北京商报记者获悉,在网络盗号案中,警方破获了大验证码平台——爱码案件,从而揭露了此类验证码平台背后的黑色产业链。包括爱码在内的平台通过介入验证码平台,使用插卡设备“猫池”,提供上万个网站项目的接收验证码服务,除了造成外卖平台数千万元的损失,还形成了欺诈行为。业内人士认为,这与电信实名制落实不彻底有很大关联。
验证码成信息泄露大黑洞,各大外卖平台损失千万元
新平台造“羊毛党”
据了解,包括爱码在内的验证码平台的一大收入来源,是钻外卖订餐平台及许多电商平台推出的优惠政策漏洞。很多平台为了保证注册用户的真实性,防止恶意注册和撞库登录等问题,都会在注册、登录模块设置短信验证码进行身份验证,比如饿了么、美团外卖、百度外卖等外卖平台都通过“首单优惠”政策用以拉新。
在这种商业模式下,利用验证码获取利益的互联网平台便滋生。由于普通用户手中一般只有一两个手机号码,平台上的一些优惠政策只能享受一两次,为了满足消费者“贪小便宜”的心理,一种叫做“猫池”的设备被发明出来。
北京商报记者了解到,“猫池”像一个能插多张手机卡的简易手机,可以理解为N卡N待,把大量的手机SIM卡插入“猫池”后,不管有没有实名或是否欠费,只要可以接收短信可以使用。一台电脑可以连接几台“猫池”,每台“猫池”根据端口数量的不同,能同时插入8-64张手机SIM卡,可以形成验证码接收平台,从而以新账号的姿态在各种平台上注册,成为所谓的新用户。
警方透露,由卡商购买“猫池”及手机卡,然后接到爱码这样的验证码平台上,手机号码注册电商平台或网站之后,卡商会接收到验证码短信,打码后再传送给验证码平台,后验证码平台将结果反馈给与此有连接服务的扫号软件,直接让黑客绕过短信验证实现撞库。
一些小型商家自己买“猫池”、收手机SIM卡,在QQ群里兜售接受验证码的服务,贪小便宜的外卖用户在搜索、QQ群等途径获知联系方式。北京商报记者在QQ平台上搜索“验证码”三个字后,出现几百个QQ群,如“手机验证码”、“验证码短信通道”、“九州卡商验证码”、“代接验证码”等QQ群。他们为用户提供手机号合作点外卖。以某外卖平台首单优惠20元来算,用户用黑卡订餐,付给刷手10元外,自己还能省下10元,为了天天吃上“很便宜”的外卖,许多普通用户成了黑卡平台获利的帮凶。
在网上,这种赚取小额返现奖励或者占取外卖平台便宜的角色被称为“羊毛党”,不仅是在外卖平台上,也在P2P网贷平台上。一些新平台上线,会推出注册送50元等类似活动,吸引投资者注册,有些投资人会借几个身份证,一人注册多个账号,赚取小额奖励,这些小额奖励即所谓的“P2P羊毛”,对于那些活跃在各P2P平台上专门薅羊毛的投资者,业内称他们为“P2P羊毛党”。对于疯狂刷单型的羊毛党来说,通过“猫池”可以用几百个手机号、身份证、银行虚拟卡对同一活动狂薅。
验证码成诈骗工具
不过,零散的卡商只是验证码产业链中很小的一部分,像爱码一样的平台级卡商,手中往往握有几百万张手机SIM卡,可以提供9000多个网站项目的接收验证码服务。如上述类似骗取优惠的事例,在所有推出首单优惠的平台上都可以重复,在不良用户和验证码平台双方得利下,外卖平台的损失无疑非常严重,以700万手机黑卡计算,仅此一项给三大外卖平台带来的损失高达数千万元。
阿里巴巴集团安全部合成作战中心高级安全专家璃珞透露,为了刷单和占优惠而购买服务的人,只占很小一部分。调用手机验证码的服务终指向的都是大型电商平台,有15%-20%左右去“薅羊毛”(即享受优惠),70%是用这些手机号生成的账号来欺诈。
警方指出,在黑客绕过短信验证实现撞库后,个人信息和账户中的财产将无一幸免被盗走。爱码平台提供的服务项目大概有上万个,价格从0.1元到1元不等。去年10月破获的、半年之间涉案的、有历史记录的交易金额大概上千万元。据不完全统计,2015年互联网黑灰产业从业人员已超40万,比前年同比涨90%,规模据估过千亿元。
警方及互联网安全专家都认为,此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度。
电信实名仍是关键
“今年以来,电信运营商在实名制方面做了很多工作,但是在对于二级服务商的管理上,还是存在问题。”璃珞指出。正像上述所描述的,验证码平台可以获得几百万个手机号资源便是其中重要的问题所在,因为按照电信实名制的规定,每个用户所能申请的手机号码数量是有限的。
在实名制还未被特别强调之前,黑卡大量存在,一些网购平台甚至明目张胆地进行号码买卖。产业观察家洪仕斌指出,非实名登记现象泛滥,很大一部分原因在于电信运营商靠渠道养卡、盲目追求用户数量,以前是三大运营商,近两年则是虚拟运营商。
北京商报记者调查了解到,自2014年移动转售业务启动,部分虚拟运营商走线上渠道吸引用户效果不理想,为盲目追求用户数量,便利用线下渠道养卡,即兜售给卡贩子,由此滋生了非实名卡、黑卡等乱象。由于许多虚拟运营商是轻资产企业,缺乏销售渠道,依靠单纯的线上渠道很难发展规模用户,只好靠线下的卡商、卡贩来分销。
今年9月,工信部、银监会、公安部等六部委联合发布了《关于防范和打击电信网络诈骗犯罪的通告》,对实名制落实提出了明确时间表,同时对电信运营商开卡给予了数量限制。洪仕斌认为,六部委出台的关于防范和打击电信网络诈骗犯罪的通告,规定电信实名认证年底要达到,到时此类验证码平台的生存环境会差一些。