刷單需求形成產業鏈 手機實名制漏洞流出千萬黑卡

3月伊始，「小叄工作室」開始大量囤積手機卡。他們知道，月底全國會有數萬保險業員工四處尋覓這些手機卡，用於完成企業APP的用戶註冊量考核任務。屆時，這些0.1-0.2元使用一次的手機卡，甚至可以帶來5元以上的價值。

（原標題：刷單需求形成灰色產業鏈 手機實名制漏洞流出千萬黑卡）

本報記者 陳寶亮 北京報道

「小叄工作室」是一個依託APP註冊任務而生的刷單團體，其核心成員是一名上海黑客「小叄」（化名），該黑客逆向破解了平安集團的平安金管家APP，並打造了一個名為「f3322」的刷單平台，通過虛擬機實現部分APP的虛假註冊。在該平台，只需要錄入相關企業員工工號+註冊數量，自動可以輸出含有註冊手機號、密碼的表格。21世紀經濟報道記者在此平台用被泄露的員工工號測試，購買接近200個註冊量，僅需2次操作，每次操作可在1秒內完成。目前，「小叄工作室」還給數百個代理商提供了平台許可權，後者成為「小叄」的刷單手。

2017年2月底，因為註冊任務激增，「小叄工作室」大多代理商出現斷號，註冊業務從最初的每個5毛漲至5元，但依然供不應求。

有了上個月的經歷，嘗到甜頭的刷單手開始陸續囤積手機號，並籌劃在月底默契漲價，薅一把「羊毛」。2015年至今，「小叄」依託上述保險業相關APP註冊的盈利已經超過2000萬元。

60%虛假註冊？

一位長期研究灰色產業人士白浪（化名）告訴記者：一些APP號稱過億的註冊用戶中，大半都是虛假註冊，這都是「f3322」這種平台帶來的。需要指出，除「f3322」之外，業內還有另外兩個類似平台，其中一個名為「88886.ga」，三大平台囊括了絕大多數刷單市場。

一位保險業員工向記者介紹，「APP最開始推廣的時候，我們都讓老客戶幫忙註冊。但APP對客戶沒有吸引力，部分老客戶不願意下載、註冊，很快老用戶就不夠了。我們每個月開單也就1-2個，但APP註冊任務要求（每月）4-10個，新用戶也不夠完成任務。」該員工介紹，註冊量的考核與各種業績、集團方案掛鉤，「如果業績達到鑽石標準，APP達不到，幾千塊的業績獎勵就沒有了，春節後還有開門紅獎勵，很多人都擠著買註冊。部門老大的任務如果完不成，整個部門都拿不到激勵方案，所以老大們一買就是幾百個。」該員工「買過30-40個註冊，佔總註冊量的60%，我在普通員工里屬於平均值」。

2月，恰逢春季開門紅。三大刷單平台均出現供不應求，2月28日這天，大多代理商均接到數百、甚至上千個保險業員工的註冊任務。記者長期關注的多個刷單手均在3月1日凌晨發朋友圈表示，「完成了幾百個人的任務」。

在「f3322平台」上，「小叄」還給部分長期大量合作的平安保險員工開設了VIP賬號。此外，「小叄」還在淘寶店鋪中開發了自動對接程序，可以從用戶留言中自動提取工號，從訂單中提取數量，註冊成功後發送給用戶，其店鋪旺旺名為PJ_2011。該店鋪在不到一個月的時間裡達到4顆鑽石。

手機實名制漏洞不斷

「支撐『小叄工作室』運行的基礎，是大面積流竄的手機黑卡」，白浪告訴記者：「目前，手裡有十萬張卡以上的卡商，幾乎都做過刷單註冊。而且，小叄平台每天都會有幾萬張卡上線，三家平台，每個月需要幾百萬的卡。」

卡商，是圍繞三大運營商、虛擬運營商生存的養卡產業鏈。在電信行業，多數運營商員工為了完成每個月的開卡KPI任務不得不「批量開卡」、「養卡」。起初，由於實名制管理不嚴格，員工可以輕易批開成千上萬的手機卡。此類手機卡一度是電信詐騙的主要號碼來源。

2014年開始，工信部、公安部啟動打擊黑卡行動，對運營商嚴格要求實名制，運營商對各營業廳、渠道不斷改進實名制流程，實名制過程先後經過了遠程掃描、營業廳終端掃身份證等過程。2017年1月1日，三大運營商開始陸續在營業廳、渠道安裝高拍儀，對實名認證啟動了人臉識別。

但遺憾的是，運營商每一次啟動的實名制監管程序都難免有漏洞。以中國電信為例，2017年1月6日，中國電信集團簽發《關於二代身份證閱讀器控制項升級及秘鑰控制功能上線的通知》，但在秘鑰上線的同時就有破解團隊稱「已獲取秘鑰」；中國聯通部署的高拍儀識別系統也被破解，有渠道商在激活手機卡時上傳了多個寵物圖片，依然能通過審核。

雖然目前所有手機號都已經進行實名認證，但由於漏洞存在，卡商依然可以通過目前網上泄露的身份證信息批量開卡、激活。卡商、運營商員工濫用公民身份信息的同時，依然給電信詐騙留有通道。當然，絕大部分手機卡都被用於各類APP的虛假註冊、綁定等任務，成為「羊毛黨」的彈藥庫。

同時，在卡商與「羊毛黨」之間，還存在「接碼平台」——大批量註冊時，人工讀取驗證碼效率極低，卡商普遍通過軟體平台來批量提取簡訊驗證碼、語音驗證碼，這類平台被稱為接碼平台，目前市場上現存數十個接碼平台。

以去年上線的「玉米」接碼平台為例，21世紀經濟報道記者在該平台發現，有430多個卡商提供平安金管家註冊卡號，每個卡商都會對接20多個刷單手。除了平安金管家之外，京東商城、陌陌科技、攜程、百度糯米均有數百卡商對接。當然，除了此類公開平台之外，記者還接觸到多個儲存了幾十萬、數百萬黑卡的私人平台。2016年11月，警方曾破獲一個擁有700萬張手機卡的團隊。

黑卡孳生「羊毛黨」

「我們已經標記了2000多萬張『羊毛黨』經常使用的黑卡。」錦佰安信息技術有限公司CEO馮繼強如是告訴記者，馮繼強是國內早期黑客，目前知名網路安全專家。2016年，通過與旅遊平台合作、在接碼平台抓取數據、藉助運營商系統分析，馮繼強收集整理了2000多萬張黑卡資料庫。錦佰安計劃今年將其資料庫打造成為防禦「羊毛黨」的產品，正式面向企業推廣。

不過，需要指出，因為受成本限制，錦佰安並未能收集到全部的黑卡信息，這2000萬張黑卡並未涵蓋全部。21世紀經濟報道記者從「f3322平台」上獲取了接近200個手機號，經測試，只有極少部分出現在錦佰安資料庫中。而且，大多卡商每個月都能從三大運營商開出成千上萬張黑卡。

「身份證、黑卡，成套的銀行卡、虛擬銀行卡，都是『羊毛黨』的工具」，白浪告訴記者：「個人信息的大量泄漏、濫用造成了『羊毛黨』的橫行，通過這些信息，『羊毛黨』偽裝成真實用戶去參加互聯網金融、電商平台、各大企業官網活動，批量套取返現、優惠券等優惠活動。」據記者了解，多家銀行、電商因為「羊毛黨」大規模套現取消了上線不到一周的活動。

最早的「羊毛黨」出現在Paypal進入中國時期，當時PayPal對新用戶贈送幾美元的政策吸引了大量投機者。2015-2016年間，Uber補貼成為「羊毛黨」爆發的節點，大量補貼的Uber最多一天被「薅」掉數千萬補貼，其後，盛行燒錢、補貼的互聯網金融、電商、O2O成為「羊毛黨」的聖地。如今，白浪告訴記者：「從業人員已達百萬級別，且還在持續增多，後面不知道多少人會從『羊毛黨』走向黑產，這裡誘惑太大了。」

值得一提的是，或許「羊毛黨」的泛濫刺激了通信行業的增長。根據工信部《通信運營業統計公報》，2015年，因為行動電話市場趨於飽和，全年用戶僅增長1964.5萬戶，包括北上廣在內的10個省份行動電話普及率超過100%。但2016年，行動電話用戶又凈增了5054萬戶。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！