黑产的类型与武器库概览

垃圾注册

在注册环节中，使用虚假、不稳定的身份信息，如虚假号码、通信小号、临时邮箱、虚假邮箱注册，或者使用脚本、注册机进行批量注册的行为，称为垃圾注册。注册完的垃圾账号，在直播视频行业中被用于关注、点赞、观看视频量、批量评论等，在电商行业被用于刷店铺访问量、关注量等。此类账号在账号命名上也有所特征，常见的有不规则英文组合、古诗词句截取等。

疑问：注册不都是需要手机号的吗？哪来那么多的的手机号呐？什么叫虚假号码？

薅羊毛

使用虚假身份信息或自动化工具参与各类营销活动的行为，营销活动包括但不限于折扣、返现、抽奖、满减等形式，并且不能给平台带来实际的活跃用户或订单交易。执行薅羊毛行为的人称为羊毛党。

黄牛/刷单

在合法销售途径以外，垄断、销售 限量参与权或商品，并以此牟利的中介人称为黄牛。从业务安全的视角上看，黄牛和刷单在行为上相似度极高，都发生在交易场景中，并且具有爆发性，会大量使用自动化工具。

黄牛和刷单的区别在于：

• 刷单过程中买到的产品，即使加价出售，也比商品原来的价格要低。而黄牛在倒卖的时候，价格会远高于商品原本的价格。
• 还有区别在于价格和目标商品类目上，在刷单过程中刷手需提前确认收货好评垫付商品金额，为了控制刷单成本一般选择低价商品。但黄牛的目标多为热门稀缺的热点商品，便于后期加价出售获利。如某热门手机，某海外热门歌手演唱会门票每年必遭黄牛哄抢，单价商品倒卖价格已达上万元。在智能风控引擎中，这两种欺诈行为的表现几乎是一致的，不做详细区分。

这里也有一点疑问：为啥刷单买到的商品出售的话，会比原来的商品低呐？这样的话不是亏了吗？
答：买来的商品相当于二次销售了，自然贬值，另外需要刷单的话，刷手也是会赚钱的。所以并不需要高于原价，而且高于原价也不会有人来买啊，人家完全可以去正规商铺直接买！

众包

由多个独立的个体共同参与完成的一项任务被称为众包。由羊头发起，众多羊毛党在线参与的薅羊毛行为称为众包薅羊毛。一个典型的案例，在某微信群中，羊头和羊毛党配合，羊头负责收集线报并同步到微信群内，一般是商品折扣或满减形式。同时，羊头在群内收购商品，羊毛党参与活动，低价购买了商品，可以直接转售给羊头，羊头支付商品成本和手工费用。羊头借此囤积了大量的低价商品，再通过其他线下渠道转售出去。所有参与此次薅羊毛行为的用户都是独立的真实用户。

炒信

通过各种途径和手段进行虚假交易，快速提升商户交易量、信用等级的行为统称为炒信。

套利（感觉这里其实指的就是薅某个平台的钱）

由商户端发起的薅羊毛行为被定义为套利。例如，在银联活动中，某家银行的活动形式是，用户到指定门店消费，消费满100元返50元，同时商户也可以获得50元奖励。活动期间出现了商家和羊毛党联合欺诈，羊毛党到店扫码支付，商家会退回支付的钱，没有发生任何实质上的交易，但是羊毛党和商家都能够获得奖励，以此骗取奖励。

空包（感觉就像是所谓的走流程）

虚假发送快递，发送空的快递或包裹。在电商场景中，订单提交后，商家将商品打包，通过快递方式发送给用户。在套利或炒信时，商家必须给平台提交物流单号完成发货动作，买家签收后钱款打入卖家账号，一笔交易才算完成。此时，如果商户选择发送空的快递，或者提交已经完成的、其他平台的快递单号，则可以节约成本。市面上也有很多打着代发快递名头的空包网站，代发一单快递的售价为0.6元～0.8元，并且可以提供真实的物流信息来规避甲方平台的风控策略。

洗钱

洗钱 （一种将非法所得合法化的行为）

黑产武器库

虚假号码

是指 运营商真实存在的手机号，但这些手机号未经实名认证，可以用于代替他人接收验证码。

黑产团伙在薅羊毛、刷单这类欺诈活动中，动辄就有数十万个、数百万个账号参与，每一个账号都意味着有一个可以接收短信的手机号。这些手机号从何而来？

虚假号码由手机卡商提供，对接到 接码平台 中，提供短信验证码代收服务，进一步被各类黑产使用。在整个黑色产业链中，手机卡商处于产业链上游，并且是整个产业链的关键节点。虚拟号码数量初步估计为5000万个，这批手机号会在全网流窜，对不同厂家进行欺诈活动。

猫池（一种用于控制和管理 SIM 卡的设备）

猫池 可以使用 AT 指令进行控制。
例如。

• 电话呼叫1398888：ATD+1398888\r\n。
• 挂断电话：ATH\r\n。
• 读取短信列表：AT+CMG\r\n。

使用指令来直接操作猫池比较麻烦，因此 出现了一系列配套的猫池管理软件，提供了图形化操作界面。

然后就是 软件 的管理了，接码平台 直接去读取软件 的 DB 就行了。

短信验证码

接码平台

手机 rom 后门

“老人机团伙”拥有自己开发的手机 rom 系统，这些系统基于早期的MTK 平台。
他们在rom 中预植入了后门逻辑，然后通过与很多公司合作生产出各种品牌的“老人机”。这些手机只提供了电话和短信功能，他们会以较低的价格投放市场售卖，并通过一些渠道销售到很多贫困地区。

当一些老人以较低的价格买到这些手机插入手机卡后，rom 中的后门就会通过短信的方式上报对应的手机号到黑产预埋的手机号中。黑产团伙使用这些手机号注册各类网络平台账号，当验证码发到老人手机上时会被后门再次转发到黑产手中。由于rom 的后门有对应的屏蔽短信规则，使用者自己根本看不到这些短信，所以也无法觉察自己的手机号被黑产使用了，只能从运营商的短信详单里发现端倪。

这里感觉有一个问题啊，老人一般最关注的就是 话费，莫名的增加话费不是会瞬间起疑吗？

代理 IP

代理服务器的工作原理

我们曾经监控到一个非常强大的黑产组织，他们通过技术手段让网民获取违规的互联网信息，诱导网民安装相应的客户端软件。用户的电脑因此被这个工具做成网络代理节点。经过一定时间的积累，该黑产组织将数十万个家庭IP 变成他们的代理节点，通过API、Chrome 插件甚至SDK 的形式提供服务进行盈利。

设备伪造工具

风控方除通过 手机号、IP 资源部署风控策略外，还会结合设备维度定制更加强有效的防控策略，因此黑产会通过各种方式和工具伪造移动设备信息。改机工具、模拟器和各种hook 框架都是黑产常用的作案工具。

改机工具

互联网业务平台的营销活动，一般都有以下类似的客户条款。

• 每个注册账号仅限参与一次。
• 每个手机号仅限参与一次。
• 每台设备仅限参与一次。

前文提到，黑产可以通过接码平台来获取大量的虚假手机号，进而注册大量的垃圾账号。那么 如何使用少量真实设备生成大量的虚假设备呢？

答：通过 修改 设备指纹 完成（一台手机生成无限多个设备指纹）

多开工具、Xposed、Cydia Substrate、Frida、硬改 Android 开源操作系统、

脱机挂

脱机挂是指把原有客户端代码逻辑使用程序模拟执行。脱机挂开发者需要先对客户端代码逻辑进行逆向和破解，然后使用自己编写的代码实现相应逻辑。脱机挂能够实现短时间的大批量请求，但制作脱机挂的门槛也是所有作弊手段中最高的。

备份恢复/抹机恢复—恢复后就又相当于一台新的设备啦~

模拟器 （这个搞过 安卓开发 的都知道，夜神模拟器啥的）

其他工具

位置伪造工具（GPS等位置伪造）

群控

“设备农场”也被称为“群控系统”，是指通过技术手段远程控制大量移动设备的系统。
这项技术在很多领域都有成熟的应用，如云测平台、自动化测试。黑产在自动化测试框架基础上增加了改机功能，用于批量操作真机注册、养号、机器人等。