您的位置:首页 >科技 >

世界观察:“断卡”行动趋势下,卡商生态的现状

2023-06-28 18:49:13    来源:互联网

推出的“新用户 0 元购”活动,仅两天就吸引了数万人参加,原计划 10 天发放完的新人红包不到 2 天就发完了。

美滋滋地畅想后续的变现,却发现前两天还热火朝天的 APP,在活动结束后平静得像一潭死水,前几天刚蹦跶的新用户再也没上线,成了妥妥的“僵尸号”。


(相关资料图)

这是一起典型的企业营销活动被黑产“批量薅羊毛”的案例,从威胁猎人业务风险情报监测数据来看,像这样的黑产攻击事件无时无刻不在上演

而促成这些事件的其中一个核心要素就是黑手机卡(一般简称“黑卡”),关于黑卡作恶目前已经形成了一条成熟、分工明确的黑色产业链:

产业链上游 - 资源层:卡商掌握核心资源黑手机卡,是上游最核心的角色。

产业链中游 - 服务层:中游连接上下游,提供传统接码、群接码、网页接码、API 接码等服务。

产业链下游 - 变现层:下游利用购买的黑手机卡注册虚假账号,对业务发起薅羊毛、引流、诈骗等攻击,并最终完成变现。

在威胁猎人过往的报告中,我们讲了很多产业链中游和下游的故事(有兴趣的朋友可以关注【威胁猎人ThreatHunter】公众号查看)。

为让大家对整个黑色产业链有更清晰的了解,今天的内容将对产业链上游的卡商进行揭秘,分析“断卡”行动下的卡商现状。

2023 上半年国内卡商发展现状

黑产作恶激增,卡商数量逐月增多

威胁猎人业务风险情报平台监测数据显示,近一年国内黑手机卡商每月活跃的数量直线式上升,今年 3 月更是达到了 13243 家。

威胁猎人安全研究员进一步分析发现,随着各行各业经济复苏并投入大量营销费用做用户增长活动,黑产作恶也逐步活跃了,作恶需要大量的黑手机卡,卡商作为手机卡的供给方也随之“复苏”,给黑产提供足量的黑手机卡资源

Potato 社交软件因隐蔽性强,成为卡商交流的主要渠道

在“断卡”行动的威慑下,围绕黑手机卡的交易变得更加谨慎和隐蔽。

威胁猎人业务风险情报平台监测数据显示,2023 年上半年国内卡商之间、卡商与中下游之间的交流主要聚集在匿名社交软件,尤其是 Potato,占比超 80%,其次是 Telegram,其他渠道总计只占了 5.64%。

为什么 Potato 会成为国内卡商交流的主要渠道呢?威胁猎人安全研究员进一步分析,了解到原因如下:

1)Potato 是匿名社交软件,难以追溯到卡商本人;

2)Potato 不需要翻墙,相比于外网的 Telegram 使用门槛更低;

3)国内头部接码平台大多将 Potato 作为主要联系方式,卡商在 Potato 与接码平台交流更便捷。

超一半卡商持卡规模大于 1000 张,最高可达 10 万张

通过对头部接码平台的卡商持卡数量的研究发现,有超半数卡商持卡数量超过了 1000 张:

此外,威胁猎人还发现有一些卡商持卡数量超过了 50000 张甚至 100000 张。

这类卡商一般不会将手机卡放到第三方接码平台,而是自己搭建接码平台或者寻找“消费”能力强的下游黑产合作,一旦这些卡商与大型黑产直接合作,短期内针对业务的攻击将大幅增加

部分卡商持续获卡能力强,稳定为黑产作恶提供资源

过去一年,威胁猎人在头部接码平台上,持续观察国内持卡数量前 10 的卡商获取手机卡的能力。

发现这些卡商绝大多数超一半的天数都在新增黑手机卡,其中有一家卡商一年 95% 的时间都在新增黑手机卡,几乎全年无休,有持续获取新卡的能力,稳定地为黑产作恶提供资源。

并且,这 10 个卡商平均每天新增的黑手机卡数量都超过了 50 张,其中有一家卡商超过了 350 张,进一步分析发现,某个卡商有一天新增的黑手机卡的数量甚至超过了 2200 张。

卡商如何获取黑手机卡?

威胁猎人安全研究员研究发现,当前常见的黑手机卡主要有三种类型:

猫池卡:手机卡掌握在卡商手中,并插在特殊设备“猫池”上收发短信验证码。

拦截卡:手机卡插在正常人持有的设备上,设备存在后门导致短信验证码被卡商拦截。

虚拟小号:不是实体 SIM 卡,通过接口调用等方式实现收发短信验证码。

那么,国内卡商究竟是通过什么手段,持续不断获取黑手机卡呢?

猫池卡

“猫池卡”是指卡商持有的实物 SIM 卡,一般插在猫池设备上用于接码收发短信,卡商主要从四大运营商、虚拟运营商、利用物联网卡 3 个渠道获取。

1.通过4大运营商办理

通过电信、移动、联通、广电四大运营商的营业厅和网络渠道办理的猫池卡,黑产一般称为“实卡”,根据申请渠道的不同,又分为“厅卡”和“网申卡”:

厅卡:开卡人在营业厅办理的手机卡

网申卡:开卡人通过网络渠道申请的手机卡

这类黑手机卡办理,存在以下限制:

可办卡少,一般 1 张身份证最多能办理 3-5 张;

手机卡要实名认证,厅卡要身份证持有者本人去营业厅办理,网申卡则要在收到手机卡后人脸识别激活。

办卡限制加上“断卡行动”的持续打击,大批量办理“实卡”的难度越来越大,但在匿名社交软件上仍有很多以“实卡”(各种变体)为噱头的售卡广告。

可见在黑卡产业利润丰厚的背景下,仍有不少卡商想方设法突破限制,并冒着被抓的风险,铤而走险办理和售卖“实卡”。

卡商是如何绕过限制,大批量通过四大运营商办理手机卡的呢?

冒用他人名额办卡:普通人一般只办理 1 张手机卡,会剩下一些办卡名额,卡商通过跟运营商内鬼合作的方式,冒用他人剩下的名额去申请手机卡。

利用审核不严缺陷:一些手机营业厅对办卡的审核较为松懈,比如偏远地区的营业厅,或者营业厅有内鬼和卡商勾结,这些情况下卡商可以直接拿他人身份证在营业厅办卡。

利用真人众包作弊:卡商会在黑产论坛、匿名社交软件等地发布收卡广告,以“好处费”吸引真人办卡。

2.通过虚拟运营商办理

除了四大运营商,国内还有很多虚拟运营商,这些虚拟运营商向四大运营商采购具备通话、短信、上网等功能的手机卡,经过二次包装后再售卖,黑产一般称为“虚卡”。

虚卡的号段是固定的,目前 11 位手机号开通了 5 个号段,分别是:162、165、 167、170、171,可以据此来标识虚卡。

相比“实卡”,“虚卡”有两大优势:

成本低,虚拟运营商为吸引用户办卡,往往采用极低的月租甚至 0 月租;

门槛低,通过虚拟运营商办卡不占四大运营商的名额,仅用一张身份证,就能通过不同的虚拟运营商办理几十张卡。

“虚卡”的优势满足了卡商低价、高频办理黑手机卡的需求,因此虚卡是卡商批量开卡的主要来源之一,威胁猎人近一年捕获的活跃黑手机卡类型数据显示,“虚卡”占比高达 66.52%。

3.利用 11 位物联网卡

物联网卡是一种专门为物联网终端设备设计的手机卡,为其提供连网功能,默认没有收发短信的功能,只能在办理时申请短信功能。

威胁猎人曾捕获一起典型的黑产利用物联网卡作恶的案例:

卡商跟企业内鬼勾结,购入大量国内某知名车载应用供应商名下的物联网卡,涉案物联网卡数超 100 万。

在收到这些物联网卡之后,该卡商并未将卡上到第三方接码平台,而是上到了自研的名为 ×× 网关的接码平台,通过第三方接码平台类似的 API 接口实现接码。

拦截卡

“拦截卡”是指插卡设备和手机卡都在正常用户手里,但是卡商在插卡设备中提前植入了后门,可以拦截用户手机收到的短信验证码,因此被称为“拦截卡”

后门程序还会自动清理被拦截的短信,正常用户基本不会察觉,拦截的短信会上传到卡商后台并流入黑产中游,被用于接码等动作,具体流程如下图所示:

同时,拦截卡要求持有设备的正常用户未开通黑产目标线上业务,否则黑产将无法虚假注册作恶。

为达到这个目的,拦截卡的目标主要集中在出口国外的手机、中低端手机、儿童智能手表这 3 类设备上,因为使用这些设备的用户分别对应国外用户、老年人和小孩,他们开通黑产目标业务的可能性很低。

1.植入后门至出口国外的手机

出口国外的手机使用者多为外国人,他们注册和使用国内线上业务的可能性非常低,因此是国内拦截卡来源的重灾区之一。

威胁猎人业务风险情报平台曾捕获过多个专门出售国外拦截卡的黑产平台,这些平台持有的拦截卡规模达到了数千万张。

在追溯卡商的过程中,通过某平台记录的设备固件信息,定位到大量拦截卡出自国内一家做出口手机的厂商,出口国涉及巴基斯坦、非洲、印度等,尤其是印度,对应的拦截卡号高达 400 万。

2.植入后门至中低端手机

中低端手机尤其是一些功能机的用户往往是老年人,也是拦截卡的重点目标。

威胁猎人曾配合广东省公安厅打击了一个拦截卡黑产团伙:该团伙伪装成正常手机商城,售卖多款植入拦截卡的中低端手机,涉案设备超 50 万。

这些中低端手机都被植入了后门,该黑产团伙专门记录了设备信息,可以看到对应手机卡注册的线上业务账号信息,还记录了机型的版本号、后门软件的版本号、注册 APP 账号的活动情况等,借此能一目了然这批中低端手机的线上业务使用情况,对作恶黑产而言无疑是“利器”。

虚拟小号

“虚拟小号”是指运营商或企业出于保护个人隐私等目的推出的“虚拟”手机卡,无实物 SIM 卡,卡商通过调用相应接口来实现收发短信,如下图所示:

1.通过运营商办理

虚拟小号主要来源于运营商推出的虚拟小号服务,包括联通沃小号、移动和多号等。该功能的本意是保护个人隐私,适用于某些场景避免泄露主号,但虚拟小号业务也被卡商以“好处费”诱导他人办理并转售给自己,用于接码等作恶流程

还有一些卡商会将自己包装成企业,凭借企业身份向运营商办理大量虚拟小号。

威胁猎人情报平台曾发现一个虚拟小号平台,该平台的手机号归属地都是黑龙江,并且都是凭借厦门某公司和上海某公司的身份登记办理,开通的都是名为“隐私宝”的套餐,如下图所示:

可以推断出:该卡商将自己包装成位于厦门和上海的两家公司,向运营商申请了大量虚拟小号。

2.通过特定业务办理

除了运营商,某些企业也支持类似的虚拟小号业务,比如国外的 Google Voice、国内的阿里小号,以及云厂商提供的隐私保护号码等。

这类号码要以企业身份申请,并且资质审核严格且周期长,但一旦申请成功就能一次获取上万甚至十万规模的虚拟小号,因此常被被卡商恶意利用注册大量黑手机卡。

其中,云厂商提供的隐私保护号码,近年来被卡商滥用的情况愈发严重。利用云平台隐私保护通话自带的短信通知功能,卡商可以轻易编写出自动化的接码程序,如下的代码片段就来源于某个卡商写的接码程序,对短信通知的接口参数进行了赋值:

威胁猎人情报平台曾捕获一个名为星×码的黑产团伙,该团伙在极短的时间内获得超过 30 万张手机号,全部来自于国内某云平台的隐私保护号码。

企业如何防范黑手机卡作恶?

2020 年 10 月以来,国家全力开展“断卡”行动,一定程度上限制了卡商获取黑手机卡。但由于卡商能获取手机卡的渠道和方式众多,并且有的获卡方式经过层层包装过于隐蔽不易被发现,卡商获取黑手机卡的行为很难完全杜绝,这对企业而言,有批量黑卡注册业务账号作恶的隐患。

针对黑手机卡的攻防是一场持久战,企业应建立识别不同黑手机卡的能力,基于此针对不同的黑手机卡采取差异化的治理策略:

猫池卡:为卡商持有,可以直接判定为黑卡。

拦截卡:为了避免误报,可以结合语音验证等方式来判定是否为黑卡。

虚拟小号:明确出现在接码平台的虚拟小号,可以直接判定为黑卡;没有出现在接码平台的虚拟小号,进行风险标记,监督其行为。

那么,企业可以采用威胁猎人的手机号风险画像,对黑色产业链中上游全面布控,及时获取最新的黑卡情报信息,全面分析手机号的行为和属性,精准识别不同来源的黑手机卡,有效防范黑卡作恶、降低业务欺诈风险。

标签:

相关阅读