微信暗藏代收验证码服务 被用作APP虚假注册、诈骗(2)

今年7月，广东省公安厅网警总队侦破全国首例打击预装手机后门获取验证码注册网络账号的网络黑产案件。经侦查，深圳某科技有限公司为多家杂牌手机厂商提供终端系统方案，在未出厂的手机操作系统底层植入木马黑客程序，只要用户买了手机插入电话卡，在不知情的情况下，其手机号码即被黑客程序控制。此外，该公司还搭建多个接收手机验证码平台，结合事先植入手机操作系统底层的木马黑客程序，把接收到的手机号码和短信验证码用于为下游黑产团伙提供各类网络账号注册服务，每次接码服务费为0.4元至2.5元。经腾讯守护者计划安全团队技术分析，短信验证码回传后，后台即删除、屏蔽相关短信，导致手机用户无法发现自身号码已被他人利用注册了网络账号。

一张注册卡约10元，多用于电信诈骗、薅羊毛

根据腾讯发布的《互联网账号恶意注册黑产产业治理报告》，卡商是恶意注册产业链条的源头。“卡商就是注册卡贩子。”一位接近黑产人士告诉新京报记者说。

据记者调查，因所需手机卡数量庞大，默认关闭语音功能、资费超低的注册卡受到这些黑产从业者的青睐。“他们用猫池来做群控，可以实现多张手机卡同时作业。”上述接近黑产的人士表示。猫池即一种电子设备，在上面可以插多张手机黑卡。通过猫池可用手机卡接收验证码，也可蓄养大量虚拟账号。

一般而言，卡商直接跟接码平台合作，通过猫池将验证码自动发给接码平台，接码平台向“卡商”支付报酬，每条信息收费在1角至3元不等，卡商基本能“足不出户，月入过万”。

在北京某二手手机交易市场的地下，陈淼（化名）面前的玻璃柜台中杂乱地摆放着一摞白色的卡片。“注册卡12元一张，数量多的话价格好商量。”

新京报记者在陈淼的摊位看到，除卡片全身素白外，和日常使用的手机卡并无二样。“这就是注册卡，不能打电话，不过可以接短信。”陈淼抬头望了一眼暗访的记者后，指着这摞白色卡片说，“可以用来注册账号，有了账号想干吗就干吗。你如果想要的话，我可以给你发快递。”

不过，陈淼并不愿意透露这些注册卡是怎么来的。一位黑产研究人士Jane（化名）向新京报记者表示，这些卡中有相当一部分为物联网卡，还有的是虚拟号卡。

“物联网卡是通过代理商销售并激活的，并非运营商。”一位天津的手机店老板李通（化名）告诉新京报记者。据李通介绍，“一般来讲，这些物联网卡是严禁在手机上使用的，但是目前却被包装成手机流量卡流向市场。”

记者走访了北京两个二手手机卖场，发现其中均有注册卡卖家，价位在十元上下。在多个QQ群和微信群，记者也发现注册卡卖家发布的广告。

《互联网账号恶意注册黑产产业治理报告》中指出，恶意注册是下游网络犯罪的上游源头行为。

以恶意注册行为为核心，上游有提供手机卡号的号商，他们通过包括物联网卡、个别虚拟运营商流出的非实名号、黑产人员与个别运营商工作人员勾结流出的非实名号，以及其他非实名白号和虚假实名号，提供给下游用于注册信息；提供短信验证码或语音验证码的接码平台，提供图像和滑块验证码的打码平台，提供公民个人信息和企业注册信息的“料商”，这些人分别提供了资源用于作为注册信息和身份绑定信息，供应注册行为人进行注册行为。在注册行为完成后，号商会进行养号从而提升号码的价格和防止被安全措施封禁，并最终提供给下游，用于多种下游黑灰产业。

下游的黑灰产业，首先就是用于诈骗等犯罪场景。例如上文提到杀猪盘、美女诈骗、荐股类诈骗等，这些账号显然不是真实身份注册的。此外，恶意账号还可能被黑产人士用于薅羊毛，刷粉、刷量和刷单炒信等虚假流量行为，广告营销，其他违法或灰色行为。

电子商务研究中心主任曹磊此前在接受媒体采访时表示，国内“羊毛党”已经形成了组织化程度极高的黑灰产组织。上到BAT，下到初创的互联网公司，只要举办市场活动，都可能面临“羊毛党”的巨大威胁。

专家:需要对监管责任主体进一步明确

11月19日，最高人民法院发布《司法大数据专题报告：网络犯罪特点和趋势》显示，2016年至2018年，网络诈骗案件被告人主要利用的虚拟犯罪工具为微信、QQ、支付宝等，占比分别为42.21%、35.23%、15.28%。利用微信实施诈骗的案件在全部网络诈骗案件中的占比逐年快速提高，到2017年已有赶超QQ之势。微信的普及使其成为2018年网络诈骗犯罪分子使用较为频繁的工具。

报告还指出，被告人在实施网络诈骗案件时，以冒充他人身份来欺骗受害者的案件占比最高，约占31.52%。

平台加强监管被认为是斩断黑产利益链的重要方式之一。“弱监管是很多平台存在的问题，这让他们（黑产从业者）能够直接在上面去发布广告，联系客户。通过设置关键词等方式来加强信息审核或许不失为改善这个问题的一个突破口。”一位黑产研究人士称。

有律师向新京报记者表示，“平台监管缺位为不法分子留下了空间，严格落实实名制度有利于减少信息泄露事件发生。”

多名专家表示，要打击这类黑产，最有效的方式是直接打掉其产业链上游的恶意注册工具提供商。

早在2016年9月，工信部、银监会、公安部等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》，对电话实名制落实提出了明确时间表，同时对电信运营商开卡给予了数量限制。据媒体报道，参与侦破当时最大验证码平台“爱码”案的沈勇认为，这将从根本上遏制此类平台（即接码平台）的发展。