所到之处，寸草不生！深扒黑产工具和羊毛党操作流程

导读：随着“互联网+”的兴起，越来越多的公司开始上线互联网业务，为了吸引客户或引来更多的流量，企业就需要进行各种促销与补贴活动，但这些原本应该给真实用户带来优惠的活动，却被互联网上的另一群团体——黄牛、羊毛党盯上。

笔者曾经以损失近1000台小米手机的惨痛代价认识了这个群体，在后续的工作中也组建了风控团队，在“6.18”“双11”活动中与这群人多次交手。在本文中，笔者将介绍对付羊毛党、黄牛的一些经验。

作者：林鹏

01 羊毛党和黄牛

最早的“黄牛”是指在医院里抢挂号或者节假日抢火车票的一群团伙，对于稀缺资源，这些人利用人数优势占领资源，再将这些资源高价卖给真正需要的人，进而从中获利。

随着互联网业务的兴起，这些人仿佛又看到了另一座“矿山”，通过注册大量虚假账号或在论坛发布活动等方式，将原本企业用于推广自身业务的资金纳入怀中。

笔者把这群人比喻为蝗虫，所到之处，寸草不生，不吸干最后一点利润，绝不罢休。很多没有互联网风控经验的公司，或对运营配置不当的公司，都会被这群团伙盯上。下面举两个例子。

1. 某公司新会员送咖啡券活动

2018年，某公司举办拉新活动，只要在App上登录注册新用户，就可以免费领一杯咖啡兑换券，没有任何门槛，也没有任何拦截措施，仅仅凭一个手机号一条短信，便可以领取咖啡券。

羊毛党发现后，便利用打码平台与自动化工具疯狂注册（见图11-1），仅仅用了不到几分钱的成本，就获取了价值37元的兑换券，并通过朋友圈、论坛等渠道贩卖变现，而该公司当天中午便停止了该活动。

▲图11-1 活动注册机

2. 某拼购平台配置失误领百元话费

2019年1月20日凌晨，有人发现在某拼购平台只需支付4角，便可以充值100元话费，于是，大量羊毛党开始行动，尽管该漏洞于早上9点左右被关闭，但已造成近千万元损失。

从上述两个案例可以看出，一旦羊毛党发现有机可乘，便会利用各种通信工具进行传播，企业损失会迅速扩大，而羊毛党们可能通过这样的机会一夜暴富，因此加入这个群体的人越来越多。

随着群体的扩大，羊毛党也越来越有组织性，分工也越来越明确，从之前的单兵作战，变成了信息情报收集、工具软件制作、推广运营，甚至控制供应链中的某些环节等，形成一条黑色产业链，简称“黑产”。

02 工具和角色

黑产的工具种类、资源众多，同时大的黑产也有着团队化管理方式，下面就介绍一些工具和角色。

1. 工具

1）卡商贩卖的各种卡：卡商属于黑产上游人群，掌握着核心资源，例如各种手机卡、银行卡、身份证等，有些卡商也通过猫池提供打码平台服务。

2）猫池：猫池是一种集成了多路短信收发模块的高性能工业级短信猫设备，支持多路并发，进而满足大量短信收发的应用需求，如图11-2所示。

▲图11-2 猫池

3）设备农场：由大量廉价手机组成的设备池，并依赖“群控”软件对设备进行批量操作，如图11-3所示。

▲图11-3 设备农场

4）群控软件：可以批量操作手机、计算机等设备的软件，黑产利用群控软件完成批量注册、刷单等操作。

5）打码平台：这里的打码平台指利用猫池或工具自动发送和接收短信验证码并可以自动填写验证码，而一些难以识别的验证码，可以通过图形识别甚至由后台人工识别后填写，也叫“云”打码平台，如图11-4所示。

▲图11-4 打码平台

6）手机模拟器、刷机软件：手机模拟器的产生本身是为了方便开发人员在没有手机的情况下，使用模拟器对程序进行开发和调试，但黑产也注意到模拟器可以模拟手机进行操作，有时候可以省下手机成本。而刷机软件则可以瞬间改变手机的各种信息，制造虚假的手机信息，用于逃避一些风控策略的检测，如图11-5和图11-6所示。

▲图11-5 手机模拟器

▲图11-6 刷机软件

7）IP代理池：为了逃避一些风控规则，黑产选择代理IP进行联网，而这些IP几乎遍布于世界各地。对于手机号和IP这类资源，几乎可以认为对方的资源是无限的，如图11-7所示。

▲图11-7 IP代理池

2. 角色

在黑产中，一般有如下角色：

1. 黑产个体刷单者：可能是有多个账号，有一定技术的专门刷单者，或只是为了占便宜的普通用户。
2. 黑产消息提供者：在各大刷单网站或从企业内部获取活动情报或漏洞信息，并将信息发布给同伙用于制作刷单工具的用户。
3. 黑产软件开发者：刷单团伙中的技术人员，使用的开发语言一般为易语言，可以快速将刷单流程写为软件，使刷单自动化。
4. 黑产培训人员：通过网站发布任务，招揽个体刷单者，并对这些刷单人员进行培训。
5. 黑产团长：可以认为是P2P行业的产物，负责与平台内部人员进行谈判，或威胁运营人员或与运营人员合作。

可以用一张图表示各种角色相互之间的关系，如图11-8所示。

▲图11-8 黑产工具和角色

关于作者：林鹏（lion_00），CCIE (SECURITY)，猎豹移动安全总监，曾任当当网安全经理、网信金融安全专家、万达电商信息安全部总经理等职位。有长达10年的一线安全攻防实战经验，研究领域为日志分析、安全防御、金融安全等。

本文摘编自《互联网安全建设从0到1》，经出版方授权发布。

延伸阅读《互联网安全建设从0到1》

点击上图了解及购买

转载请联系微信：DoctorData

推荐语：这是一本适合从安全小白到企业安全负责人阅读的安全书籍，作者将自己多年丰富的安全经验融入此书，通俗易懂，雅俗共赏，既可作为安全工程师的工具手册，解决各类常见安全问题，也可以指导安全负责人如何从0到1系统地建设企业安全体系，非常值得推荐。