互联网平台黑产解密（上）

互联网平台黑产解密(上)

这是一个最好的时代。互联网如此普及，市场有无限可能，大量的创业公司崛起，生活服务无不能连接到互联网，让人有了更多想象。

这也是最坏的时代。伴随着新型业务的出现和增长，黑色产业(以下简称黑产或黑灰产，不作具体区分)正在野蛮生长，而每个企业在初期都会缺乏风险控制意识，都曾为此付出过沉重代价，Uber 打车、拼多多、ofo、外卖、无数的 P2P 平台、无数的广告主……

羊毛党、水军、僵尸粉，这些都是大众熟悉的黑产，因为他们能够被大众接触到或者感触到。

然而黑产远不只这些，他们早已经形成了庞大的产业，始终紧盯着企业营销运营的手段，并让企业付出巨额代价。

1、黑产的危害

据不完全统计，中国网络的黑色产业规模已达千亿元的级别，手段五花八门，刷单让平台防不胜防，因被刷单而导致重大损失的案例举不胜举。图1~ 图4 分别是Uber、外卖、ofo、消费金融被黑产侵蚀的例证。

 图1  Uber 被刷单(图片来源于网络)

 图2　外卖被刷单(图片来源于网络)

 图3  ofo 红包车被刷单(图片来源于网络)

图4　金融黑产(图片来源于网络)

从中可以看出，刷单黑产已给企业造成严重的经济损失，刷单严重者，每日给企业造成的损失高达千万元，对于很多创业阶段的小企业来说，可谓致命一击。为此，国家针对刷单事件进行了立法支持，每年因为刷单而追究刑事责任的案件不在少数，全国第一个刷单案由杭州市余杭区人民法院公开宣判，“90后”刷单者李某某因犯非法经营罪被一审判决五年六个月，连同原判有期徒刑九个月并罚，决定执行有期徒刑五年九个月。

2017 年 11 月 4 日全国人大常委会通过了新修订的《中华人民共和国反不正当竞争法》，对刷单相关的法律条款进行了完善，明确规定了惩罚力度。

刷单影响到了每个互联网人。刷单严重的平台失去了消费者信任；面临刷单不公平竞争排名的情况，平台中安分经营的商家被逼着刷单，形成恶性循环。传统线下场景中，消费者可以看到实物，通过观察可以与商家建立初步信任，而互联网时代，消费者看不到实物，往往通过平台的信用体系(如评分、评论)做出判断。刷单破坏了这个体系，久而久之破坏了平台的生态。

然而黑产之大，绝非刷单一种形式，盗刷、诈骗、攻击、木马等花样层出不穷。消费金融的空前繁荣，让黑产有机会顺水推舟，涌入新兴产业中。黑产人员能通过搜集并整合各个渠道泄露的用户信息，用完成一幅拼图般的耐心，精心拼凑出每个用户信息。银行卡盗刷、透支让很多受害者几近倾家荡产，还要忍气吞声。目前信用卡相关法律尚不健全，持卡人的信用卡被盗刷后，需要向银行提供非本人刷卡的证明。即使是这样，很多银行要求在没有破案前，持卡人先对盗刷金额买单。

除了盗刷，欺诈更是不容忽视，据第三方统计，消费金融领域，超过 50% 的损失是由于欺诈导致的。欺诈即骗贷，某医美分期平台负责人曾公开表示，整个医美市场的贷款量大概是 60 亿元，其中就有 15 多亿元被骗贷者们攫取。黑产危害，可见一斑。

2、黑产的产生

1●有利益的地方就有黑产

新型互联网事物在推广期往往会采用补贴的手段吸引新客加入，补贴变相产生的诸如红包、赔付、优惠券等形式，成为黑产的关注焦点。创业者在业务不断扩张、求生存的阶段，重点更多放在产品的体验和业务不断完善上，加之在产品设计环节缺少抗风险意识，导致黑色力量与正常用户同时成长，甚至超越了正常用户的体量而使企业破产的情况也时有发生。

外卖行业里的满减优惠(指用户下单达到一定金额后减免一定额度)，本意是吸引用户下单，提高客单价，但如果能打破满减次数限制，或者买卖双方串通起来，就会演变为作弊；金融领域的借贷，通过盗用他人的身份信息或者购买虚假信息骗贷；出行领域的“幽灵”司机则是团伙作案，牟取暴利(见图5)

 图5　网约车黑产(图片来源于网络)

2●泡沫效应

利益的驱使让黑产总有可乘之机。让很多人想不到的是，一些表面的繁荣其实只是海市蜃楼，主动刷单在很大程度上又助力了黑产的发展。一直以来，刷榜刷量行为是业内的一个比较隐晦的话题。应用程序开发者在应用商店上架自己的 App 后，苦于下载量、安装量上不去，开始尝试寻求刷榜的力量，一旦看到效果，便会变本加厉。

在这个产业链中，刷榜已是常态(见图6)，就像正常商品一样明码标价，不少公司为了曝光自家的 App 都有此行为，刷榜行为几度让苹果应用商店更新了排名算法。微信公众号刷量事件更是戳破了行业泡沫，电商平台、外卖平台的投机商家也主动寻找中介帮自己提高销量。刷，已成为一些个体 / 企业宣传推广的常用手段，已成为一些群体的固定职业，已成为一些推广机构、中介平台的生存手段。在这个泡沫中主动要求刷量的行为助长了黑产气焰，而因此带动的黑产繁荣会给他们带来大量的损失。

 图6 App 刷榜

因此，不论是平台漏洞导致的被动利益吸引，还是主动的“推广营销”行为，都为黑产的产生和增长提供了空间和助力。这两方面却又存在矛盾：针对平台漏洞，平台往往需要考虑风险控制措施来打压黑产；而主动的“推广营销”却让黑产继续“合理”存在，反过来再把技术手段应用于漏洞导致的利益，可谓环环相扣，冤冤相报。

除此之外，国内征信体系的不完善和大数据风控人才的欠缺，也给黑产的发展提供了机会。大数据风控的普及在国内还面临诸多痛点和难点，甚至被挂以虚名、实则无风控，让大数据风控在监管层面遇阻，这些都为暗处的黑产带来了便利。

3、黑产的类型

黑产都是为了利益而存在的，根据平台业务涉事方参与黑产能否直接获得金钱利益，可以分为两类

1. 直接套利型

主要的形式包括外卖平台上的套补贴，金融类的骗贷，共享单车的刷红包，打车行业的套补贴、线上推广的刷下载量和安装量，广告的刷曝光点击量等，以及为达到此目的而产生的虚假实体(如虚假用户、虚假商户、虚假司机、虚假媒体等)。这种类型的涉事方一般通过作弊、刷单，或者通过接活中介直接就可以获利。

2. 间接套利型

主要的形式包括电商中的刷量、刷排名，社交媒体上的刷榜、刷量，社区中的水军，以及以广告诈骗、垃圾灌水、黄色信息推广为主的内容型黑产等。这种类型的涉事方一般不能直接获得金钱利益，中间往往还需要转化，如刷排行的因为排名靠前导致更多曝光机会，进而带来更多新增用户；在贴吧发古怪文字加链接的水文，因为用户单击链接的次数增多而带来更多下载量。当然对于接活的黑产工作室来说，不存在直接、间接的概念，总是可以获利的。

根据黑产活动对业务的影响，又可以分为业务安全型和内容安全型：

1. 业务安全型

指对业务正常运转有影响的黑产，会导致业务的资产损失、生态破坏(劣币驱逐良币)以及体验变差、信用口碑下降等问题。包括上述的直接套利型和间接套利型中的刷量部分。

2. 内容安全型

主要是指内容不符合监管要求，以及不满足平台的内容管理规范和价值观的黑产。黑产作恶后的直观表现是在图、文、视频上肉眼可见。

事实上，不同的黑产类型在作案手法上差别较大，对抗的理念也会不同。直接套利型的黑产在不同业务场景上虽然手法区别不大，但与业务结合后，会产生“变异”，想要复制其他业务上的对抗方法，成本依然相当高，不过其命脉在于“利”，在获利空间上下功夫可以实现很好的效果。业务安全型的黑产在数据表征上就是异常，它们与绝大多数正常用户行为不同，因此，对抗业务安全型实际就是在做异常发现。

4、黑色产业链

黑产在实际操作过程中需要多方配合，他们以盈利为目的，有组织、分工明确地团伙式作案，追求低成本、高回报。根据分工不同，主要包括以下利益方。

1. 信息收集人员

主要负责盗取用户身份证号、银行卡号、手机号、手机 SIM 卡、微信账号等隐私信息。可以通过技术手段(如拖库、撞库等)偷到用户信息，也可以通过灰色交易收购大量旧手机、手机卡(一般称之为卡商)等囤积号码。手机卡一般来源于物联网卡、虚拟运营商的未实名卡(卡商可以通过收集网络数据进行实名化)、海外卡以及企业内部违法倒卖的实体卡号等，其中虚拟运营商的未实名卡(黑卡)占大比例。细数这里面的人员，包括办黑卡的卡商、收黑卡的卡商、制作猫池设备(参见图7)的厂家，以及号商(出售微信账号、支付宝账号等)。随着国家对隐私信息的保护力度加大，以及用户隐私保护意识的增强，以上身份信息获取难度大了很多，但依然有很多企业内部人员，利用职务之便非法倒卖用户数据。2020 年 7 月，铁岭市公安局破获了一起兜售实名微信号的黑产案件，数额巨大，而数据的来源就是某企业数据中心工作人员和某平台工作人员。

 图7　猫池设备(图片来源于网络)

2. 验证码供应商

主要负责提供短信验证码、语音验证码。卡商提供的手机卡通过有通信能力的猫池设备接入验证码接码平台，专门用来收发短信，根据获取渠道不同，每条短信的费用从几分钱到几块钱浮动。通过自动化管理软件，管理众多手机号在不同平台的出现次数，同一个手机号可以在多家平台以新用户身份使用。此外，一般还配备可视化平台，对验证码发送请求量、成功率等指标有较为详细的监控，资费标准明码标价。提供这种服务的平台数不胜数，如易码、讯码、51 接码、E 码、火云、芒果、神话等，关键还有数不清的低调到没有名字的平台。这两年国内很多公司开始瞄准国外市场，针对国外的短信接码平台也涌现了一大波。图8 所示的是正在使用易码平台接收短信验证码，图9 所示的是 Z-SMS 提供的在线短信接码服务，无须登录即可看到短信内容。

 图9  Z-SMS 在线短信接码

除了短信验证码和语音验证码平台，还有打码平台，如图10 所示。在注册或异常登录环节，一般会设置图片验证码来屏蔽机器人，这种图片中含有字母、数字或者汉字等，人肉眼很容易识别，但是对于机器来说，需要大量的样本进行算法训练进行识别。而打码平台既提供机器识别能力，又提供人工解码能力，即雇佣人去解码，标注和解码一举两得。参与打码的人一般称为打码工，按打码数量计算收入，当然也会计算正确率。

 图10　某打码平台(图片来源于网络)

3. 技术研发人员

主要负责模拟器、手机参数修改器、定位修改器、按键精灵等软件研发，这类技术研发并不一定是为了用于黑灰产，但却可以为黑灰产所用。例如，手机参数修改器可以做到一键修改手机参数；定位修改器可以让手机定位“穿越”到任何想去的地方，并可以模拟出轨迹。目前国外已经出现了采用人工智能技术进行刷好评的做法，效果逼真。国内一些电商平台也开始出现技术刷好评的现象，可以预见，未来黑产领域也将智能化。这不，以前黑灰产用单机加抹机神器(图11)就可以刷出一片天地，今天就连模拟器也换成了云手机，采用云指令技术，云端操作，可实现一台手机变多台，可以一键新机，可以改定位，成本也就日均一块钱。

 图11　抹机工具

4. 刷单中介 / 工作室

主要负责制定刷单攻略、联系客户、组织并实施技术刷单操作。把刷单攻略制作成详细可操作的教程，一份教程可卖几十元到上百元，通过 QQ 群、微信群等社交工具雇佣刷单人群。中介对各大平台的业务流程都很熟悉，承包任务，伪造信息，甚至公司内外勾结。目前很多工作室除了有很多“拉活儿”的销售商务，也具备信息采集、接码、技术研发等能力，能够在模拟器、云手机、按键精灵、脚本、木马等方面做很多研发工作。

5. 刷手

主要负责具体的刷单操作，这类群体中不乏学生、家庭妇女、乡村农民等各类型的刷单职业工作者和不知情被利用的人群，职业者往往遍布于各个刷单的论坛社区、QQ 群、微信群中。

图12 描述的即为黑色产业链的上下游，其中每个角色在实际中并不是单纯负责一个环节，比如卡商可以提供号商的能力，接码平台本身也可以兼作卡商。产业链中主要涉及设备、卡、号和软件，整个产业链围绕的核心就是解决这些资源的货源问题，而刷单中介 / 工作室主要是解决资源整合和人的问题。所以，做黑产与开一个网上店铺很相似，以前是自己解决货源问题，自己拉新做活动，而现在平台可以提供很多赋能工具。

 图12　黑色产业链

5、黑产的焦点

只要有利益的地方就有可能存在黑产，但从黑产的角度看，是否值得黑，关键就在于事情的成本与收益的衡量，所以黑产往往聚焦于那些低成本高收益的行业，比如互联网金融行业、电商行业、O2O 行业。对于低成本低收益的行业，通过量的积累，也可以快速达到高收益的效果，比如初入市场阶段的创新型互联网产品，如 ofo 共享单车、滴滴打车等。针对相对稳定的互联网产品，因新增功能的推广涉及的利益引诱依然是黑产关注的焦点，比如支付宝推广阶段的分享红包。

据笔者不完全统计，目前黑产关注最多的行业有互联网金融、电商、O2O、社交、新兴行业、游戏(游戏行业的黑产与前面几个行业的黑产有很大区别，主要涉及外挂、私服、黑卡、盗号、挂马等手段，因笔者经验有限本书较少涉及)。

1●互联网金融

互联网金融中有两类比较常见的欺诈场景，一是刷新用户，二是假身份借贷(俗称骗贷)。自从 2013 年余额宝引爆互联网金融以来，各种金融产品层出不穷，为了吸引更多用户加入，各个平台都在新用户注册这块砸下重金。刷单者利用手机黑卡到各互联网金融平台大量注册新用户，平台补贴的新用户奖励大量落入刷手口袋中，效果大打折扣。

骗贷曾经形成了专门的产业链，由贷款中介推动，办理假资料，伪造账单、消费记录，钱一到位就彻底消失。消费分期和现金贷等小额贷款已成重灾区，骗贷者往往使用同一批资料，利用平台之间的信息不互通，短时间内在多家平台连续骗贷。目前业内逐步建立了数据共享机制和行业黑名单，防范骗贷现象，国家在对待金融风险方面也下了很大功夫，2019 年以后，互金相关的黑产随着行业发展逐步落幕。

2●电商和 O2O

电商和 O2O 领域的刷单基本是相通的，一般联合商家刷优惠、刷信誉、刷销量、刷排名等。刷优惠吸走了平台的资金，直接导致经济损失，其他的刷单则对平台的评价体系注入垃圾，损害平台口碑、误导用户，影响平台整体的生态平衡。在电商和 O2O 领域，一般涉及 B 端(商户)、C 端(用户)、物流和销售四部分，涉及的业务链条长，产品细节多，单一角色防控难以产生效果，往往一波未平一波又起，因此是黑产关注的行业里最复杂的一类。

3●社交行业

社交行业的黑产主要在社交平台大量注册小号，从事发广告、刷粉、刷阅读量、充当网络水军、传播色情内容、进行网络诈骗等。被黑产关注最多的社交平台主要是流量大的渠道，如微信、QQ、微博、陌陌、贴吧等。

4●新兴行业

不断涌现的新兴行业始终是黑产关注的重点，行业新生的产品往往因为快速抢占市场，在风险控制方面比较薄弱。典型的例子如共享单车、打车、众筹、P2P、区块链。

2017 年 4 月，ofo 推出红包车，打开 ofo 手机 App，在红包区范围内开锁，且骑行时间超过 10 分钟、距离达到 500 米，即可获得现金红包。因为 ofo 没有 GPS 定位，无法定位到每一辆小黄车，而且用户结束行程不用锁车，所以用户只要在规定的“红包车区域”内

选取任意一辆小黄车，输入 ofo 车牌号(甚至可以输入不在此区域的红包车)并获取密码，就能开启“骑行”状态了。操作十分容易，很快成为职业刷单者眼中的肥肉，正因为如此轻松就能赚钱，导致大量用户也加入刷 ofo 红包的活动中，可谓损失惨重。

随着新兴行业的逐渐成熟，风险会逐步可控，但又会继续出现新的行业，黑产就像野草般“春风吹又生”。

预告：下一篇文章将介绍黑产的运作方式和技术演变。