手机实名制收紧，羊毛党转向物联网卡继续薅羊毛，黑产收益高达2.5万倍

hwyzw

    手机实名制进一步收紧，羊毛党员转而利用物联网卡继续“羊毛收割”生意。专业机构估计，黑色生产的收入可达投入成本的25000倍。

    作者 |饶文仪

    在双十一这样的电商活动中，狂欢的不仅仅是消费者、商家和电商平台，还有善于从平台推出的优惠活动中获利的人。

    据阿里巴巴发布的《阿里巴巴安全2016年度报告》显示，2016年各类互联网经营活动中，缺乏安全防范的红包或促销活动均被羊毛帮利用机器或小号抢夺，获取牟利产品。 。 ，并通过高价出售赚取差价。

    “基本上70%-80%的促销折扣都会被毛利人抢走。”这份报告的统计数据显示。

    事实上，“徐玉玉事件”发生后，有关部门对手机实名制的监管进一步收紧。 2016年5月，工信部下发通知，要求各运营商进一步登记电话用户真实身份信息，确保到12月31日企业所有电话用户实名率达到95%以上，2016年，2017年6月30日之前，所有电话用户都必须实名注册。

    从表面上看，相关法律的出台限制了羊毛党的生存空间。在非法互联网产品的链条中，手机SIM卡一直扮演着重要的角色——通过大量手机SIM卡的批量操作，羊毛们在获得相关折扣时有较高的胜算。

    因此，监管的收紧，意味着这些黑产业从业者不能再像过去一样无节制地申请手机卡，以达到在互联网重大经营活动中“薅羊毛”的目的。

    不过，实名监管的收紧似乎并没有给羊毛党带来太多限制。在不同的平台上，依然随处可见他们掠夺商家、交换利润的身影。因为除了手机SIM卡之外，羊毛们又找到了新的载体——物联网卡，继续自己的“事业”。

    “目前非法互联网产品中，使用手机卡的约80%是物联网卡。”信息安全咨询公司  COO朱克定告诉界面新闻。 “威胁猎手”是一家专注于帮助企业防范和解决羊毛党、恶意注册、撞库攻击等安全威胁的公司。

    目前业界对于物联网卡还没有正式的定义。更多时候，物联网卡是指不具备语音通话和短信功能，只能提供流量和上网功能的SIM卡。

    由于这一特性，物联网卡更常用于物联网设备，例如智能水表、智能电表等。通过嵌入物联网卡，可以实现不同设备之间的数据连接。

    近两年成为“热点”的共享单车，是物联网卡应用最为广泛的领域之一。通过嵌入物联网卡，用户可以实时获取与其账户匹配的自行车使用状态，例如自行车是否成功锁定等。今年5月，摩拜单车宣布与四川移动达成战略合作年内将订购四川移动发行的物联网卡100万张。

    不过，界面新闻记者了解到，物联网卡虽然名义上不具备语音通话、短信功能，但通过一定的改动，可以将这些功能添加到卡上。

    对此，中国电信前员工小文（化名）解释说，物联网卡本质上是一个数据通道，通过自身解码可以实现不同的功能。例如，开通短信功能的卡可以称为“注册卡”；开启语音功能的卡称为“语音卡”。

    不过，中国移动运营商强调，其他功能只能通过运营商内部操作系统激活，这个过程一般不向私人开放。 “比如微信，仍然使用基于互联网的短信和语音功能，并不意味着手机卡有这些功能。”那人说道。

    在这三类卡中，语音卡可以说是覆盖的功能最多的。一位卡商表示，包括美团在内的一些平台已经在注册时采用了语音验证码。 “这样的话，就只能使用语音卡了。”

    “（物联网卡）不一定有语音、短信功能，所以一般在开卡时，业务经理会提前了解你的需求。”上述卡商指出。界面新闻记者在查看中国移动的物联网业务时还发现，物联网卡套餐中包含短信相关功能。

    一位卡商也告诉界面新闻，物联网卡有11位和13位之分。 11位卡与普通手机卡类似，具有语音功能，可以收发短信，但禁止拨打其他号码； 13位卡只有11位和13位。可以在同一运营商之间发送和接收短信。

    “11位物联网卡很少，但现在运营商禁止刷单，开卡更加困难。”卡商表示。前述中国移动运营商也认为，13位物联网卡能够更有效遏制黑产现象。

    与普通手机SIM卡类似，物联网卡的发行主要通过国内三大电信运营商运营。小文告诉界面新闻，有规定要求物联网卡必须针对企业客户，但也存在可被利用的漏洞。

    “基本上，只要能出示营业执照，就可以开通物联网卡。”小文表示，从他了解到的情况来看，企业管理者经常在没有深究企业资质的情况下给客户发放物联网卡。一批物联网卡。

    门槛降低，或许是因为销售人员背后的指标压力。腾讯云安全总监周斌告诉界面新闻，无论是运营商还是运营商旗下各级代理商都有发卡指标；为了满足这些指标，他们经常发行过量的物联网卡。

    “据我了解，目前市场上的物联网设备数量和物联网卡数量存在一定差异。事实上，物联网卡太多了，所以会用在其他领域。”周斌相信。

    因此，申请门槛低是现在羊毛党青睐物联网卡的重要原因。朱克定举了个例子：“只要注册一家公司，就可以申请上千张物联网卡。”

    此外，与手机SIM卡相比，处理成本的降低也是吸引毛毛人的因素。

    “同等流量下，物联网卡资费比手机SIM卡低很多。”小文说道。

    界面新闻记者从中国移动物联网卡资费表中发现，以每月1G流量为例，物联网卡资费为每月50元；同等流量的4G SIM卡套餐，每月资费达到88元。

   

    除了办理资费外，物联网卡的成本降低还体现在前期准备等方面。独立TMT分析师付亮向界面新闻记者举了一个例子：“目前一张身份证只能用于五张SIM卡。如果羊毛党想要获得同样数量的SIM卡，就意味着他需要做好准备提前办理一批身份证，这会增加额外的费用。”

    换句话说，从申请难度和成本来看，物联网卡对于那些喜欢使用物联网卡的人来说现在是一个更“实惠”的选择。

    除了直接向运营商申请外，个人用户获取物联网卡最便捷的方式就是向隐藏在电信行业之外的各类个人卡商户购买。

    界面新闻记者在知乎等一些社区输入“物联网卡”进行搜索后，很快发现不少销售物联网卡的经销商。他们的促销词往往是“流量充足”、“最低折扣”等等。

    不过，界面新闻记者添加多家卡商微信进行查询时，部分卡商表示无法再代发“接收验证码”的物联网卡。

    “公司检查严格，不允许开通用于接收验证码、刷单的卡。”该卡商谨慎地表示。当记者进一步询问能否推荐一些可以用来刷单的电话卡时，他没有继续回复。

    也有卡商在了解接口新闻记者对物联网卡的需求后，继续询问具体用途。当记者回答“用于网站接收验证码、刷单”时，他表示：“大多数运营商将这项业务定义为非正式业务，所以大多很难做。”不过，他提到可以帮助记者请人“看看是否还有其他渠道可以开通”。

    其他卡商仍对此类业务表示欢迎，并主动向界面新闻记者推荐相关物联网卡套餐，如“支持收发短信功能，发送短信0.1元/条，可注册各种APP”比如微信、微博。”网站、流量0.2元/MB”注册卡、语音卡“含5M流量、八个月零月租、可领取五分钟语音验证”。前者的费用为30元/张，后者的费用为30元/张。后者成本为17元/件，起订10件。

    此外，一位卡商还向界面新闻记者展示了一些正常号码范围的SIM卡。他将此类卡的成本定为每张120元。 “这种卡就是普通的手机卡，号码范围是150个，所有功能都很齐全，自己用就可以了，月租只要9元一个月。”

    对于只具备基本互联网功能的物联网卡，这些卡商更愿意大规模销售。

    “我们发卡的数量一般比较多，通常以10万张为单位，每张卡的批发价才几块钱。”一位卡商告诉界面新闻。

    卡商并不避讳获取物联网卡的渠道。上述可批发物联网卡的卡商向界面新闻记者暗示，他们可以稳定地从中国电信、中国联通等运营商处获得物联网卡。 “不同运营商的卡费也不同。”

    从这些卡商处购买物联网卡的过程甚至比从运营商处购买更简单。除一名卡商要求提供正式销售合同外，其他卡商均未表示需要提供额外材料。基本上，只要有兴趣的用户下单并直接付款，就可以收到快递送来的物联网卡。

    前电信员工小文也对卡商和运营商之间的这些“合作业务”的规模感到惊讶。他表示，以深圳为例，物联网卡是中国电信一年前推出的一项新业务。由于资费低廉，吸引了众多用户的关注。中国电信还打算收紧物联网卡的发行。

    “一般来说，向运营商业务经理申请数百甚至数千张物联网卡问题不大；但一次申请10万张就不常见了。”多位接受采访的业内人士表示，一个普通企业能从运营商那里获得如此大量的物联网卡，这不是常理。

    付亮认为，卡商从运营商那里获取物联网卡的流程不一定合规。 “运营商应对办卡企业进行资质审核，了解企业信息是否真实。”他补充说，上述情况很可能是一些低层业务人员放松开卡规定造成的。

    在从卡商处购买了数千万张物联网卡后，羊毛党获取灰色利益的过程正式开始。这个过程与传统使用手机SIM卡收羊毛的过程大致相同。

    首先，为了让这些物联网卡同时收集大量信息，硬件设备“猫池”是必不可少的。

    据朱克定介绍，猫吃是一款可以同时支持多张手机卡的通讯设备。卡槽数量从8个到2048个，用户将手机卡插入卡槽后，可以使用电脑进行批量操作。 “可以说，猫吃类似于一部多卡多留的手机。”朱克定说道。

    拥有毛吃的人可以选择将自己的“资源”放在卡商平台上，供毛吃购买和使用。据威胁猎手公众号《黑产大数据：手机黑卡调查》一文信息显示，国内知名卡商平台包括星辰、阿莱赞、玉米等。其中，星辰还可以接收语音验证码。

    界面新闻记者进入星辰平台网站后发现，该平台提供了如何发送和接收验证码的说明。引导界面显示，该平台覆盖的应用有微信、淘宝、京东、滴滴、58同城等。只需在平台下载的验证码获取软件中填写相关信息即可可以批量获取软应用注册所需的验证码。

    “对于普通小企业或者传统企业来说，由于对非法生产的防范力量太弱，这种羊毛采摘行为几乎是无法防范的。”朱克定说道。

    他举了一个曾经为传统企业服务的威胁猎手的例子。尽管该企业有上百名员工，但真正熟悉安全业务的人却寥寥无几。当遇到黑产品时，该公司相关负责人一开始只能想到一些简单的策略来抵制，比如登录超过100次后停止某个IP的登录权限。

    “对于现在的羊毛党来说，这种抵抗几乎没有任何作用，只需要一些代理IP就可以突破防御。”朱克定解释道。

    在猛烈的攻势下，很多企业往往损失惨重。威胁猎手粗略估计，一张黑手机卡最终在羊毛团伙或账户贩子手中可以产生近百元的收入；如果每年产生4000万张黑卡，相关企业每年将损失40亿元。如果按照80%计算，每年非法制作物联网卡的规模可达32亿元。

    另一家互联网业务风控服务商钱科技预计，黑品收益可达投资成本的2.5万倍。

    不过，界面新闻记者了解到，在这个链条中，企业并不完全是受害者，有时也是受益者。

    钱科技相关负责人告诉界面新闻，2014年之前，曾有初创企业为了拉拢投资人而刻意引入羊毛党的案例。

   

    朱克定证实了这一情况的存在。他向界面新闻记者展示了网上的一些“羊毛收割平台”。这种平台本身是为了羊毛党交流互联网商业活动信息而建立的，但在某些时候，企业也可以在上面发布相关活动信息，以吸引羊毛党。

    “这种行为涉及到公司的营业额、活跃度等数据，你可以通过刷单来欺骗投资者，增加你的活跃度，到下一轮融资的时候，公司的估值自然会更高。”他表示，这也是网络黑色产业的一部分。

    不过，据钱科技观察，2014年之后，相关现象就很少出现了。“这样做一段时间后，企业很快就会发现弊大于利。”相关负责人告诉界面新闻。

    企业是否需要投入额外的精力来预防物联网卡引发的非法生产事件？至少从职业团队的角度来看，这个问题的答案是否定的。

    腾讯云安全总监周斌解释说：“最大的问题是企业无法判断手机号码背后是真实的个人还是设备。运营商尚未公布相关号段的分配原则，也未向其提供相关信息。企业。从技术上来说，目前还很难判断。”

    在这种情况下，对于当前的企业来说，对抗物联网卡主导的羊毛行为所需要采取的措施，与之前对抗普通羊毛行为所需要采取的措施不会有太大区别。

    例如，钱科技利用公司自有数据生成适合公司的风控策略，或者利用高轻量级的智能云平台帮助公司组织战斗。腾讯云采用名为“天域”的业务安全防护系统进行防护。这些措施也主要针对包括物联网卡在内的手机黑卡。

    腾讯云曾帮助广东东鹏特饮打击“羊毛收割”事件。东鹏特饮此前曾发起过“扫描瓶身上二维码赢大奖”的活动，但后来发现，有不法分子通过批量扫描二维码从中牟利。

    对此，腾讯云采取措施，通过计算设备使用特征、设备与号码匹配关系、IP变化频率等指标，获得对用户风险等级的评估。如果确定用户风险等级过高，访问活动页面将被拒绝。

    “最终的结果是，我们检测到大约20%的用户是羊毛大佬，这帮助客户节省了约3000万元的推广资金。后来我们拨打这些号码时，几乎全部都打不通或者无人接听。”回答了。”周斌说道。

    然而，无论安全企业如何加强对反黑产业技术的研究，这似乎都是治标不治本。要杜绝非法制作物联网卡，最根本的办法是相关部门和运营商加强相关立法和监管。

    在界面新闻采访中，多位业内人士表达了运营商应提高物联网卡申请门槛的观点。他们认为，与普通手机SIM卡不同，运营商对物联网卡应用的监管过于宽松，任何人都可以低价获得物联网卡，从而参与互联网黑色产业。

    “一般来说，对于手机卡，运营商可以进行一些预先设定，限制某些功能，但具体实施取决于运营商的管控态度是否坚定。”付亮告诉界面新闻记者。

    业内人士表示，运营商的暧昧态度确实对物联网卡的泛滥造成了一定的负面影响。中国电信前员工肖文告诉界面新闻，很多时候，运营商内部对于是否严格控制物联网卡的应用一直在犹豫。

    当然，从法律角度来看，运营商有责任控制网络使用的目的。 《侵权责任法》第三十六条规定：网络服务提供者知道网络用户利用其网络服务侵犯他人民事权利，未采取必要措施的，与网络用户承担连带责任。

    然而，这并不容易实施。 “根据通信自由的原则，运营商不应干涉用户使用通信工具的目的，否则企业的目的就会变得双重，难以管理。”他认为，如果要求经营者对这一事件进行监督，那么经营者将“既是裁判员，又是运动员”；反而会导致管理混乱。

    威胁猎手朱克定也表示，运营商想要从源头上监控物联网卡并不容易。 “运营商本身就是逐利的，他们的目的就是多发卡赚钱，限制手机卡的发行有悖于他们的利益。”

    因此，规范物联网卡使用的任务似乎只能落在法律方面。

    据界面新闻记者了解，目前相关部门尚未针对物联网卡出台明确的法律规定。但工业和信息化部2016年11月印发的《关于进一步防范和打击通信信息诈骗的实施意见》要求：“新申请使用行业卡的，行业用户单位资质和要求的行业必须严格审核卡的功能，根据功能确定数量和业务量。可以最小化原则，屏蔽语音和短信功能，充分利用技术手段监控行业卡的使用范围（包括无障碍）。 IP 地址，端口、通话、短信号码等）和使用场景（如设备IMEI和号码卡IMSI对应）等都受到严格限制和绑定。

    此外，一些公司已经开始嗅到危险的迹象，并试图控制物联网卡。 2016年9月，淘宝发布《关于禁止销售手机号码卡产品调整变更的通知》，制定禁止销售未确认规范实名制流程、已实名认证的物联网卡。名称注册风险漏洞。

    当年11月，淘宝发布《关于禁止销售物联网卡产品专项整治的公告》，强调随产品赠送物联网卡的行为与销售行为性质相同，属于禁止销售行为。

    但今年2月，淘宝再次调整管控，规定物联网卡不得单独销售，但商家可以配合硬件设备赠送物联网卡服务；同时，赠送物联网卡硬件设备的物联网卡服务商需要通过阿里巴巴通信天极平台入驻并签订合同，确保其提供的物联网卡服务能够满足物联网卡机等强制要求。卡绑定、实人认证。

    事实上，推动物联网产业发展已成为大势所趋。今年6月，工业和信息化部发布《关于全面推进移动物联网（NB-IoT）建设发展的通知》，其中提到，到2020年，NB-IoT（窄带物联网）物联网将实现全国全面覆盖。

    因此，可以预见，未来物联网卡的数量将持续增加。如何平衡物联网行业的发展和物联网卡的滥用将成为监管部门需要关注的问题之一。

    ·结尾·