首页 > 资讯 > 手机实名制漏洞流出千万黑卡为刷单而生

手机实名制漏洞流出千万黑卡为刷单而生

[导读]:手机实名制漏洞流出千万黑卡为刷单而生。3月伊始,“小叁工作室”开始大量囤积手机卡。他们知道,月底全国会有数万保险业员工四处寻觅这些手机卡,用于完成企业App的用户...

    手机实名制漏洞流出千万黑卡为刷单而生。3月伊始,“小叁工作室”开始大量囤积手机卡。他们知道,月底全国会有数万保险业员工四处寻觅这些手机卡,用于完成企业App的用户注册量考核任务。届时,这些0.1-0.2元使用一次的手机卡,甚至可以带来5元以上的价值。

 

    “小叁工作室”是一个依托App注册任务而生的刷单团体,其核心成员是一名上海黑客“小叁”(化名),该黑客逆向解锁了平安集团的平安金管家App,并打造了一个名为“f3322”的刷单平台,通过虚拟机实现部分App的虚假注册。在该平台,只需要录入相关企业员工工号+注册数量,自动可以输出含有注册手机号、密码的表格。21世纪经济报道记者在此平台用被泄露的员工工号测试,购买接近200个注册量,仅需2次操作,每次操作可在1秒内完成。目前,“小叁工作室”还给数百个代理商提供了平台权限,后者成为“小叁”的刷单手。

 

    2017年2月底,因为注册任务激增,“小叁工作室”大多代理商出现断号,注册业务从最初的每个5毛涨至5元,但依然供不应求。

 

    有了上个月的经历,尝到甜头的刷单手开始陆续囤积手机号,并筹划在月底默契涨价,薅一把“羊毛”。2015年至今,“小叁”依托上述保险业相关App注册的盈利已经超过2000万元。

 

    60%虚假注册?

 

    一位长期研究灰色产业人士白浪(化名)告诉记者:一些App号称过亿的注册用户中,大半都是虚假注册,这都是“f3322”这种平台带来的。需要指出,除“f3322”之外,业内还有另外两个类似平台,其中一个名为“88886.ga”,三大平台囊括了绝大多数刷单市场。

 

    一位保险业员工向记者介绍,“App最开始推广的时候,我们都让老客户帮忙注册。但App对客户没有吸引力,部分老客户不愿意下载、注册,很快老用户就不够了。我们每个月开单也就1-2个,但App注册任务要求(每月)4-10个,新用户也不够完成任务。”该员工介绍,注册量的考核与各种业绩、集团方案挂钩,“如果业绩达到钻石标准,App达不到,几千块的业绩奖励就没有了,春节后还有开门红奖励,很多人都挤着买注册。部门老大的任务如果完不成,整个部门都拿不到激励方案,所以老大们一买就是几百个。”该员工“买过30-40个注册,占总注册量的60%,我在普通员工里属于平均值”。

 

    2月,恰逢春季开门红。三大刷单平台均出现供不应求,2月28日这天,大多代理商均接到数百、甚至上千个保险业员工的注册任务。记者长期关注的多个刷单手均在3月1日凌晨发朋友圈表示,“完成了几百个人的任务”。

 

    在“f3322平台”上,“小叁”还给部分长期大量合作的平安保险员工开设了VIP账号。此外,“小叁”还在淘宝店铺中开发了自动对接程序,可以从用户留言中自动提取工号,从订单中提取数量,注册成功后发送给用户,其店铺旺旺名为PJ_2011。该店铺在不到一个月的时间里达到4颗钻石。

 

    手机实名制漏洞不断

 

    “支撑‘小叁工作室’运行的基础,是大面积流窜的手机黑卡”,白浪告诉记者:“目前,手里有十万张卡以上的卡商,几乎都做过刷单注册。而且,小叁平台每天都会有几万张卡上线,三家平台,每个月需要几百万的卡。”

 

    卡商,是围绕三大运营商、虚拟运营商生存的养卡产业链。在电信行业,多数运营商员工为了完成每个月的开卡KPI任务不得不“批量开卡”、“养卡”。起初,由于实名制管理不严格,员工可以轻易批开成千上万的手机卡。此类手机卡一度是电信诈骗的主要号码来源。

 

    2014年开始,工信部、公安部启动打击黑卡行动,对运营商严格要求实名制,运营商对各营业厅、渠道不断改进实名制流程,实名制过程先后经过了远程扫描、营业厅终端扫身份证等过程。2017年1月1日,三大运营商开始陆续在营业厅、渠道安装高拍仪,对实名认证启动了人脸识别。

 

    但遗憾的是,运营商每一次启动的实名制监管程序都难免有漏洞。以中国电信为例,2017年1月6日,中国电信集团签发《关于二代身份证阅读器控件升级及秘钥控制功能上线的通知》,但在秘钥上线的同时就有解锁团队称“已获取秘钥”;中国联通部署的高拍仪识别系统也被解锁,有渠道商在激活手机卡时上传了多个宠物图片,依然能通过审核。

 

    虽然目前所有手机号都已经进行实名认证,但由于漏洞存在,卡商依然可以通过目前网上泄露的身份证信息批量开卡、激活。卡商、运营商员工滥用公民身份信息的同时,依然给电信诈骗留有通道。当然,绝大部分手机卡都被用于各类App的虚假注册、绑定等任务,成为“羊毛党”的弹药库。

 

    同时,在卡商与“羊毛党”之间,还存在“接码平台”——大批量注册时,人工读取验证码效率极低,卡商普遍通过软件平台来批量提取短信验证码、语音验证码,这类平台被称为接码平台,目前市场上现存数十个接码平台。

 

    以去年上线的“玉米”接码平台为例,21世纪经济报道记者在该平台发现,有430多个卡商提供平安金管家注册卡号,每个卡商都会对接20多个刷单手。除了平安金管家之外,京东商城、陌陌科技、携程、百度糯米均有数百卡商对接。当然,除了此类公开平台之外,记者还接触到多个储存了几十万、数百万黑卡的私人平台。2016年11月,警方曾破获一个拥有700万张手机卡的团队。

 

    黑卡孳生“羊毛党”

 

    “我们已经标记了2000多万张‘羊毛党’经常使用的黑卡。”锦佰安信息技术有限公司CEO冯继强如是告诉记者,冯继强是国内早期黑客,目前知名网络安全专家。2016年,通过与旅游平台合作、在接码平台抓取数据、借助运营商系统分析,冯继强收集整理了2000多万张黑卡数据库。锦佰安计划今年将其数据库打造成为防御“羊毛党”的产品,正式面向企业推广。

 

    不过,需要指出,因为受成本限制,锦佰安并未能收集到全部的黑卡信息,这2000万张黑卡并未涵盖全部。21世纪经济报道记者从“f3322平台”上获取了接近200个手机号,经测试,只有极少部分出现在锦佰安数据库中。而且,大多卡商每个月都能从三大运营商开出成千上万张黑卡。

 

    “身份证、黑卡,成套的银行卡、虚拟银行卡,都是‘羊毛党’的工具”,白浪告诉记者:“个人信息的大量泄漏、滥用造成了‘羊毛党’的横行,通过这些信息,‘羊毛党’伪装成真实用户去参加互联网金融、电商平台、各大企业官网活动,批量套取返现、优惠券等优惠活动。”据记者了解,多家银行、电商因为“羊毛党”大规模套现取消了上线不到一周的活动。

 

    最早的“羊毛党”出现在Paypal进入中国时期,当时PayPal对新用户赠送几美元的政策吸引了大量投机者。2015-2016年间,Uber补贴成为“羊毛党”爆发的节点,大量补贴的Uber最多一天被“薅”掉数千万补贴,其后,盛行烧钱、补贴的互联网金融、电商、O2O成为“羊毛党”的圣地。如今,白浪告诉记者:“从业人员已达百万级别,且还在持续增多,后面不知道多少人会从‘羊毛党’走向黑产,这里诱惑太大了。”

 

    值得一提的是,或许“羊毛党”的泛滥刺激了通信行业的增长。根据工信部《通信运营业统计公报》,2015年,因为移动电话市场趋于饱和,全年用户仅增长1964.5万户,包括北上广在内的10个省份移动电话普及率超过100%。但2016年,移动电话用户又净增了5054万户。

本文来自投稿,不代表微盟圈立场,如若转载,请注明出处:https://www.vm7.com/a/zixun/136043.html