张卡一天可以带来10元的利润,那么成本低的小卡商,一天就有10万元的利润。
羊毛党假手机号源头:说了这么多,我们发现,整个羊毛党产业链的源头是为接码平台提供大量手机号的卡商,早期入行的大卡商也赚得盆满钵满。那么问题来了,这些卡商的手机卡都从哪里来的?对于这个问题,我们进行了长期的追踪,卡商的卡源其实来源广泛,主要分为以下几大类:
1、物联网卡
物联网卡是中国移动、中国联通、中国电信为物联网用户提供的一种服务,它使用物联网专用段作为MSISDN的移动通信接入业务。这种卡可以使用流量、发送短信,但不能打电话。物联网卡主要针对企业工业级应用,不针对个人市场。然而,这种卡被黑市卡商看中,据估计已有数千万张物联网卡流入黑市。虽然现在已有相当多的限制,但仍有可能存在漏洞。
2、虚拟手机号
虚拟运营商号段,即170/171号段,这个应该是大家比较熟悉的。虚拟运营商号段估计有几千万张,早期有一部分没有实名,后期实名了,但由于成本低,也有很多卡被申领。这些虚拟运营商号段一般也比较容易防范。
3、境外卡
像越南等国家的信号与我国相同,所以越南的手机卡在我国可以接收短信,并且因为不需要实名,所以需求较大。曾经在某些群组内看到大量销售境外卡,每张10-15元,每张卡后续的利润完全可以覆盖成本。
4、真实注册的手机号
在某些地区,由于基层运营商面临业务考核压力,当有人愿意大量办卡时,基层运营商可能会配合。这导致了大量真实号码流入产业链。因此,运营商出台了一人只能申请五张手机卡的限制。但是,利益驱动下,“羊头”付费利用普通老百姓的身份证(例如使用一次身份证支付50元)在运营商网点批量办卡。在当前国内监管日益严格的阶段,这类真实注册的运营商号码已经成为卡商的重要来源。
5、集团号
集团号本身是运营商为了帮助大企业内部提高沟通效率而批量下发的卡,只需要提供员工身份证号码即可批量办理。然而,一些黑产虚假成立公司,然后以公司的名义向运营商申请集团号,甚至有的地方运营商由于业绩考核压力,在审核不严的情况下就批了,每批都是数百张号码,大大节省了卡商的工作成本。
如何防护伪造手机号?经过长时间的讨论,现在我们要解决的重要问题就是,在我们日常的商务运营中,应该如何去识别并防护伪造手机号对我们平台业务的侵犯?对抗伪造手机号的侵犯需要一套完整的策略运营体系,如果是大规模的伪造手机号侵犯,主要可以通过识别人机、识别行为、识别终端等方式进行。这个领域非常系统化,由于篇幅有限,我就不详细描述了。
然而,在我们日常的运营中,大规模的侵犯其实相对容易识别。
最令人忧心的就是人力攻击。比如说在我们进行营销活动的时候,营销信息迅速地散播到各个微信群、qq群中,全国的羊毛党数以十万计,他们用自己的手机手动注册伪造手机号。
他们使用真实设备、人工操作,偶尔还会改变设备信息或者地理位置等信息,这些都使得传统的行为识别、人机识别策略无法防护。而且他们的收货地址都是真实的,分布在全国各地,这给运营人员带来了极大的困扰。
所以,针对这种情况,如果我们能识别出这是一个伪造的手机号,反倒可以用最直接的方式对抗。识别是否是伪造手机号有以下几种方式:
1、实时语音呼叫
早些年有些风险控制乙方会提供这样的服务,它的优点在于实时性强,如果语音短呼不能接通,就可以认定是一个伪造的号码。但是它的缺点在于:无法保证实时性,业务延时可能会达到数秒;很多伪造的手机号一旦插入手机就可以接听语音了。所以这种防护效果并不理想。
2、语音验证码注册
语音验证码注册是16年左右开始逐渐流行的,用户体验相对较好。 但是像我之前提到的,现在很多接码平台已经可以接收语音验证码了,这种方式只能提升注册的门槛,但仍然存在很大的漏洞。
3、接码手机号黑名单平台
这是目前相对来说比较妥协的方法,使用的人也较多。
羊毛党使用的手机号大部分来源于接码平台,最简单和直接的方法就是把所有主流的接码平台上的手机号通过爬虫的方式,24小时不停地监控下来,建立一个接码平台手机号黑名单库。在注册时直接通过API接口与手机号黑名单库相连接,可以实时为平台阻止伪造的注册。
此外,我们也需要进行实时的监控和拦截统计,这样就可以实时预警,知道什么时候我们的平台遭受了羊毛党的攻击。目前提供接码平台手机号黑名单的平台有很多,我个人较为推荐的是钒钛反欺诈平台。
该平台的优点在于使用门槛低且操作成本较低,任何人都可以在其上注册使用,因此普通运营人员也可以自己进行充值操作查询。
例如,当运营人员怀疑某一批手机号可能属于羊毛党时,一一人工拨打验证可能会比较麻烦,这时就可以使用该平台进行手动批量查询。当然,如果你能够联系到网站管理员,直接请求他们提供黑名单API服务那就最好,这样就可以实时在注册环节进行监控和防护。
如果发现某个时间段被该API服务标记为高风险手机号的注册用户增多,那就意味着你的网站正在遭受羊毛党的攻击。然而,接码平台手机号黑名单也存在一些不足之处。
例如,接码平台每天都在新增,如果没有监控这些新的接码平台,可能会有所遗漏;或者黑名单号码被运营商回收后分配给普通用户,可能会导致误伤。但对于一般的中小型平台而言,这样的概率和所带来的用户体验损失,基本可以忽视:如果被羊毛党一次性抢走数十万元,那误伤的几个用户又算得了什么?
总的来说,防范羊毛党伪造手机号的攻击,需要一个多维度立体的策略体系,只有充分了解自身和对手,才能在百战中不败!
