域名注册一般需要多久_薅东鹏羊毛，让苹果哭泣，扒皮黑灰产服务型产业链

雷锋网注：本文摘自《黑灰行业服务产业链报告》，由威胁猎人投稿，雷锋网略加编辑整理。

广东有一家饮料公司，原本靠瓶盖抽奖等传统促销方式做营销，随着互联网的普及，决定尝试一种新方式——扫二维码领红包，想利用互联网省去繁琐的流通环节，同时收集客户信息，没想到羊毛党给了他们沉重一击。

随着活动升温，很快就出现了大量售卖东鹏特饮CDK（暗号）的人。

所谓code就是活动二维码转化成的链接，购买code后用微信点击即可领取红包。渠道商和羊毛党微信账号数量有限，但code却不少，以略低于最低红包价格出售，买家既能获利，又不至于亏本。

另一家知名公司苹果也遭遇过羊毛党。用户在 iOS 上购物后，苹果会按比例与应用服务商分成，按季度结算。结算过程中，大量商家发现苹果分成与实际销售金额相差甚远。核实后，才发现真实原因：被坑了。

一些账户在进行6元、30元的小额充值后，立刻消失，显示出批量充值的痕迹。原来，为了提高用户体验，苹果设置了40元以下的小额充值无需验证即可发送的策略。对于黑产来说，这意味着每个小额账户可获利36元，这一行动随即展开。

黑灰产业的服务产业链到底是什么样的？为其他细分的黑灰产业链提供资源支持和各类服务的上游产业链又是什么？今天我们不谈黑灰产业，而是谈黑灰产业的服务型“合伙人”。

1.上游资源商 a)黑卡

黑手机卡是指黑灰行业从业者手中大量不正常使用的手机卡。这些黑卡会提供给各类接码平台用于接收、发送验证码，进而进行各种虚假的注册、认证服务。比如饿了么新用户有十几块钱的首单免单优惠，羊毛党就会从接码平台获取手机号进行批量注册，然后通过下游将这些首单优惠以半价卖给需要订外卖的人。注册成本是支付一毛钱给接码平台，利润就是下游接单者几块钱到十几块钱不等的进货价。黑卡就是接码平台手机号的来源。

“史上最严”的手机卡实名制确实压制了一段时间的手机黑卡、收码市场，提供黑卡、收码服务的平台和个人一下子消失了，但好景不长，短短几个月后就出现了强劲复苏趋势，提供黑卡、收码服务的平台和个人如雨后春笋般涌现出来，到现在市场已经非常庞大且稳定，给甲方的业务安全造成了很大的压力。

根据威胁猎人的逆向跟踪调查，黑卡背后的产业链大致如下图所示：

牌源发牌员

卡源商是指通过各种渠道（如开设空壳公司、与代理商建立联系等）从运营商或代理商处大量获取手机卡，然后以更高的价格转卖给下游卡商，以赚取利润的货源持有者。卡源商主要有：

在了解了他们的经营手法之后，我们进一步分析了黑卡数据，发现通过经营者占比甚至可以定位到犯罪团伙经常活动的城市。

手机黑卡运营商对比

下图是传统运营商与虚拟运营商黑卡数量的对比。

传统运营商的黑卡数量远多于虚拟运营商的黑卡数量，毕竟传统运营商和虚拟运营商的手机卡总量不在一个数量级上。

据2017年8月新闻数据显示，虚拟运营商占全国移动用户总数的3.6%，但3.6%的用户却贡献了20.17%的黑卡数量。相比传统运营商，虚拟运营商的手机卡中黑卡占比更高。

下面两张图是三大运营商在非虚拟号段和虚拟号段的黑卡数量对比。非虚拟号段，手机黑卡中近一半来自移动，联通约占三分之一，电信最少。虚拟号段，绝大多数都是联通的手机黑卡，移动次之，电信依然最少。

手机黑卡地区分布

从产地统计的数据来看，广东省表现十分抢眼，在黑卡网点数量最多的省份排名中遥遥领先，省内广州、深圳、东莞、佛山四市在黑卡网点数量最多的城市排名中也占据了前五名中的四席。

猫池制造商

猫池厂家负责生产猫池设备，并将设备销售给卡商。猫池是一种通过插入手机卡就可以模拟手机收发短信、打电话、上网的设备。在正常的行业中也有广泛的应用，比如邮局、银行、券商、各类交易所、各类信息呼叫中心等。猫池设备可以管理多张手机卡。

卡商户

卡商从卡源商处大量采购手机黑卡，将黑卡插入猫池设备接入卡商平台，再通过卡商平台对接各类验证码服务，根据业务类型不同，每条验证码可获得0.1元至3元不等的收入。

黑卡数据库可以与公司自身的后台数据相结合作为补充和参考，为公司甄别恶意用户提供账号级别的支持。

b) 黑色 IP

IP地址是互联网上的稀缺资源，一直是厂商最重要的风控方案之一。面对攻击，最主流的防控手段之一就是封禁IP地址。企业根据黑IP库、同一IP发起的请求数、密码错误率、是否有恶意行为等，决定在一段时间内封禁某个IP地址的请求。

面对巨大的利润，黑产不会轻易放弃。针对与厂商的对抗，黑产积极寻求解决方案，甚至实现平台化、链条化的反对抗。根据威胁猎人的长期监测，黑产获取 IP 资源主要有以下几种方式：

我们将这种用于网络攻击的IP称为黑IP，威胁猎人在2017年通过大量渠道收集整理了全球范围内的黑IP，并做了细致的分类。

黑IP类型排行

统计显示，黑IP类型占比情况如下：一个黑IP可能带有多个标签，整体来看，僵尸IP、机器人IP、代理IP数量占据前三名。

黑IP地理分布

分析IP地理来源数据，全球黑IP分布图及前20国家如下。全球IPv4总量约43亿，美国占比超过30%，这个数据和图片是一致的，美国黑IP数量占比36.39%，遥遥领先其他国家。发达国家黑IP数量比发展中国家多，可以简单理解为发达国家上网设备多，也就是拥有更多的IP资源，所以黑IP数量和上网设备数量成正比。

下面两张图是黑IP来源城市前20名，以及黑IP所属运营商前10名。从来源城市的数据来看，排名前十的城市大多是美国城市，其次是中国城市，北京位居榜首。上榜城市均为经济发达城市。从运营商的数据来看，排名前十的运营商中有一半是美国运营商。

c) 批量注册及账户维护：

在互联网灰产行业，无论是动作匆忙的羊毛党，还是状态低迷的账号养号者，都需要大量账号支撑盈利。因此注册环节成为了互联网公司与灰产行业的前线战场。各家公司的注册页面看似平淡，实则暗流涌动。

灰色行业的逐利性质决定了他们非常注重投入产出比。灰色行业会聘请开发人员开发针对注册流程的自动化攻击工具。此类注册软件一般有两种类型：

除了批量注册，灰产还会利用其他平台的第三方登录方式，根据平台特点跳转小号、批量输出。比如有一种微博账号叫授权号，由于注册流程等原因，受到微博平台风控限制，难以开展后续变现业务，只能用来授权其他平台账号，在其他平台完成变现。这种授权号的成本比手机号注册要低，每个只需要几毛钱。

对于该类账号，很多厂商会对新注册的账号进行监控，从而产生账号商家养号的行为，注册之后，模仿真实用户进行一些操作，然后在号码从监控名单中移除之后再进行业务。

趁势而上的新账号、刷流量的小账号都是通过这些方式获取的，但苹果风控灰色行业需要的老账号，则需要通过盗号、养号、撞库等方式获取。各平台在加大风控力度的时候，就会出现这类老账号的需求，比如微信全月号、陌陌半年号等，就是养号，还有被刷了好几年的老账号，就是通过盗号或者撞库等方式获取的。

凭证填充

数据库碰撞攻击是指攻击者收集各网站泄露的用户数据，生成用户名和密码字典，批量登录其他网站，试图找出目标网站可用的账号和密码。近年来，随着数据库泄露事件的频繁发生，数据库碰撞攻击已经取代木马病毒成为盗取账号的主流方式。

下图是2017年撞库攻击趋势：

以下列举了2017年撞库攻击者青睐的部分攻击目标及接口：

游戏行业也是互联网公司表面最赚钱的行业，地下自然聚集了大量的相关从业者，细分的变现产业链非常多。而能够直接获取游戏账号的撞库方案自然受到黑客的青睐和关注。因此游戏公司一直是撞库攻击的高发区，国内外各大游戏公司在2017年都持续遭受大量撞库攻击。

版权行业和社交行业也深受影响，随着正版化的推进和带宽的提升，很多相关资源都需要付费才能观看，有一部分人不愿意花高价购买会员，却愿意低价购买账号，这些会员账号就会有变现的途径，这些账号就会成为黑产的价值。

社交行业同样存在大量变现手段，主要的灰色产业包括刷量（点赞、播放、排名等）、私信导流、色情社交导流、诈骗等。社交平台的风控策略不断升级，社交平台老账号已经成为一些圈子里的宝贵资源，例如某交友平台老账号的价格在30元以上，老账号资源意味着低封禁率、可持续经营，因此社交账号也是黑产的重要目标。

数据库碰撞数据来源

（1）信封号码产业链

信封号是QQ号产业链中的专业术语，每被盗一万个QQ号就叫一个信封。信封号产业链就是盗卖被盗QQ号的产业链。当QQ号内的Q币、游戏虚拟装备等被洗劫一空后，大量的账号密码就会被卖给黑客，用来完善社工数据库或者制作密码字典。由于QQ邮箱在国内市场占有率很高，很多用户习惯直接使用QQ号对应的QQ邮箱和密码作为第三方平台的账号，大量的QQ号被直接用于网站撞库。

（2）网站泄漏数据库

网站数据库泄露的标志性事件是2011年CSDN 600万用户数据泄露，并引发了当年的一波数据泄露高峰。数十家网站的用户数据被公开，大量原本只在地下流通的数据被抛到公众视野中。而平时不留意这一点的黑客也掌握了足够的数据源切入，这在一定程度上点燃了数据库碰撞攻击的热潮。而且，泄露的数据其实只是冰山一角，更多的数据在地下黑市中交易流通。

（3）地下黑市流通

数据窃取与交易是地下产业链中最隐蔽的一环，经常会有一些定制化交易，不少黑客通过数据交易构建庞大的社工数据库。黑客之间的私下交易，我们无法得知到底有多少网站数据被窃取，也无法客观评估。不过，我们可以通过半公开渠道一窥情况。以下是暗网上某个地下数据交易市场的截图：

攻击手段及主流防控

通过对海量攻击行为的监控分析，我们发现黑客的攻击手段主要有以下几种：

（1）判断账户是否存在

（二）集中业务安全管理问题突出

根据TH-Karma统计，很多网站在主入口都有严格的审计措施，根据登录IP和频率触发验证码或封禁IP。但随着公司业务的增长，安全管理的复杂度大幅提升，各个子站点都使用各自的登录验证，这些没有审计功能的边缘业务接口，成为了黑客攻击的温床。

（3）攻击效果

根据大量撞库数据统计，能够成功绕过风控的攻击占到总攻击次数的83%，撞库成功率在0.4%左右波动。

针对此，我们建立并维护了高风险账号数据库。高风险账号是指被黑灰行业从业者恶意利用的账号，大部分来自泄露的数据库。对于甲方来说，看到这些账号要更加小心，因为背后可能有恶意的动机。基于2017年的高风险账号，我们做了一些统计。

（1）高风险邮箱账户域名排行

排名前20的高风险电子邮件账户域名如下：

国内邮箱域名占比超过60%，以 、 和 为主，国外主流邮箱域名（如 、 和 ）以及部分俄罗斯邮箱域名（如 mail.ru 、 .ru ）和德国邮箱域名（如 web.de ）也在前20名之内。基本可以看出，前20个高危邮箱账户域名至少满足以下条件之一：

（2）账号密码高危排行

此外， 还统计了与高风险账户相关的密码，排名前 20 的密码均为常见的弱密码，具体如下：

d) 账户验证

账号认证产业链属于地下产业链中的服务产业链，几乎所有的互联网公司都要求用户进行手机认证，有的还要求实名认证、人脸识别验证、技术或人工审核，这必然给各类地下产业链带来阻碍，账号认证产业链自然而然地应运而生。

手机代码接收与监听

短信验证是基于手机和手机号成本的实人验证，广泛应用于注册等场景。如上述黑卡产业链介绍，反黑业解决方案不靠手机和发卡成本，而是靠收码平台。黑业从业者需要支付0.1-0.3元才能从这样的平台收到验证码。

收码平台负责对接卡商、蹭网者、号商等需要手机验证码的群体，提供软件支持、业务结算等平台服务，通过业务分成的方式盈利。一般为用户提供客户端、API，有的也提供手机客户端。手机客户端用于支持各类手机业务。API可对接自动化工具、脚本，实现批量注册。

用户必须先“收藏”自己要做的项目，才可以收到验证码。这样做的好处是可以避免在同一个注册场景中重复使用手机号，也方便应对新的对抗形式。比如整个注册流程可能需要接收多个验证码，发送一个验证码。平台会把发送和接收整合成一个流程，方便用户批量操作。

一些厂商选择了语音验证码，收码平台也推出了相应的语音验证码接收服务，还推出了“听码”网赚。收码平台很多，活跃的就有几十家，比较知名的收码平台有：爱乐赞、雨蜜（仙彩中香）、星辰，其中星辰可以接收语音验证码。

2016年11月，当时最大的平台爱码被警方调查，随后很多平台转入地下。比如爱乐赞是最受欢迎的收码平台之一，因为非常稳定，卡商也多。现在不再支持在线注册。有老客户介绍，可以联系客服充值1000元，才可以开通新账号。还有一种解决办法就是和别人共享一个账号，每次充值不能低于5元，否则账号会被封。

添加马赛克

验证码是目前应用最为广泛的风控方案，普通厂商会直接接入，有后台分析的厂商在后台审核异常时会触发验证码，以免影响一般用户体验。而黑色产业中，数据库撞库、注册需要大量的验证码识别，因此又带动了另一条服务产业链——打码平台。

作为最简单、应用最广泛的图灵测试解决方案，大量的公司和团队一直在尝试对其进行自动化破解，以至于验证码已经升级到连人类都需要多次破解才能识别的地步。国内的黑产行业依靠廉价劳动力解决了这个问题，他们用暴力手段破解技术无法破解的验证码——手工打码。这种方法被广泛传播到大量第三世界国家，导致全球有近百万人以此为生。平均每条代码能赚1-2美分，一个熟练的工人每分钟可以打出20条代码左右，每小时收入10-15元。

随着科技的发展，黑市也与时俱进，利用AI破解代码的平台逐渐涌现。例如警方2017年严厉打击的“快啊答题”平台，利用伯克利大学的数据模型，引入大量验证码数据训练识别系统，使机器识别验证码的能力提升2000倍，价格降至15-20元/千次，为数据库碰撞等需要验证的业务提供了极大的便利。

身份证认证、人脸识别

人脸识别技术逐渐成熟，“刷脸”成为近两年生物识别技术在新时期的主要应用场景。进入2017年以后，海关通关、金融、电信、公证等多个领域都需要进行人证一致性验证。2016年6月，国家网信办发布《移动互联网应用程序信息服务管理规定》，明确要求移动互联网应用程序按照“后台实名、前台自愿”的原则，基于手机号码等真实身份信息对注册用户进行身份验证。

为了应对法规和某些业务需求，互联网公司纷纷推出账号强制实名认证，并将人脸认证纳入App。实名认证让互联网时代更加规范的同时，也为那些因为某些原因无法使用实名认证或需要大量实名账号来完成黑灰业务的人带来了障碍。于是，以批量代人认证为盈利手段的“人脸认证行业”应运而生。

厂商在进行身份验证时，经常会要求用户拍摄身份证正反面照片和手持身份证的照片。黑产获取此类身份证“资料”的方式包括但不限于以下几种：

采集后会以5-10元的价格出售给下一级用户。对于需要人脸认证的场景，从业者会用PS等工具处理一张带背景的人脸图片，再用疯言疯语生成动态视频软件记录下“眨眼”“摇头”“说话”等动作，完成后再将摄像头对准视频，即可完成认证。人脸认证服务收费从10元到100元不等。

刷脸行业最早是用于网贷赚钱，现在被广泛应用于各类实名认证业务，今日头条、58同城、中国移动的“人我行”卡、腾讯大王卡等等都是赚钱的门道。

在增加账号认证难度和优化用户体验之间寻找平衡，是所有厂商面临的一大挑战。在苹果36事件中，正是提升用户体验给羊毛党留下了可乘之机。如果苹果能为其筛选出来的恶意用户增加认证成本，就能找到平衡点。而要做到这一点，就需要对用户行为和恶意行为进行分析。厂商可以记录用户行为，而恶意行为需要情报的配合，包括恶意用户的行动模式、流程、最终目的等。

2. 下游变现子行业 a) 流量造假

流量造假已经发展成成熟的产业链，刷流量可以通过人工操作增加网页访问量、视频播放量、广告点击量、搜索引擎搜索量等。市场上充斥着大量刷流量工具和服务，几块钱就能买到几千个IP访问量。要么使用大量代理IP刷流量，要么基于P2P互刷原理（即挂机访问别人网站，利用获得的积分发布任务，为自己的网站刷流量）。刷流量可以高度模拟真实用户的行为轨迹，让视频网站、直播平台、广告联盟、搜索引擎、电商等各方难以有效区分。通过分析2017年抓取的刷流量数据，我们得到了以下刷流量黑灰行业十大目标厂商：

刷量行为主要集中在以下场景

（1）提高搜索引擎关键词排名

搜索引擎排名对网站流量影响巨大，市面上有很多提升关键词排名的服务，其原理就是利用大量IP在搜索引擎上搜索指定关键词，然后进入指定网站，点击进入，甚至进一步模仿用户浏览点击，欺骗搜索引擎认为该网站与关键词高度相关。百度作为国内最大的流量出入口，当之无愧地位居榜首。百度刷流量的方式有很多种，主要包括刷搜索流量和点击百度联盟广告。2017年底，百度推出“迅雷算法”，打击以作弊方式提升网站搜索排名的行为。效果如何，2018年我们拭目以待。360搜索和中国搜索也出现在Top 10榜单中，可见刷搜索流量在整个刷流量行业中的占比。

（2）增加视频播放音量

流量助推行业的另一大块内容是推高视频播放量，被助推的公司包括榜单上的优酷、搜狐、龙珠视频/直播、爱奇艺、腾讯等，以及榜单之外的触手直播、风行网等。很多视频播放量夸大，但点赞和回复量却很少。视频网站按照视频热度给视频作者付费，虚假播放量会直接导致视频网站蒙受经济损失。对于用户来说，热度高的热门视频内容质量较差，降低了用户体验。

（3）增加广告展示次数和点击次数

通常广告主会和广告联盟或者站长合作推广，以CPM或者CPC的形式和站长结算广告费。一些不法站长会利用软件或者购买服务恶意提高CPM、CPC，获取不正当利益。广告联盟对广告有一定的反欺诈机制，增加广告数量者可能面临账号封禁，但还是有很多人通过增加广告数量、增加网站数量来大规模牟利。

（4）电子商务和网站访问

此外，刷牙访问，包括在社交网站上刷牙的内容和电子商务产品的浏览，这也是交通刷的一个非常活跃的分支，例如访问Sina博客，而和TMALL产品的浏览简而言之，当前的互联网世界是全面的，不一定是如此。

b）数据爬行和收集

爬网的目的是收集信息。攻击者的所有目标。

以下是2017年最受欢迎的爬网攻击目标和接口：

c）获得最好的交易

简而言之，“薅”意味着以不当的方式获得互联网上的各种好处，例如，这些人不介意“小型好处”，只要他们看到他们的促进资金，就会赢得互联网公司的大部分效果。 “薅羊”行业与互联网行业紧密相关，并以与互联网行业相同的速度开发。

这是2017年羊毛热云图，如下所示：

云的中心是两个大字符“成员”。列表，由于有一个帐户，有关联的帐户现象服务，例如身份验证，绑定，真实姓名等。此外，毫不奇怪，“骗子”的频率不受法律的保护。

d）排水

有些平台不适合直接货币化，但有巨大的流量，例如，黑人行业的短暂平台和社交平台都不会放弃并使用交通转移来货币化。通过欺诈，微信业务等

吸引到社交平台流量的常见方法是通过软件，发送私人消息等进行批处理。某些吸引人的操作可以带来个人无法消费的巨大流量，并且将以“销售粉丝”的形式出售，也就是说，买家根据成功添加到中的“销售粉丝”的形式。

交通不断发展的人通常将目标用户的心理和转移平台的特征结合在一起。在或出售一些男士产品。

还有“健康粉末”（可用于销售医疗用品），“ 粉末”（具有购买力的中年人），“股东粉末”，“女性大学生粉末”，等等。例如，在特殊饮料中，它吸引了彩色粉末，然后刷卡，即欺诈，使用伪装成女性的微信机器人，通过发送诱人的图片和视频来要求红色信封。

这种方法只能用来欺骗人们，因此他们需要交通不断的粉丝流，这被称为“火车站流量”，这将被报道，这将被偿还。转移和账户商人始终有一个市场，并且需要绕过制造商的风险控制，并且需要一系列面向服务的工业连锁店。

的注释：本文摘自“黑人和灰色行业服务产业链报告”，由威胁猎人贡献，并由稍作编辑和组织。