想不到物联网卡最先养肥的却是一群羊毛党

手机实名制进一步收紧,羊毛党们转向利用物联网卡来继续“薅羊毛”事业。专业机构估计,来自黑产的收益可以达到投入成本的2.5万倍。

想不到物联网卡最先养肥的却是一群羊毛党_第1张图片

|界面作者 饶文怡

在双十一等电商活动中,狂欢的不仅仅是消费者、商户和电商平台,还有那些善于从平台推出的优惠活动中获利的“羊毛党”们。

根据阿里巴巴发布的《阿里聚安全2016年报》,在2016年的各种互联网业务活动中,缺少安全防范的红包或促销活动,都被羊毛党以机器或者小号的方式将让利产品抢到手中,并通过高价格售出等形式赚取差价。

“基本70%-80%的促销优惠会被羊毛党薅走。”这份报告的统计如是显示。

事实上,在“徐玉玉事件”后,有关部门对于手机实名制的监管已经进一步收紧。2016年5月,工信部发布通知,要求各运营商进一步做好电话用户真实身份信息登记工作,确保在2016年12月31日前本企业全部电话用户实名率达到95%以上,2017年6月30日前全部电话用户实现实名登记。

从表面上看,相关法律的出台限制了羊毛党的生存空间。在互联网黑产的链条之中,手机SIM卡一直扮演着重要的角色——通过对大量手机SIM卡的批量操作,羊毛党们在获取相关活动优惠时拥有了更高的中奖几率。

因此,监管的收紧意味着这些黑产从业者们无法再像过往一样无节制地申请手机卡,来实现在各大互联网业务活动“薅羊毛”的目的。

不过,实名制监管收紧似乎没有给羊毛党带来太多的限制。在不同的平台上,他们掠夺商家让利的身影依然随处可见。因为在手机SIM卡之外,羊毛党们已经找到了物联网卡这一新的载体,来继续他们的“事业”。

1

“在目前的互联网黑产之中,用到手机卡的部分里,大概有80%都是物联网卡。” 信息安全咨询公司“威胁猎人”的COO朱科锭告诉界面新闻记者。“威胁猎人”是一家专注于帮助企业防范和解决羊毛党、恶意注册、撞库攻击等安全威胁的企业。

目前业内尚没有关于物联网卡的官方定义。更多的时候,物联网卡指的是一种没有语音通话和短信功能,只能提供流量上网功能的SIM卡。

由于这种特性,物联网卡更多被应用在物联网设备之中,比如智能水表、智能电表等。通过嵌入物联网卡,不同的设备之间可以实现数据的相互连通。

这一两年处于“热点”的共享单车,是物联网卡应用最多的领域之一。通过物联网卡的内嵌,用户可以实时获取到自己账号匹配的单车使用状态,比如是否成功锁车等等。在今年5月,摩拜单车宣布与四川移动达成战略合作,将在年内订购四川移动下发的100万张物联网卡。

但是,界面新闻记者了解到,虽然名义上物联网卡没有语音通话和短信功能,但通过一定的改动,这些功能都可以被添加进卡中。

对此,中国电信的一名前员工小文(化名)解释称,物联卡本质是一个数据通道,可以通过自己解码来实现不同的功能。比如说,打开了短信功能的卡,就可以被称为“注册卡”;打开了语音功能的卡,就被称为“语音卡”。

不过,来自中国移动的运营商人士强调,开通其他功能,只有通过运营商内部的操作系统才能进行,这个过程一般不会对私人开放。“例如微信,所使用的还是基于互联网所实现的短信和语音功能,并不意味着手机卡就带有这些功能。”该人士说。

三种卡中,语音卡可以说是涵盖的功能最多的。一名卡商说,目前包括美团在内的一些平台已经在注册时采用了语音验证码,“在这种情况下,只有语音卡能用。”

“(物联卡)不是说一定就没有语音和短信功能,所以一般开卡的时候,业务经理会事先了解你的需求。”上述卡商指出。界面新闻记者在查阅中国移动的物联网业务时也发现,物联网卡的套餐中包含了短信相关的功能。

有卡商也告诉界面新闻记者,物联网卡有11位和13位之分,11位的和正常手机卡类似,带有语音功能和能够收发短信,但禁止拨打其他号码;13位的就只能在同一个运营商之间收发短信。

“11位的物联网卡本来就很少,现在运营商禁止刷单,比较难开。”这位卡商表示。前述中国移动的运营商人士也认为,13位的物联网卡能够更有效地遏制黑产现象。

和普通的手机SIM卡类似,物联网卡的开具主要也是通过国内的三大电信运营商来操作。小文告诉界面新闻记者,有规定要求,物联网卡所面向的都是企业客户,但当中也有空子可钻。

“基本上,你只要能出示营业执照,就能开物联网卡。”小文说,就他本人所了解到的情况,业务经理很多时候会在不深究企业资质的情况下,给客户开出一批物联网卡。

门槛降低,原因也许是业务员背后的指标压力。腾讯云安全总监周斌对界面新闻记者说,无论是运营商,还是运营商下面的各级代理商,都有发卡的指标;为了完成这些指标,他们往往会超量下发物联网卡。

“据我所知,市面上的物联网设备数量和物联网卡数量之间存在着一定的差异,实际上物联网卡放的太多,所以会被用在其他领域中。”周斌认为。

因此,申办门槛低,是现在羊毛党们青睐物联网卡的一个重要原因。朱科锭举例称:“只要注册一间公司,就能申请成千上万张的物联网卡。”

另外,相比于手机SIM卡,办理成本的降低也是吸引羊毛党们的一个因素。

“同样流量下,物联网卡的资费要比手机SIM卡低得多。”小文介绍称。

界面新闻记者从获得的一份中国移动物联网卡资费表中发现,以每个月1G流量为例,物联网卡的资费为每月50元;同等流量的4G SIM卡套餐下,每个月的资费则达到了88元。

除了办理资费外,物联网卡的成本降低还体现在了包括前期准备等方面。独立TMT分析师付亮向界面新闻记者举例称:“现在一张身份证只能办五张SIM卡,如果羊毛党想要获得同等数量的SIM卡,意味着他需要事先准备一批身份证,这又增添了额外的成本。”

换言之,无论是从办理难度以及办理成本来看,物联网卡都是羊毛党们现在更为“实惠”的选择。

2

除了从运营商处直接申请之外,个人用户获得物联网卡的最便捷方式,就是从隐匿在电信行业聚光灯之外的各种个人卡商处购买。

界面新闻记者在包括知乎在内的一些社区输入“物联网卡”进行查询搜索后,很快就能找到不少出售物联网卡的经销商,他们的推广词往往是“流量充足”、“折扣最低”等等。

不过,当界面新闻记者添加了其中几位卡商的微信,进行询问时,当中有人表示,自己已经无法代开“用于接收验证码”的物联网卡。

“公司查得严,不让开类似用在接收验证码、刷单这类的卡。”这名卡商谨慎地表示。而当记者进一步询问是否能够推荐一些能够用于刷单的电话卡时,他没有继续回复。

也有卡商在了解界面新闻记者需要物联网卡的需求后,继续询问具体用途。当记者回答“用于网站接收验证码,刷单”后,他表示:“这个业务大部分运营商是定义成不正规的,所以大部分都很难做。”不过,他提到,可以帮记者找人“看看有没有其他渠道来开通”。

另一些卡商则依然欢迎这类业务,并主动向界面新闻记者推荐了相关的物联网卡套餐,比如“支持收发短信功能,发短信0.1元/条,可以注册微信、微博等各种App和网站,流量0.2元/兆”的注册卡,以及“包5M流量,八个月零月租,可以接五分钟语音验证”的语音卡。前者的费用是每张30元,后者的费用是每张17元,10张起售。

除此之外,有卡商甚至向界面新闻记者展示了一些正常号码段的SIM卡,他把这种卡的费用定在了每张120元。“这种卡就是正常的手机卡,号码段是150的,一切功能都完备,自己用也可以,只有每个月9块钱的月租。”

至于只有最基本上网功能的物联网卡,这些卡商们更倾向以大规模的形式向外销售。

“我们一般开卡的量比较大,一般都是以10万张为单位,这种的批发价就几块钱一张。”一名卡商告诉界面新闻记者。

关于物联网卡的获取渠道,卡商们也并不避讳。上述能批发物联网卡的卡商向界面新闻记者暗示,自己能够从中国电信、中国联通等运营商处稳定获得物联网卡,“不同运营商的卡费也都不同”。

从这些卡商处购买物联网卡的流程更是比从运营商处购买要来得简单。除了一位卡商提出了要签订正式销售合同的要求外,其他卡商均没有表达出需要提供额外材料的要求。基本上,只要有兴趣的用户直接向他们下单付钱,就能收到他们快递来的物联网卡。

前电信员工小文也惊讶于卡商与运营商之间这些“合作业务”规模之大。他表示,以深圳为例,物联网卡是中国电信在一年前才推出的新业务,由于资费低廉,吸引了不少用户的关注,中国电信方面也有意在收紧物联网卡的发放。

“一般来说,从运营商的业务经理处申请几百张甚至上千张物联网卡,并不是大问题;但一次申请10万张,并不常见。”多名接受采访的业内人士都表示,一个普通的企业能从运营商处获得如此大额的物联网卡,并不符合常理。

付亮则认为,卡商从运营商处获得物联网卡的过程也未必一定合规,“运营商应该对申请开卡的企业进行资质审查,了解企业信息是否属实。”他补充道,出现上述情况,很可能是部分底层业务人员放松开卡规范所致。

3

从卡商处购得数以千万计的物联网卡后,羊毛党们获取灰色利益的过程才正式开始。这个过程和传统意义上,使用手机SIM卡薅羊毛的过程大致相同。

首先,要使得这些物联网卡可以在同一时间内实现大批量的信息收取过程,“猫池”这个硬件设备是必不可少的。

根据朱科锭的介绍,猫池是一种可同时支持多张手机卡的通信设备,当中的卡槽数量从8个到2048个不等;用户将手机卡插入卡槽之后,可以通过电脑进行批量操作。“可以说,猫池类似于一个多卡多待的手机。”朱科锭说。

拥有了猫池的人,可以选择将自己的“资源”放到卡商平台上,以供羊毛党们购买使用。根据威胁猎人公众号上《黑产大数据:手机黑卡调查》一文中的信息,国内知名的卡商平台包括Thewolf、星辰、爱乐赞、玉米等,其中Thewolf和星辰还可以接语音验证码。

界面新闻记者进入星辰平台的网站后发现,上面提供了指导羊毛党如何进行验证码收发的全过程。指导界面显示,这个平台涵盖的应用包括了微信、淘宝、京东、滴滴、58同城等。羊毛党只需要在平台上下载的验证码获取软件中填写好相关信息,就能够批量获取软应用注册所需要的验证码。

“对于一般的小企业或者传统企业来说,由于对于黑产的防范力量过于弱小,这样的薅羊毛行为几乎是无法防范的。”朱科锭表示。

他举例称,威胁猎人曾经服务过一家传统企业,企业中虽然有着数百名员工,但真正熟悉安全业务的也就寥寥数人。当遇上黑产的时候,这家企业的相关负责人们起初只能想到一些简单的策略来进行抵抗,比如说在一个IP登录超过100次后,就停止这个IP的登录权限等。

“对于现在的羊毛党来说,这种抵抗几乎是无用功,只需要一些代理IP就可以突破防御。”朱科锭解释道。

在猛烈的攻势下,不少企业往往会因此损失惨重。威胁猎人曾经粗略估计过,一张手机黑卡最终在羊毛党或者号商手中能产生近100元的收入;如果按每年产生4000万张黑卡计算,相关的企业每年就将损失40亿元。而如果按照80%的占比来计算,每年来自物联网卡的黑产规模就能够达到32亿元。

另一家互联网业务风控服务提供商岂安科技则估计,来自黑产的收益可以达到投入成本的2.5万倍。

不过,界面新闻记者了解到,在这个链条中,企业并不完全是受害者,有时候它们也是获利方。

岂安科技的相关负责人向界面新闻记者介绍称,在2014年之前,存在着初创企业为了笼络投资人而刻意引入羊毛党的情况。

朱科锭肯定了这一状况的存在,他向界面新闻记者展示了一些网络上的“薅羊毛平台”。这种平台本身是为了羊毛党们沟通互联网业务活动信息所建立的,但在某些时候,企业也可以在上面发布相关的活动信息,吸引羊毛党前来。

“这个行为涉及到企业的流水、活跃量等数据,可以通过刷单,把自己的活跃度刷高,来欺骗投资人,到下一轮融资的时候,企业的估值自然就高了。”他表示,这也属于网络黑产的一部分。

然而,根据岂安科技的观察,相关现象在2014年之后就鲜有发生了。“这么做过一段时间后,企业很快就会发现当中弊大于利的一面。”相关负责人对界面新闻记者说。

4

针对物联网卡所引发的黑产事件,企业在进行防范时是否需要投入额外的精力?至少从专业团队的角度来看,这个问题的答案是否定的。

腾讯云安全总监周斌解释称:“最大的问题在于,企业无法判断这些手机号背后是真实的个人,还是一台设备。运营商既没有公布相关号码段的分配原则,也没有相关的信息给到企业。从技术上看,目前很难判断。”

在这种情况下,对于目前的企业而言,抗击物联网卡主导的薅羊毛行为,与他们之前对抗普通的薅羊毛行为所需要采取的措施并不会有太大的区别。

比如说,岂安科技所采取的是利用企业自身的数据生成适合本企业的风控策略,或者利用高轻量级的情报云平台来帮助企业组织抗击。腾讯云则是通过一套名为“天御”的业务安全防护系统来进行防护。这些措施所面对的对象也主要是包括物联网卡在内的手机黑卡。

腾讯云就曾经帮助过广东企业东鹏特饮抗击过一次“薅羊毛”事件。东鹏特饮此前曾经推出过一次“瓶身扫码赢大奖”的活动,但事后发现,有羊毛党通过批量扫码的方式从中获取利益。

对此,腾讯云采取的措施是,通过对诸如设备使用特征、设备与号码匹配关系、IP变换频率等指标的计算,得出对于一个用户风险程度的评估,如果判定该用户风险等级过高,就会拒绝其访问活动页面。

“最终的结果是,我们检测出20%左右的用户是羊毛党,帮助客户节省了大约3000万的推广经费;事后我们拨打这部分号码,几乎都是打不通或者无人接听。”周斌说。

不过,无论安全企业如何加强对于反黑产技术的钻研,这似乎都只是治标不治本。要根治物联网卡的黑产事件,最根本的方法还是相关部门以及运营商加强相关立法和监管。

多位业内人士在接受界面新闻的采访时表达了运营商应当提高物联网卡申办门槛的观点。他们认为,和普通的手机SIM卡不同,运营商对于物联网卡申办的监管过于松懈,以至于任何人都可以以较低的成本获取物联网卡,从而参与到互联网黑产之中。

“一般来说,对于手机卡,运营商都可以进行一些预先的设置,来限定当中的某些功能;不过具体执行上,要看运营商的管控态度是否坚决。”付亮对界面新闻记者表示。

在内部人士看来,运营商的暧昧态度对于物联网卡的泛滥的确带来了一定的负面影响。前中国电信员工小文告诉界面新闻记者,很多时候,运营商内部对于是否严加管控物联网卡的申办,一直摇摆不定。

当然,从法律角度来讲,运营商有责任管控网络使用目的。《侵权责任法》第三十六条就规定:网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。

不过,这也并非容易实行。“按照通信自由的原则来说,运营商不应该干涉用户使用通信工具的目的,否则企业的目的就会变得双重,很难管理。”他认为,如果要运营商来监管这一事件,那么运营商就会“既当裁判,又当运动员”;反而会导致管理的混乱。

威胁猎人的朱科锭也表示,要想让运营商从源头处来监控物联网卡,并非易事。“运营商本身是逐利的,目的就是多发卡来赚钱,限制发放手机卡,本身有违他们的利益。”

因此,监管物联网卡使用规范的任务,似乎只能落在法律一侧。

根据界面新闻记者了解,目前有关部门尚未出台针对物联网卡的明确法律条文。不过,工信部在2016年11月下发的《关于进一步防范和打击通讯信息诈骗工作的实施意见》中提出要求:“对新办理使用行业卡的,要从严审核行业用户单位资质、所需行业卡功能、数量及业务量,按照‘功能最小化’原则,屏蔽语音、短信功能,并充分利用技术手段对行业卡使用范围(包括可访问IP地址、端口、通话及短信号码等)、使用场景(如设备IMEI与号卡IMSI一一对应)等进行严格限制和绑定。”

此外,也有企业开始嗅探到了危险的苗头,并试图对物联网卡加以管控。2016年9月,淘宝网发布了《手机号卡类商品禁售规则调整变更公示通知》,对于未经确认实名登记标准化流程、存在实名登记风险漏洞的物联网卡,制定了禁售措施。

当年11月,淘宝网又发布了《关于物联网卡商品禁售专项整治的公告》,强调附随商品赠送物联网卡与销售行为属同一性质,适用于禁售规则。

但就在今年2月,淘宝方面再次调整管控力度,规定物联网卡不允许单独售卖,但商家可以随硬件设备赠送物联网卡服务;同时,随硬件设备赠送的物联网卡服务商,需要通过阿里通信天机平台入驻、签约,以确保其所提供的物联网卡服务能满足物联网卡机卡绑定、实人认证等强制性要求。

事实上,促进物联网行业的发展已经是大势所趋。今年6月,工信部发布了《关于全面推进移动物联网(NB-IoT)建设发展的通知》,当中提到,到2020年,NB-IoT(窄带物联网)网络要实现全国普遍覆盖。

因此,可以预见的是,物联网卡的数量在未来势必会继续增加,如何平衡物联网行业发展与物联网卡滥用的问题,将会成为监管部门需要关注的课题之一。

来源:界面新闻

全球物联网观察精选发布

你可能感兴趣的:(想不到物联网卡最先养肥的却是一群羊毛党)