从刷单到接码,黑产是如何运作的

山东临沂女大学生被骗离世案的几个犯罪分子被抓到了,大家可能觉得,这诈骗犯还是蛮好抓的嘛,几天就抓到了。

其实,这类诈骗背后的黑色产业难以铲除,主要原因在于成本低、收益高,而且无孔不入,所以导致黑产屡禁不止,我们通过几个案例来感受一下:

天猫赔付

天猫规定,拍下付款后如果卖家缺货/在72小时内没有发货并出现有效物流信息,从卖家的保证金里赔付货款的30%的天猫积分给买家(单笔五万分-五百人民币上限),于是有人利用这个规则,专门寻找价格标错的的商品,一拥而上每个号拍数个1700元左右的订单,然后卖家发货则亏大,不发货则赔30%,反正有七天无条件兜底。甚至还有人拿特殊的软件搜长期不在线,疏于看管,但是却不下架商品的店家,原理相同。

【安安点评】

理财交易平台也有类似的方式,用爬虫爬错误的价格,如果有人出售时标错了价格,少输入了个“0”什么的,瞬间就被人买走了。所谓的特色软件,其实就是爬虫工具。

垫付刷单

这个骗子很多,但是有诚信的也不是没有,私下店家会开活,分为两种,卖家用储蓄卡给你支付,不怕你退款,几次后,你可以自己垫付,一般是2小时或当天18点以前返款,一单酬劳在6-10元左右,金额越大,号的质量越好,酬劳越高。

现在淘宝销量排前面的茶叶,减肥,壮阳,卫浴,这四个类目没有不刷单的,搜什么金骏眉铁观音,出来的全是刷出来的店。发布任务时候店家就说的清清楚楚,就是为了提高关键字排名,让刷单者从“铁观音”之类的关键词搜索,然后Ctrl+F找他们店,天猫跟C店无异,除了刷单的信誉会好点以外。

【安安点评】

刷单永远都是黑产中最常见的作弊方式,安安曾经坐优步,下车后又叫优步,又被派送了同一个司机,结果司机被优步认定为刷单惩罚了,可见商家对刷单的深恶痛绝。大部分刷单可以通过技术手段控制,比如优步可以禁止用户匹配到同一个司机,或者选用咱们的WARDEN来查刷单:)

接码平台

有人豢养大量零租/欠费/濒临欠费的特殊套餐地方卡,例如什么湛江卡,济宁卡,全中国找,只为了符合一个条件:欠费/濒临欠费的时候不断接短信数月,或者月租极低甚至达到零租卡的地步,然后用猫池,即一种早年用于群发垃圾短信,可以将大量未开Sim卡直接连上电脑的设备,建立接码平台专门替人接验证码,一毛钱一条。

例如,我想注册30个大众点评网账号参加天天中奖——一个抽代金卷的活动,但是需要30个手机号,于是我就去找这类接码平台买验证码,选择你所需要注册的网站(美团大众苏宁国美,上百个可选),然后他会显示一个没注册过手机号给我,我拿这个点注册,验证码由接码平台系统接到反馈给我,然后我输入,就得到一个注册成功的大众点评账号,这样的账号存活率不高,但是短期使用足够。

【安安点评】

短信验证码是羊毛党、恶意注册必须要绕过去的坎。坦率地说,互联网公司对这种接码平台的防范还比较困难,比较好的思路是用蜜罐:用蜜罐抓取这些恶意号码,添加到恶意名单。

团购套现

团购网站常常会推出一些体验性质的活动,类似于小额全免的,只要是全免就有搞头,例如美团网有一个明星请你看电影的活动,每个人最多送40张一元无限制代金卷,或者前阵子的糯米手机首单二十五元无限制劵,那就有人动脑筋了,美团送无限制劵那次,无锡当地有一个卖蛋挞的老板,他在美团上有团购,一元一个,然后他一下午领了一万多张劵,全在自己店里卖家号上消费掉,美团给他一万货款,这是极端的,你也完全可以拿着这个劵,去找当地的正好符合代金卷金额的商家,说这个吃的我不要了,你给我点钱,总之货款是团购网站给你,咱俩都不亏,一般小商家都不会拒绝。

【安安点评】

这个算是薅羊毛范畴,现在的互联网公司常常通过优惠券来拉新用户,或者刺激沉默用户,如果不能把握好优惠券的反作弊,很可能就会大大超出预算,直接造成经济损失。

僵尸号反复抽奖

这个我认为最无聊,很暴力,就是微博转发,QQ抽奖,有人成千上万个账号拿软件没日没夜的抽,大家拼机型和账号数量,然后把奖品拿到淘宝卖,最有名的就是今年春节的蒙牛有好礼码上幸福年,每个QQ每天能抽三次,一共送一万箱纯甄/焕轻/奶特,以中粮我买网提货卷的形式支付,反正淘宝上最火那家店卖出去将近两千张劵,而这个活动参与总人次我记得是一亿三千万还是一亿四千万,你们感受下僵尸号的威力。

【安安点评】

黑产也是蛮拼的,难怪安安平时参加抽奖从来没中过奖,奖品都被黑产抢走了!从企业角度考虑,这也是一大笔损失啊,本来这些福利是要给到正常的用户,提高用户活跃和口碑的。

实名支付宝/资料

淘宝号用处很多,但是支付宝不实名屁用没有,于是就有人出售能够用来实名的资料以及账号,使用的时候就让你顶掉原拥有者的账号,于是有些人的账号就被莫名其妙顶了,这个原理是什么嘞?

为防社工库高手利用大量资料搞僵尸号,支付宝实名目前已经使用了一套安全度极高的实名验证方式,即跟公安系统联网。

检查银行卡姓名和身份证姓名是否对应 身份证号加姓名是否真实对应 银行预留手机号以及验证码和银行卡是否对应 或支付宝打进这个银行卡号的那笔款项是否正确。

这是一个非常聪明的反击,这相当于变相把账号注册的难度和银行的安保级别挂钩了,因为没办法用虚假身份办银行卡,这样对于买手机号,查身份证号的人,就傻眼了。

但是聪明的你一定发现了,这里有一节是断的:

没错,就是身份证号和银行卡号不要求对应,

这说明什么呢?

假如你叫李刚,中国得有百万李刚,通过某些社工库,能搜到上千个李刚的开房记录,包括身份证号,然后,他只要掌握了一张李刚的银行卡,那么,当当,他可以用这张银行卡匹配全部李刚的身份证号,拿来做新的实名账号也可以,顶掉这些李刚已有的支付宝也可以。

【安安点评】

这个操作起来难度还是蛮大的,而且支付宝还需要绑定设备,所以这种方法只适合拿来做新的实名账号,危害相对要小一些。至于某些人拿创建的新号去做什么,想想还真是细思极恐。