黑產揭祕：「打碼平臺」那點事兒

簡介

互聯網業務的飛速發展，日漸滲透人類的生活，對經濟、文化、社會產生巨大的影響，同時互聯網業務安全也日趨重要。如同網絡通訊的基礎安全設施防火牆，互聯網業務安全也有其基礎安全設施－－圖片驗證碼和短信驗證碼。在互聯網業務中，普遍使用圖形驗證碼用於區分人類和機器，使用短信驗證碼過濾低價值用戶及提供二次校驗功能。

做爲互聯網業務的基礎安全設施，圖片驗證碼和短信驗證也面臨衆多的挑戰。此前咱們經過《驗證碼的前世此生（前世篇）》和《驗證碼的前世此生（此生篇）》瞭解了驗證碼的發展及演變，原理及優缺點。今天本文將帶你走近互聯網業務眼前的威脅——圖片打碼平臺和短信打碼平臺。咱們以以下兩個場景簡單說明下普通打碼平臺以及手機打碼平臺：

場景一：批量登錄12306網站，並進行購買行爲，但驗證碼不能自動識別。

12306的驗證碼比較複雜，程序較難識別。這時候就出現了普通驗證碼的打碼平臺，程序將驗證碼傳給打碼平臺的識別接口，打碼平臺將驗證碼發給後端的「傭工」進行識別，並獲取識別結果。這樣基於此類的人工打碼平臺，便可實現程序的自動化。

場景二：註冊某購物平臺，但其須要填寫手機號和收到的驗證碼纔可註冊，如何進行批量機器註冊？

這時候就出現了手機打碼平臺，該平臺提供大量的手機號，並可以發送和接收短信。這樣只需調用手機打碼平臺相關接口，獲取手機號並獲取短信內容便可進行批量註冊。

最後咱們將會簡單的闡述面對這些威脅新的解決之道。

1、普通打碼平臺

一）介紹

如今不少簡單的字符驗證碼已經不可以有效阻擋機器行爲，使用簡單的OCR識別工具便可進行識別，稍微複雜的能夠結合機器學習等進行高準確率的識別。

普通的字符驗證碼很容易被識別，於是又產生了一些較複雜的驗證碼，好比以下一些較難經過機器進行識別的。

因此若想進行惡意註冊或批量的機器行爲則須要繞過此類的高難度驗證碼。針對這種需求，人工打碼平臺就產生了，其經過組織真實的人來進行識別，並提交驗證結果。

二）運行流程圖

說明：好比如今羊毛黨要去某網站刷活動優惠券，但該網站有較複雜的圖像驗證碼。一般羊毛黨會在打碼平臺註冊帳號並充值，並經過打碼平臺提供的api接口，提交驗證碼識別。打碼平臺將驗證碼分發到各個傭工的客戶端裏，獲取傭工的識別結果，並最終反饋給羊毛黨。

一、網賺平臺：

不少打碼平臺須要跟網賺平臺進行合做，由於網賺平臺的用戶量比較大。這種天天輸入一些驗證碼就能賺錢的平臺是不少小白用戶比較喜歡的。咱們查看一叫作「有賺網」的網賺平臺，其發佈各類任務供用戶參與，並經過金幣的形式給用戶發放，金幣累積必定數量後可進行提現。網賺平臺會設有專門的打碼模塊，裏面列舉了合做的打碼平臺。如圖

點擊其中一個「知碼打碼」的打碼平臺項目，如圖

點擊獲取工號和密碼後，而後下載提供的軟件，登錄後簡單測試經過後，便可收到打碼平臺推送過來的驗證碼，如圖

傭工能夠勾選想要接收的驗證碼複雜度，有選擇題、填空題、鼠標點擊類型等等。同時經過軟件能夠查看該平臺積壓的驗證碼的數量，如圖爲45個，用戶輸入結果後會很快刷新到下一個驗證碼。每種驗證碼的積分不一樣，驗證碼難度較高的積分較大些，同時網賺平臺夜間工做給的積分也會多，因此咱們能夠看到打碼平臺的夜間服務費用也會高一些。咱們粗略計算下這種網賺的收益，按官方說明10000個金幣可兌換1元的標準，咱們按一個驗證碼平都可能夠得到100個金幣計算，則打100個驗證碼便可得到1元，天天打10000個驗證碼才能得到100元。

二、普通打碼平臺

打碼平臺提供多種類型的驗證碼，有正常的普通字符驗證碼、有選擇題、算術題、以及其餘的特殊類型的。每種驗證碼的計費類型不一樣，咱們查看某打碼平臺的價格類目表：

其中每種驗證碼的價格不一樣，該平臺衝10元可得到25000快豆。其中最普通的驗證碼須要10個快豆，也就是說10元能夠識別2500個普通驗證碼，咱們查看下12306的圖形驗證碼識別價格爲60快豆，即10元能夠識別400多個驗證碼。同時打碼平臺會以api的形式供用戶使用，其只需傳入帳號密碼以及驗證碼所屬類型、驗證碼文件便可進行識別，如圖

三、開發者

每一個打碼平臺都會有不少開發者，開發者經過打碼平臺提供的sdk，進行開發軟件。好比針對12306編寫一個搶票軟件，並內接該打碼平臺，那麼羊毛黨在使用該軟件時只需填入打碼平臺的帳號密碼便可使用。同時開發者能夠拿到提成，提成通常較高。

四、羊毛黨

什麼是羊毛黨？

有選擇地參與活動，從而以相對較低成本甚至零成本換取物質上的實惠。這一行爲被稱爲「薅羊毛」，而關注與熱衷於「薅羊毛」的羣體就被稱做「羊毛黨」。早前，「羊毛黨」們主要活躍在O2O平臺或電商平臺。另外隨着2015年互聯網金融的發展，一些網貸平臺爲吸引投資者常推出一些收益豐厚的活動，如註冊認證獎勵、充值返現、投標返利等，催生了以此寄生的投資羣體，他們也被稱爲P2P「羊毛黨」。固然，使用打碼平臺的不必定就是羊毛黨，還有多是一些搶票的「黃牛黨」或者黑色產業的欺詐者。

三）利益鏈

說明：傭工經過自身勞動，經過網賺平臺變現，得到利益；網賺平臺與打碼平臺進行合做，並有利益分紅。打碼平臺將服務進行封裝，提供給羊毛黨。打碼平臺的開發者經過開發軟件供羊毛黨使用。同時羊毛黨經過批量的註冊、活動優惠等方式從網站進行獲利。

2、手機打碼平臺

一）介紹

短信驗證碼在互聯網業務中用於過濾低價值的用戶，從而將服務推送給目標用戶。這是基於手機號基本實現實名認證，每一個人擁有的手機號也是有限制的前提。彷佛經過手機短信驗證就可以防止垃圾註冊，篩選出真正有價值的客戶。然而黑產針對基於手機號註冊的場景，推出手機打碼平臺。手機打碼平臺囤積大量的手機卡提供短信收發的服務。實際調查中發現大型手機打碼平臺有幾百萬手機卡，小型也有幾萬的手機卡。

二）運行流程圖

手機打碼平臺的流程圖以下，主要有兩個角色，一個是平臺的普通用戶一般爲羊毛黨、一個是平臺的卡商。

說明：手機打碼平臺會提供各類項目的接口，好比xxx帳號註冊、xxx綁定手機等。羊毛黨只須要調用接口，獲取某個項目可用的手機號，並將該手機號填入目標網站，而後調用接口得到短信內容便可。

一、手機打碼平臺

手機打碼平臺提供各類項目，咱們查看下某一手機打碼平臺的項目列表，如圖

每一個項目的價格不一樣，像p2p金融類的可能價格較高，其餘的普通的好比115網盤手機綁訂價格較便宜，一個手機號只需1毛。接收短信流程很簡單，查看下該平臺的官方API接口說明，如圖

咱們只須要調用接口，獲取某個項目的手機號，填入網站，並調用接口獲取短信內容便可。同時打碼平臺一般還會提供發送短信的接口、接收語音驗證碼等功能，以下爲某一手機打碼平臺發送短信的接口

二、卡商

卡商是指擁有大量手機卡的用戶，其經過貓池並經過打碼平臺提供的軟件，提供相關項目的短信收發服務。卡商的手機號被使用一次，則可得到相應的收入，以下爲一打碼平臺的卡商客戶端，卡商將插有大量手機卡的貓池接入電腦，並選擇須要作的項目便可。

其中貓池能夠理解爲有通訊模塊，能夠收發短信，能夠插不少手機卡的設備。通常有8口、16口的，多的有128口的，便可以同時插128張手機卡。貓池有多種類型，如今有不少貓池是支持3G、4G的，以下爲插有手機卡的貓池圖

卡商一般會有大量的卡，用來作手機打碼只是其中的一個業務,還有不少是用來刷鑽、刷會員、刷流量等。市場價格通常在10元左右一張，且這些卡有不少也是通過實名認證的，且有不少屬於0月租、0餘額的特殊卡。固然能夠發送短信的則是有必定餘額的。咱們查看下一售賣手機卡的卡商發的廣告，如圖

關於這種大量的卡的來源，其中一手機打碼平臺的卡商透露了以下信息

同時這些卡商會有其餘的業務好比超級會員、黃鑽、綠鑽等，查看一打碼平臺卡商發的信息，如圖

三、羊毛黨

咱們查看一薅羊毛的羣，裏面天天會更新一些活動信息

固然發出來的都是一些小利潤的，一些較大利潤的羊毛黨們都不會輕易透露，固然其中也有不少屬於灰色或黑色產業。在一些薅羊毛的羣裏，一般會伴有身份信息的售賣，在某一羣裏查看到售賣正反身份證圖片加手持身份證的信息，只需2毛一份，如圖

三）利益鏈

說明：

羊毛黨經過手機打碼平臺提供的手機號去網站批量註冊，得到小號，再利用這些小號批量獲取優惠。好比uber的推薦用戶註冊送優惠券，還有一些網站的新用戶推薦註冊送話費等等來獲利。打碼平臺從提供手機打碼服務裏進行收費，並與對接的卡商進行利益分紅，平臺本身也會有一些手機卡。同時卡商也是有多種業務，一種是專門作打碼平臺的業務，其餘的還有經過售賣卡給羊毛黨，用來作刷超級會員、刷鑽等業務進行獲利。

3、如何防控

針對普通打碼平臺以及手機打碼平臺如何進行防控。採用新型的驗證碼技術是一種方式，構建手機打碼平臺黑名單庫也是一種方式。但基於構建的用戶手機號信譽體系以及用戶設備信譽體系，結合衆多數據構建本身的安全風控系統才更爲重要。

一）新型驗證碼

替換傳統驗證碼，採用新型的驗證碼。傳統的驗證碼已經很難去防止機器行爲，於是出現了一些基於用戶行爲的新型驗證碼。新型驗證碼最大的特色是再也不基於知識進行人機判斷，而是基於人類固有的生物特徵以及操做的環境信息綜合決策，來判斷是人類仍是機器。

好比Google的reCaptcha

以及阿里巴巴的NoCaptcha

固然這也並不表明此類驗證碼不能被繞過，今年的Asia Blackhat上公佈了一種破解Google reCaptcha的思路，具體能夠參考[[相關paper]](https://www.blackhat.com/docs...

二）手機信譽庫

針對短信打碼平臺，能夠迴歸短信驗證碼的本質需求，即過濾互聯網中低價值的用戶。而因爲手機號並不是徹底實名制，事實上獲取一個手機號的成本並不高，因此基於手機號並不能有效篩選出真正的高價值客戶。儘管手機號自己獲取成本不高，可是對於大多數普通互聯網用戶並不頻繁更換手機號，因此能夠基於手機號對應的行爲來創建基於手機的徵信庫，從而基於手機號的信譽實現篩選出高價值客戶功能，而非單一的依賴用戶是否擁有一個手機號。

三）風控體系

對於普通的網站而言，創建本身的用戶信譽體系尤其重要。基於用戶的設備信譽、用戶行爲等信息進行防控。

其中對於p2p金融類的網站而言，構建本身的安全風控系統尤其重要。金融類的較爲敏感，對於用戶的身份應當作強的安全校驗，好比進行銀行卡綁定的身份校驗等。

四）其餘

如今的手機已經須要進行實名認證，對於大量手機卡濫用會有必定的效果。可是在調查中發現其中仍是有大量的特殊卡，且都通過實名認證或者是進行了企業認證的卡。另外對於手機打碼平臺，國家已經出臺了相關政策，認定手機打碼平臺屬於違法行爲，於是這些手機打碼平臺也都轉爲地下。

做者：Ano_Tom@阿里安全，更多安全類文章，請訪問阿里聚安全博客