熱錢涌入,互聯網創業熱火朝天,為了吸引用戶許多互聯網公司投入大量資金獎勵用戶注冊,于是就滋養一批專門賺掙這個錢的人,人贈雅號“薅羊毛”的。在第二屆烏云白帽子大會上,一位烏云的白帽子介紹了黑客是如何薅初創公司羊毛這一問題。
薅羊毛的核心——積少成多
所謂薅羊毛大意是指利用許多互聯網公司注冊就送現金獎勵這點,重復大規模注冊賬號騙取獎勵。通常獎勵十幾二十塊錢,也許你覺得十塊八塊的不多,但是擋不住積少成多,如今網上有許多社區中發布大量的薅羊毛信息,在一些人眼里許多初創公司都是他們眼里的長滿毛兒的羊,這些“羊”還包括各種金融網站,甚至銀行都是受害者,而“薅羊毛”的人獲利豐厚。
一個典型的真實案例就是蘇寧的一次遭遇,蘇寧一次活動失誤,被不知名人士下了1.7萬訂單,蘇寧方面損失慘重,回過頭來許多人開始好奇,那次活動必須要驗證手機號,為什么能在短時間內下那么多訂單呢,當你了解到薅羊毛這一系列問題后就明白過來了。
成熟的薅羊毛產業
網上有許多成熟的薅羊毛網站,網站上羅列的項目非常多,而且更新非常快,從這位黑客在大會現場演示中看到,其中規模較大的網站的業務范圍非常多廣,包括小米米聊,淘寶,支付寶手機注冊綁定,QQ注冊,微信注冊,這些網站可以接收這么多公司發送的驗證碼,進行賬號注冊以及隨后的各種操作,這或許也是小米手機難搶的一個原因吧。
現場黑客還專門找出來一家網站做了介紹,這家網站非常成熟,居然有各種客戶端,甚至還對外還開放了API接口,功能強大,而且據說安全措施做得還很好,沒有明顯的漏洞,比許多初創公司做得要好。而且這家網站的項目平臺覆蓋廣泛,包括蘇寧、一號店、百度、樂視、美團,京東綁定注冊等,總過可以接收一萬兩千種手機驗證碼。這些都是真實可用的嗎?
現場演示薅羊毛
注冊:黑客還在現場演示了注冊大眾點評賬號的視頻。首先,在“羊”平臺上操作填寫手機號碼,獲取手機校驗碼,然后注冊成功,全程一分鐘,這個完全可以自動化完成,按照黑客所說的“注冊的過程就是一個數據包的事情”,言外之意就是完全可以自動化大規模進行,只要你有足夠的手機號來接收驗證碼。
套錢:以某網絡金融理財的公司為例,這家公司舉行注冊贈送2000體驗金的活動,通過推廣鏈接注冊的人會再次贈送2000的體驗金的活動。雖然不能提現,但是可以在平臺上投資換取回報,黑客反復使用一個推廣鏈接注冊,很快就能拿到好幾萬的投資金額,如果將這一過程自動化完成,被多人利用的話,平臺無疑將遭受非常巨大的損失,后果非常嚴重。只要你有足夠的手機號來接收驗證碼,這一切真的可行。
手握大量手機卡接收各種驗證碼
目前國內有比較大的短信平臺有五六家,一家十多萬,這些平臺哪里來的幾十萬上百萬可以正常使用的手機號呢?而且多個手機號擠在一起信號質量也很難保證,這個問題又是怎么解決的呢?
原來,他們使用一種叫做貓池的東西,上面有很多小天線,下面有SIM卡,一個盒子可以插幾十張上百張的卡,通過電腦操作接受驗證碼發送短信,非常方便。為了解決多個手機號聚在一起造成的信號差的問題,他們把這些卡分布在全國各地。現場的黑客用一些手段調查后發現,禁用了三天時間就抓取到近14萬這樣的手機號,可見規模之大。有趣的是,現場的黑客查詢歸屬地后發現,廣州深圳東莞三地最多。
這些貓池位于灰色地帶,因為現行中國法律并沒有這方面的條文,新聞報道上有人因為用幾萬張黑卡從事短信詐騙而遭查處,但如果不直接從事詐騙,使用這類產品便不屬于違法行為,但我們似乎又找不到這類產品的合法用途。
根源在于三大運營商
這些手機卡又是從何而來呢?這又牽涉到另外一個地下產業叫做手機黑卡,卡的最終來源很明確,就是三大運營商,這些卡都是未實名認證或者被別人實名認證的,為了規避一些麻煩,通常使用過程中認證人和卡的使用地不在一個地區,許多正常使用的卡其實都已經被用來注冊過多個賬號,以次來爭取利益鏈的最大化。很明顯,這個過程中電信運營商跟這些有很大關系,以至于這也成為了一個大的產業。
手機號來校驗賬戶安全是現在很常見的做法,通常通過運營商短信來進行校驗比直接識別圖片類型的驗證碼更簡單方便,看似更加安全有保障的手機驗證碼因為手機號的問題給許多互聯網公司帶來了許多看不見又確實存在的損失。如果不從根源解決這些問題,建立各種法律制度這一問題還將繼續持續下去。
京公網安備 11010502049343號