2.1 虚假号码
这里所说的“虚假号码”是运营商真实存在的手机号,但这些手机号未经实名认证,可以用于代替他人接收验证码。
现在的互联网平台在用户注册时,几乎都需要手机号接收验证码进行二次认证。手机号已经成为网民的通行证,甚至是“网络身份证”。采用手机号接收短信进行验证,一方面解决了用户实名的问题,另一方面也比采用邮件验证等传统方式更为便捷。
黑产团伙在薅羊毛、刷单这类欺诈活动中,动辄就有数十万个、数百万个账号参与,每一个账号都意味着有一个可以接收短信的手机号。这些手机号从何而来?难道黑产有这么多的手机号来注册吗?
在互联网黑色产业链中,源源不断地有人给黑产提供大量可用的手机号。这些手机号几乎成了所有互联网欺诈活动的根源,我们也称之为虚假号码。虚假号码由手机卡商提供,对接到接码平台中,提供短信验证码代收服务,进一步被各类黑产使用。在整个黑色产业链中,手机卡商处于产业链上游,并且是整个产业链的关键节点。虚拟号码数量初步估计为5000万个,这批手机号会在全网流窜,对不同厂家进行欺诈活动。本节将对虚假号码的技术原理进行详细介绍。
2.1.1 猫池
使用过ADSL 宽带的读者应该都还记得,装完宽带以后,我们需要使用一个设备来进行信号转换,才能在电脑或路由器上拨号。这个设备一般叫作“猫”,英文名为Modem。
如图2.1所示,其设备叫作Modem Pool,是一种用于控制和管理SIM 卡的设备,英文名字面翻译成中文是“猫池”。
图2.1 猫池
猫池其实是由多个Modem 模块组合而成的,从图2.2中可以清晰地看到多个模块。每个模块等同于一台简单通信功能的手机,附带有SIM 卡槽、基带芯片、射频芯片、手机天线。每个Modem 模块都可以独立控制,收发短信和拨打电话。
图2.2 电路板
猫池可以用AT 指令进行控制,例如。
· 电话呼叫139****8888:ATD+139****8888\r\n。
· 挂断电话:ATH\r\n。
· 读取短信列表:AT+CMG\r\n。
使用AT 指令不是很方便,于是市面上就出现了一系列配套的猫池管理软件。其中比较常见的就是“酷卡”和“嘻唰唰”。这些软件具备了非常完整的猫池管理功能,以图形界面的方式对猫池进行操作,底层依然通过AT 指令来控制,但黑产操作已经十分方便了,如图2.3所示为酷卡软件的运行界面。
图2.3 酷卡软件运行界面
“酷卡”本身不支持二次开发,但会把读取到的短信和通话记录等信息保存到数据库文件中,可以使用其他程序读取这个数据文件,获取短信和来电信息,这就给黑产带来了便利。
接码平台会给卡商提供“卡商端”程序,用于读取和上传猫池中的短信数据,其原理就是读取“酷卡”和“嘻唰唰”两款猫池管理软件中的数据库文件。
2.1.2 短信验证码
短信验证码如今已经成为一种基本的身份认证手段,某些平台甚至把短信验证码当成唯一的验证方式。
短信验证码本身具有随机性,一般为4~6位的数字,有效期很短。短信验证码通过短信方式发送到用户端,它是一种相对安全的通道。之所以说相对安全,是因为GSM 网络短信是不加密的,能够被无线电装置嗅探。一般在注册场景中,用户必须有一个手机号可以接收短信验证码,并且该手机没有在该平台上使用过,才能完成整个注册新账号流程。
如果有足够多的手机号来完成这个验证,就可以大批量地注册账号,应用于各种欺诈行为,而虚假号码提供了这种可能。
一般的短信验证码,通过猫池和管理软件配合就能够自动读取出来,实现注册登录的自动化操作。为了对抗猫池,很多平台逐渐演变出了新型的验证码形式,例如语音验证码或要求用户向指定号码发送一条验证码短信。
部分猫池是支持语音功能的,可以将通话过程中的语音内容保存为音频文件,进一步通过其他手段把验证码识别出来,比较常见的一种手段是“人工听码”。
如图2.4所示为某接码平台的注册界面,可以注册成为“听码人员”,专门负责从音频文件中听取验证码信息。
图2.4 某接码平台的注册界面
2.1.3 接码平台
接码平台是“虚假号码”的集散地。在过去几年里,我们对互联网上出现过的接码平台进行了监控,累计发现了300多个接码平台,这些平台源源不断地为互联网黑产提供虚假号码资源。部分平台甚至提供有数量不小的境外手机号,其中北美和东南亚地区的手机卡数量比较多。接码平台的后台界面如图2.5所示。
图2.5 接码平台后台界面
在2017年以前,接码平台会从卡商手中低价收购大量手机卡,使用猫池进行管理,再开发管理系统和API,给黑产提供付费服务。2017年,国内规模较大的“爱码平台”被温州公安机关查处,公安机关从工作室中搜出了超过200万张已经用过的手机卡。
此后,接码平台的角色发生了一些变化,基本上只扮演一个中间商人的角色,连接上游的卡商和下游黑产。接码平台不持有任何手机卡,但是会提供一个“卡商端”程序给上游卡商。上游卡商自行管理所有手机卡,而这个程序会把所有手机卡接收到的短信上传到接码平台。该接码平台只负责短信内容的匹配、抽取、分发和结账。
接码平台又进一步衍生出了很多其他利益链。例如,有些公司专门开发了一套完整的接码平台系统,包含卡商端、客户端APP 和API 接口,该系统有完整的统计和监控功能。
在2019年的“净网行动”中,大多数接码平台在公安机关的打击下转入了地下状态。
2.1.4 空号注册
空号注册在互联网黑产的发展历程中算是昙花一现。
2018年4月,广西、湖南公安机关联合出动查处了长沙某科技公司,抓获多名犯罪嫌疑人。该公司在长达两年的时间里,一直扮演着接码平台的角色,给黑产提供了300多万个手机号。上文介绍的虚假号码都是有实体卡的,可以认为是运营商已经投放到市场的号码资源,被黑产非法利用。而该公司提供给黑产使用的手机号,还没有被运营商投放到市场使用,但是已经被用于大量接收短信验证码。事后查明,这家公司与运营商的内部人员进行了合作,通过非法渠道使用空号来接收短信验证码,以单条短信0.6元的价格在黑色产业链中提供服务。这一类的虚假号码在行业中一般称为空号,目前已经比较少见。
2.1.5 流量卡和物联网卡
过去几年运营商推出的各种套餐中,如“流量卡”受到不少人的青睐。在正常情况下,流量卡也需要进行实名制登记,一般的流量卡都可以收发短信,所以也就可以用于注册账号。很多流量卡是有使用期限的,并不能像手机号一样长期使用,普通用户不会用于注册账号和验证身份。但是对于黑产来说,流量卡的时间周期已经足够使用了。
物联网逐渐兴起之后,市面上出现了一类比较便宜的流量卡,即物联网卡。这一类卡是运营商给物联网领域的企业使用的,用于物联网设备的通信。例如,共享单车,每一辆共享单车的电子锁内部都有一张物联网卡在工作。这些物联网卡使得每一辆单车都能够连接互联网上报车辆的位置、车锁状态等信息,同时能够接收云端的一些操作指令。
这类物联网设备对流量的需求量是很小的,平均每个月的流量控制为2M~20M。如果不使用短信来发送指令的话,那么连短信功能都不需要。运营商在提供移动物联网能力的同时,会把大部分权限开放给物联网企业。其中包括分配每张卡的套餐、设置每张卡的功能和权限。某些企业在申请到物联网能力之后,会调整流量资源,把无法消耗的流量资源分配到一批物联网卡上,然后以较低价格转卖。这些物联网卡由于其价格优势,同时部分物联网卡不需要实名登记,所以一度也成为黑产的“香饽饽”。
随着运营商对物联网卡管理的加强,一度在黑产领域比较泛滥的物联网卡也越来越少见了。
2.1.6 手机rom 后门
在虚假号码产业链中,有一些高技术的团伙在用一种特殊的方式提供手机接码的能力,业内称为“老人机团伙”。当我们厘清他们的运作体系时,也对这些团伙的创造力和执行力感到惊叹,只是遗憾他们没有用到正途上。
“老人机团伙”拥有自己开发的手机rom 系统,这些系统基于早期的MTK 平台。他们在rom 中预植入了后门逻辑,然后通过与很多公司合作生产出各种品牌的“老人机”。这些手机只提供了电话和短信功能,他们会以较低的价格投放市场售卖,并通过一些渠道销售到很多贫困地区。
当一些老人以较低的价格买到这些手机插入手机卡后,rom 中的后门就会通过短信的方式上报对应的手机号到黑产预埋的手机号中。黑产团伙使用这些手机号注册各类网络平台账号,当验证码发到老人手机上时会被后门再次转发到黑产手中。由于rom 的后门有对应的屏蔽短信规则,使用者自己根本看不到这些短信,所以也无法觉察自己的手机号被黑产使用了,只能从运营商的短信详单里发现端倪。
这种规模的黑产手机号,一度有超过1000万的量级。互联网厂商也无法验证这些手机号为黑号。因为即使打电话过去,对面也是有人能够接听的。