风控科普:“羊毛党”虚假手机号的来源、流通与防范

2 评论 20184 浏览 77 收藏 17 分钟

虚假手机号码是羊毛党薅羊毛的必备工具,但是你知道这些手机号码都是哪里来的吗?它们又会被如何运用?我们作为风控人员,又该如何防范利用虚假手机号薅羊毛的行为呢?

为节约读者时间,本文要点整理如下:

  1. 虚假手机号的主要来源包括:物联网卡、境外卡、伪实名卡、虚拟号、集团号等;
  2. 卡商大量收集可以提供短信验证码和语音验证码的sim卡,通过猫池、设备农场等硬件,并在接码平台的辅助下,为黑产和羊毛党提供验证码服务;
  3. 防范虚假手机号攻击应该是多维立体的:需要从设备识别、行为识别等多方面建立策略体系并配备相应的运营体系,最简单有效的方法是直接对接手机黑名单服务,本文也会推荐一些专门的网站提供api服务,读者可自行查询使用或者接入。

以下为要点详情:

随着互联网的快速发展,越来越多的交易从传统的线下渠道迁移到在线、实时的互联网平台上。互联网平台为了培育市场,在运营和推广中投入了大量资金。凡事都有另一面,这同时也给互联网“黑色产业”提供了滋生的土壤,黑色产业链的上下游运作有序、分工明确,这其中电商从业者遇到最多的就是羊毛党。

羊毛党”——依靠注册新号获取新手优惠券或者利用多个账号争抢红包,大促期间的优惠补贴为他们提供了“捞钱”的机会。刚刚过去的618电商大促销令他们狂欢。羊毛党最常用的手法就是依靠注册新号获取新手优惠券或者利用多个账号争抢红包,大促期间的优惠补贴为他们提供了捞钱的机会。

我相信所有的电商小伙伴都遇到过这种使用虚假手机号来薅羊毛的场景,而越是小的电商平台、只要涉及到新手优惠的都会遇到这样的案例,共同点就是使用了大量的虚假手机号,所以对于运营来说,最大难点就是如何识别这是个虚假手机号。

所以这篇帖子的目的就是给各位营销运营小伙伴科普下羊毛党的虚假手机号。

接码平台:虚假手机号的土壤

简单来说就是如下图:

而接码平台仅仅提供一个供卡商和黑产对接的平台而已。

卡商通过猫池设备将数万张卡处于激活状态,黑产通过接码平台与卡商交互,使用卡商提供的手机号来获取验证码,卡商得到验证码之后通过接码平台反馈给黑产,双方各取所需,达到分润的效果。

猫池,猫池是卡商用来接验证码的设备。猫池的发展也是经过2G到4G的发展。跟我们手机的发展是跟上步伐的。所以您看看这个行业还是多么的健壮的。一般猫池在几千到几万元不,可以插16-128张卡不止。猫池的硬件商也是暴利行业。可以算得上类似目前的比特币挖矿机器那样。当年也是供不应求的。

猫池是一种集成了多路短信收发模块的高性能工业级短信猫设备,支持多路并发从而可满足大量短信收发的应用需求。

类型按可接入手机卡数量分为:单口猫池、八口猫池、16口猫池、32口猫池、64口猫池等。随着2G到4G的过度,现今一般可以插16-128张卡不等。

按实用功能分:普通短信猫池、普通声讯猫池、彩信猫池、GPRS/WAP四合一猫池等 。

猫池设备

而随着互联网网站防御对抗的升级,这种通过猫池来进行批量账号生成的手法已经渐渐遇到了瓶颈,为了更好的服务好“需求”(除了注册之外,刷投票、刷流量、刷阅读量同理),承载的硬件设备也从猫池升级到了“手机农场”。顾名思义,手机农场是用大量的廉价手机组成“设备池”,并依赖“群控”工具完成批量操作,这就比猫池设备高级了,隐匿性和真实性更高。

手机农场

接码平台,或者也可称之为验证码平台。它类似于手机卡市场的“淘宝”,卡商将自己的卡号放到平台上售卖,而羊毛党或者其他有验证码需求的人则可以直接在平台上购买号码,接收短信,卡商平台提供软件支持、业务结算等服务,通过业务分成获利。接码平台其实原理也比较简单,就是一个对接猫池的协议、一个对接云端的数据库、和客户端的PC。

某接码平台客户端

一张从未做过验证码服务的卡,在平台上一天的收益大约有15-25元,根据验证码的属性不同,卡商和平台的分成比例也不同;语音类验证码五五开,短信类验证码三七开,卡商占七成。

而卡商可以说是我们互联网江湖供应链条的最初供应链,他们手上有大批运营商资源可以超低价拿到手机卡。

在不需要实名注册的那些年,在有零月租的卡的那些年,在可以sp爆卡的那些年,这些卡商大佬的主要利润就是卖卡爆卡,一卡多卖,卖验证码。一个小卡商都有上万张手机卡每天在跑着,是多么恐怖的事情,每张卡一天能够带来10元利润的话,一天就低成本的10万利润了。

羊毛党虚假手机号来源

说了这么久,我们发现,整个羊毛党产业链的源头是为接码平台提供大量手机号的卡商,而入行早的大卡商也赚的盆满钵满,那这些卡商的手机卡是从哪里来的呢?

对于这个问题,我们追踪了很久,卡商的卡源其实来源较为广泛,主要分为以下几大类:

1. 物联网卡

物联卡业务是中国移动、中国联通、中国电信面向物联网用户提供的采用物联网专用的段作为MSISDN的移动通信接入业务,通过专用网元设备支持短信等基础通信服务,并提供通信状态管理和通信鉴权等智能通道服务,默认开通物联网专用的短信接入服务号和物联网专用APN。这张卡可以用流量、发短信、就是不能打电话。

物联网卡只针对企业工业级应用,不针对个人市场,如共享单车里面就是用到了这样的物联网卡。物联网卡的本质是想解决产业互联网的物联问题,但是不曾想被敏锐的黑产卡商嗅到了机会,保守估计已经流出了几千万张物联网卡到黑产领域。

不过目前已经做了相当的遏制,我从正规物联网卡提供的供应商那边拿到的货都是13位号码的了,但是不排除仍有漏洞,此处我没有再进一步的追溯下去。

2. 虚拟手机号

即虚拟运营商号段,170/171号段,这块大家应该比较熟悉了,暂时就不做过多的表述。虚拟运营商号段大概也有几千万张左右,前期有部分没有实名,后期有实名了但是因为成本很低也有很多卡被申领了,这些虚拟运营商号段一般也比较容易防范。

3. 境外卡

因为越南等国用的信号与我国相同,所以越南这边的手机卡在我国是可以收到短信的,且因为不需要实名所以需求也较为强烈,笔者曾经在某群内看到大量售卖境外卡,每张售卖10-15元,每张卡后续新用户盈利完全可以cover住成本。

早期这种境外卡流行是为了一些犯罪团伙方便作案以便躲开国内警方监控,但是后来有段时间还是成为了卡商的香饽饽。

4. 真实注册的运营商号码

在部分地区,因为基层运营商有业务考核压力,所以当有人愿意大量办卡的时候其实基层运营商是很愿意配合的。因为管理不规范这样的操作风险的存在导致大量的真实号码流入产业链当中。

所以这也有了运营商限制一个身份证只能申请X张手机号的限制,但是这也架不住在利益的驱使下,有“羊头”有偿利用普通老百姓的身份证(比如用一次身份证给50元)去运营商网点批量办卡,在目前国内监管愈发严厉的阶段,这类真实注册的运营商号码目前已经成为卡商重要的来源。

5. 集团号

集团号的存在本身是运营商为了帮助大企业内部提高沟通效率而批量下发的卡,只需要提供员工身份证号码即可批量办理。不过有些黑产虚假成立公司,然后以公司的名义向运营商申请集团号,有地方的运营商因为业绩考核压力在疏于审核的情况下就批下,每批都是数百张号码,大大节约了卡商的工作成本。

虚假手机号如何防范?

聊了这么久,现在最重要的问题来了,在我们的日常业务运营中,应该如何去识别防范虚假手机号的对于平台业务的攻击?

防范虚假手机号的攻击算是一整套策略运营体系,批量的虚假手机号攻击的话主要从人机识别、行为识别、终端识别等方面做策略入手,这方面比较系统化,可能就不方便详细表述了。

但是在我们的日常运营中,其实批量攻击还是比较好识别的。但是最怕的就是人肉攻击,当有营销活动的时候,营销信息迅速铺天盖地的到各个微信群、qq群中,全国数十万的羊毛党用自己的手机人肉使用虚假手机号注册,真实设备、人工操作,偶尔再更改下设备信息或者地理位置信息,根本没有办法用传统的行为识别、人机识别策略去防范。收货地址也是真实的,遍布全国各地,这种给业务运营人员带来了极大的困扰。

所以,针对这种,如果我们能够识别出来这是个虚假手机号,反而是最直接的方法。识别是否是虚假手机号也有以下几种方法:

1. 实时语音外呼

早期有部分风控乙方会提供这样的服务,优点是实时性高,如果语音短呼不通,则认为是一个虚假号码。但是缺点在于:

  1. 无法做到实时性,业务时差达到数秒;
  2. 很多虚假手机号插到手机墙里的时候已经可以接听语音。这种防范效果也不太好。

2. 语音验证码注册

语音验证码注册是16年左右开始渐渐流行的,实时性用户体验也比较好,但是还是跟前面第二点说的,现在很多接码平台已经可以接听语音验证码,这种只能提高注册门槛,但是依然还有很大的漏洞。

3. 接码手机号黑名单平台

其实这是目前相对而言较为折衷的方法,用的也比较多,羊毛党使用的手机号大部分来源于接码平台,最简单直接的办法就似乎把所有主流的接码平台上的手机号通过爬虫的形式24H无间歇的监控下来形成一套接码平台手机号黑名单库,注册时直接API对接手机号黑名单库,可以实时为平台拦截虚假注册。另外,也要实时监控拦截统计,这样就可以实时预警知道什么时候我的平台被羊毛党攻击了。

目前提供接码平台手机号黑名单的平台有不少,一般我会给运营小伙伴们推荐这个钒钛反欺诈平台(www.njfintech.cn),这个平台比较好的地方在于使用门槛很低,而且操作成本也很便宜,任何人都可以在上面注册使用,所以普通运营人员也可以自己充值操作查询。

比如运营怀疑这一批手机号是否是羊毛党,自己一一人工拨打核实也比较麻烦,这时候就可以用这个平台手工批量查询下。当然如果你如果能联系上网站管理员,直接让他们提供黑名单API服务是最好的,这样可以实时在注册环节做到监控与防范。如果发现某个时间段被这个API服务标注为高危手机号的注册用户很多,那就证明你这个网站被羊毛党攻击了。

当然,接码平台手机号黑名单也有不足的地方,比如接码平台每天都在新增,如果没有监控这些新的接码平台容易漏过;或者黑号被运营商收回到正常人手中,这时候就会造成误伤。

不过对于一般中小平台而言,这样的概率和带来的体验上的损失基本可以忽略不计:被被羊毛党撸一把几十万就没了,还在乎误伤的这几个人?

防范羊毛党虚假手机号的攻击,总体来说还是需要一个多维立体的策略体系,知己知彼方得始终!

另:为了节约撰文时间,文中使用了两张安全脉搏同学画的示意图~感谢

#专栏作家#

独孤qiu败,微信公众号:互联网风控那些事儿(anti_fraud_share),人人都是产品经理专栏作家。关注风控系统设计、风控策略、风控数据分析和模型,定期分享互联网风控相关业界动态、系统设计方案、模型算法。

本文原创发布于人人都是产品经理,未经许可,禁止转载

题图来自 Unsplash,基于 CC0 协议

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
海报
评论
评论请登录
  1. 期待下一篇讲怎么做风控与羊毛党大战

    来自广东 回复
  2. 为什么你每篇文章阅读量都不低于1K,却多是0评论

    回复