假手机号是羊毛党薅羊毛的必备工具,但是你知道这些手机号是从哪里来的吗?它们将如何使用?作为风险控制人员,我们如何防止薅羊毛使用虚假手机号码?
为了节省读者的时间,本文的要点如下:
假冒手机号码的主要来源包括:物联网卡、境外卡、假冒实名卡、虚拟号码、群号等。卡商收集大量能提供短信验证码和语音验证码的sim卡,在收码平台的协助下,通过猫池、设备农场等硬件,为黑色产品和羊毛方提供验证码服务;防范虚假手机号攻击要多维度:要从设备识别、行为识别等方面建立策略体系,建立相应的操作体系。最简单有效的方法就是直接对接手机黑名单服务。本文还将推荐一些专门提供api服务的网站,读者可以自行查询、使用或访问。以下细节是要点:
随着互联网的快速发展,越来越多的交易从传统的线下渠道迁移到在线实时的互联网平台。为了培育市场,互联网平台在运营和推广上投入了大量资金。凡事都有另一面,这也为互联网“黑色产业”提供了滋生的土壤。黑色产业链上下游运行有序,分工明确,其中羊毛党是电商从业者遇到最多的。
“羊毛党”——依靠注册新号码获得新手优惠券或使用多个账号竞争红包,促销期间的优惠补贴为他们提供了“赚钱”的机会。过去的618电商促销让他们狂欢。羊毛党最常用的方法是通过注册新账号获取新手优惠券,或者使用多个账号争夺红包。促销期间的优惠补贴为他们提供了赚钱的机会。
相信所有电商伙伴都遇到过这种用假手机号来薅羊毛的场景,而且电商平台越小,只要涉及到新手打折,就会遇到这样的情况。他们的共同点是使用了大量的假手机号,所以对于操作来说,最大的困难就是如何将这个识别为假手机号。
所以这个帖子的目的就是给大家科普下羊毛党的假手机号。
接码平台:虚假手机号的土壤
简单如下:
收码平台只是为卡商提供了一个连接黑色产品的平台。
卡商通过猫池设备激活数以万计的卡,黑产品通过收码平台与卡商互动,使用卡商提供的手机号码获取验证码。卡商获得验证码后,通过收码平台反馈给黑产品,让双方各得其所,达到分享利润的效果。
猫池,猫池是卡商接收验证码的设备。猫池的发展也是从2G到4G。跟上我们手机的发展。所以你可以看到这个行业有多强大。一般来说,猫池的价格在几千到几万美元之间。不,你可以插入超过16-128张卡片。猫池中的硬件厂商也是暴利行业。可以认为和现在的比特币挖矿机差不多。那一年也是供不应求。
Cat pool是一款高性能工业级短信Cat设备,集成了多路短信发送和接收模块。它支持多通道并发,能够满足大量短信收发的应用需求。
根据可接入手机卡数量分为:单猫池、八猫池、十六猫池、三十二猫池、六十四猫池等。从2G过渡到4G,现在一般可以插16-128卡。
按实用功能分为:普通短信猫池、普通语音消息猫池、彩信猫池、GPRS/WAP四合一猫池等。
卡特彼勒泳池设备
随着互联网网站上防御对抗的升级,这种生成批量账户的方法通过
代码接收平台,或者也可以称为验证码平台。类似于手机卡市场的“淘宝”,卡商把自己的卡号放在平台上出售,而毛方或者其他需要验证码的人可以直接在平台上购买号码和接收短信,卡商平台提供软件支持、业务结算等服务,通过业务共享来盈利。其实对接平台的原理比较简单,就是一个对接猫池的协议,一个对接云的数据库,以及客户端的PC。
代码接收平台的客户端
一张从未做过验证码服务的卡,在平台上一天大概能赚15-25元。根据验证码的不同属性,卡商与平台的分成比例是不同的。语音认证码50-50,短信认证码37-50,卡商占70%。
卡商可以说是我们互联网江湖供应链的初始供应链。他们有大量的运营商资源以超低的价格获得手机卡。
在不需要实名注册的那些年,在拥有零月租卡的那些年,你现在可以sp爆了。
卡的那些年,这些卡商大佬的主要利润就是卖卡爆卡,一卡多卖,卖验证码。一个小卡商都有上万张手机卡每天在跑着,是多么恐怖的事情,每张卡一天能够带来10元利润的话,一天就低成本的10万利润了。羊毛党虚假手机号来源
说了这么久,我们发现,整个羊毛党产业链的源头是为接码平台提供大量手机号的卡商,而入行早的大卡商也赚的盆满钵满,那这些卡商的手机卡是从哪里来的呢?
对于这个问题,我们追踪了很久,卡商的卡源其实来源较为广泛,主要分为以下几大类:
1. 物联网卡
物联卡业务是中国移动、中国联通、中国电信面向物联网用户提供的采用物联网专用的段作为MSISDN的移动通信接入业务,通过专用网元设备支持短信等基础通信服务,并提供通信状态管理和通信鉴权等智能通道服务,默认开通物联网专用的短信接入服务号和物联网专用APN。这张卡可以用流量、发短信、就是不能打电话。
物联网卡只针对企业工业级应用,不针对个人市场,如共享单车里面就是用到了这样的物联网卡。物联网卡的本质是想解决产业互联网的物联问题,但是不曾想被敏锐的黑产卡商嗅到了机会,保守估计已经流出了几千万张物联网卡到黑产领域。
不过目前已经做了相当的遏制,我从正规物联网卡提供的供应商那边拿到的货都是13位号码的了,但是不排除仍有漏洞,此处我没有再进一步的追溯下去。
2. 虚拟手机号
即虚拟运营商号段,170/171号段,这块大家应该比较熟悉了,暂时就不做过多的表述。虚拟运营商号段大概也有几千万张左右,前期有部分没有实名,后期有实名了但是因为成本很低也有很多卡被申领了,这些虚拟运营商号段一般也比较容易防范。
3. 境外卡
因为越南等国用的信号与我国相同,所以越南这边的手机卡在我国是可以收到短信的,且因为不需要实名所以需求也较为强烈,笔者曾经在某群内看到大量售卖境外卡,每张售卖10-15元,每张卡后续新用户盈利完全可以cover住成本。
早期这种境外卡流行是为了一些犯罪团伙方便作案以便躲开国内警方监控,但是后来有段时间还是成为了卡商的香饽饽。
4. 真实注册的运营商号码
在部分地区,因为基层运营商有业务考核压力,所以当有人愿意大量办卡的时候其实基层运营商是很愿意配合的。因为管理不规范这样的操作风险的存在导致大量的真实号码流入产业链当中。
所以这也有了运营商限制一个身份证只能申请X张手机号的限制,但是这也架不住在利益的驱使下,有“羊头”有偿利用普通老百姓的身份证(比如用一次身份证给50元)去运营商网点批量办卡,在目前国内监管愈发严厉的阶段,这类真实注册的运营商号码目前已经成为卡商重要的来源。
5. 集团号
集团号的存在本身是运营商为了帮助大企业内部提高沟通效率而批量下发的卡,只需要提供员工身份证号码即可批量办理。不过有些黑产虚假成立公司,然后以公司的名义向运营商申请集团号,有地方的运营商因为业绩考核压力在疏于审核的情况下就批下,每批都是数百张号码,大大节约了卡商的工作成本。
虚假手机号如何防范?
聊了这么久,现在最重要的问题来了,在我们的日常业务运营中,应该如何去识别防范虚假手机号的对于平台业务的攻击?
防范虚假手机号的攻击算是一整套策略运营体系,批量的虚假手机号攻击的话主要从人机识别、行为识别、终端识别等方面做策略入手,这方面比较系统化,可能就不方便详细表述了。
但是在我们的日常运营中,其实批量攻击还是比较好识别的。但是最怕的就是人肉攻击,当有营销活动的时候,营销信息迅速铺天盖地的到各个微信群、qq群中,全国数十万的羊毛党用自己的手机人肉使用虚假手机号注册,真实设备、人工操作,偶尔再更改下设备信息或者地理位置信息,根本没有办法用传统的行为识别、人机识别策略去防范。收货地址也是真实的,遍布全国各地,这种给业务运营人员带来了极大的困扰。
所以,针对这种,如果我们能够识别出来这是个虚假手机号,反而是最直接的方法。识别是否是虚假手机号也有以下几种方法:
1. 实时语音外呼
早期有部分风控乙方会提供这样的服务,优点是实时性高,如果语音短呼不通,则认为是一个虚假号码。但是缺点在于:
无法做到实时性,业务时差达到数秒;很多虚假手机号插到手机墙里的时候已经可以接听语音。这种防范效果也不太好。2. 语音验证码注册
语音验证码注册是16年左右开始渐渐流行的,实时性用户体验也比较好,但是还是跟前面第二点说的,现在很多接码平台已经可以接听语音验证码,这种只能提高注册门槛,但是依然还有很大的漏洞。
3. 接码手机号黑名单平台
其实这是目前相对而言较为折衷的方法,用的也比较多,羊毛党使用的手机号大部分来源于接码平台,最简单直接的办法就似乎把所有主流的接码平台上的手机号通过爬虫的形式24H无间歇的监控下来形成一套接码平台手机号黑名单库,注册时直接API对接手机号黑名单库,可以实时为平台拦截虚假注册。另外,也要实时监控拦截统计,这样就可以实时预警知道什么时候我的平台被羊毛党攻击了。
目前提供接码平台手机号黑名单的平台有不少,一般我会给运营小伙伴们推荐这个钒钛反欺诈平台(www.njfintech.cn),这个平台比较好的地方在于使用门槛很低,而且操作成本也很便宜,任何人都可以在上面注册使用,所以普通运营人员也可以自己充值操作查询。
比如运营怀疑这一批手机号是否是羊毛党,自己一一人工拨打核实也比较麻烦,这时候就可以用这个平台手工批量查询下。当然如果你如果能联系上网站管理员,直接让他们提供黑名单API服务是最好的,这样可以实时在注册环节做到监控与防范。如果发现某个时间段被这个API服务标注为高危手机号的注册用户很多,那就证明你这个网站被羊毛党攻击了。
当然,接码平台手机号黑名单也有不足的地方,比如接码平台每天都在新增,如果没有监控这些新的接码平台容易漏过;或者黑号被运营商收回到正常人手中,这时候就会造成误伤。
不过对于一般中小平台而言,这样的概率和带来的体验上的损失基本可以忽略不计:被被羊毛党撸一把几十万就没了,还在乎误伤的这几个人?
防范羊毛党虚假手机号的攻击,总体来说还是需要一个多维立体的策略体系,知己知彼方得始终!
另:为了节约撰文时间,文中使用了两张安全脉搏同学画的示意图~感谢
作者:独孤qiu败,微信公众号:互联网风控那些事儿(anti_fraud_share),互联网行业风控产品经理,定期分享互联网风控相关业界动态、系统设计方案、模型算法。
本文由 @独孤qiu败 原创发布于人人都是产品经理,未经许可,禁止转载
题图来自 Unsplash,基于 CC0 协议