起底薅羊毛灰色产业链

薅羊毛的概念与发展

薅羊毛的由来与概念

上世纪末,宋丹丹和赵本山在央视春晚舞台出演了一个小品——《昨天、今天、明天》。在小品中,宋丹丹饰演的白云利用自己给生产队放羊的便利条件,揪羊毛搓毛线,给老板黑土织了一件毛衣,被扣上“薅社会主义羊毛”的罪名,这便是“薅羊毛的鼻祖”。
现实生活中,普通的薅羊毛行为指消费者通过领取优惠券、获得折扣或返现等方式从交易活动中获取实惠,这种属于正常的交易行为,没有上升到业务欺诈的层次。
本文接下来探讨的薅羊毛均指羊毛党以营利为目的,有组织地针对商家活动进行大规模的薅羊毛攻击行为。

羊毛党的发展历程

起源

羊毛党,起源于互联网金融的P2P平台,指代那些专门选择互联网渠道的优惠促销活动,以低成本甚至零成本换取物质上的实惠的人。初级羊毛党多是一些“爱占小便宜”的散客,凡有活动就薅,不计风险,只赚取返现和注册金。它们常常是零散的进行薅羊毛活动,盈利也比较低。
羊毛党

发展

组织化

中级羊毛党常通过一些羊毛群获得相关资讯,积极参加薅羊毛活动,开始呈现出一种松散的组织形态。这个阶段,它们不仅赚返现,对于一些收益高又可靠的平台,也会投入一些资金进去。比如,投2000元一月标,收益率为9%,除掉网贷平台的中介费用,额外赚14元左右,再加上投资额的1%返利和100元的直接返现,总收益大约134元。以此计算,则平均到年化收益高达80%。

专业化

初级和中级羊毛党本质上都属于第一代羊毛党,是精打细算的“业余玩家”。现在要说的是“专职羊毛党”,他们是工具化的“职业玩家”,属于第二代羊毛党。小号软件、虚拟号注册器等工具可以自动注册大量的新号码,接码平台可以专门接收验证码,代理IP使其落脚五湖四海。

集团化

累积了大量的资源,有组织有纪律、分工明确、规模感人的羊毛党公司、团伙出现了。不再满足于只在底端薅羊毛,他们开始着手养小号、开发短信收发平台、制作刷单软件、规模化组织刷单、变卖套现等环节,逐渐形成一条完备的产业链。
比较专业的羊毛党,通常都是以集团的方式出现的,羊毛党群体之间交流的信息都大量的集中在各类网赚论坛、QQ群或暗网中。只要在搜索框内输入“羊毛”两个字,就会出现一堆薅羊毛的公众号和网赚论坛,而且这些论坛和公众号的用户几乎都属于羊毛党。不信?截图给你们看:
羊毛党

运作模式与角色分工

薅羊毛地下产业运作模型

实施一次完整的薅羊毛攻击,需要跑通以下几个环节:评估风险找到适合下手的活动 -> 获取到大量的对应平台账号 -> 通过购置真机并结合其他技术手段得到大量的设备 -> 购买代理软件获取大量的IP池 -> 购买各种自动化工具进行批量操作 -> 执行薅羊毛 -> 利益变现 -> 分赃。
进一步的,我们可以拆解出整个薅羊毛地下产业链的运作模型,如下图所示:
薅羊毛产业运作模型

主要角色

黑客

黑客基本贯穿在整个薅羊毛产业链中:

  • 到各大平台挖掘漏洞
  • 编写恶意程序,钓鱼盗号
  • 破解协议算法,绕过各种设备验证
  • 通过社工或撞库,获取黑卡资料、身份信息
  • 开发制作各种软件,如自动注册机、自动刷单器、改机工具、按键精灵脚本等
  • 与代理或者广告商(团伙工作室)合作,维护接码、打码平台及代理的公司网站

平台/代理商

平台为了吸引活跃用户,获取到投资,往往会和广告公司或者CPS推广公司这类代理商合作,平台则按照用户的注册数量来进行费用结算。而当这些公司在短时间内难以达到平台的预期时,就会选择跟羊毛党合作,也就是所谓的找“刷子”。
此外,对于一些处于初创期间的互联网金融公司,为了能够快速积累用户规模和交易规模,有时候自己也会主动搭上羊毛党帮忙刷量,以期望推动平台快速发展。

线报员

遍布各大电商、直播等Q群及网赚论坛中,负责收集平台的优惠或奖励活动情报、提供羊毛信息。
线报

卡商/号商

卡商和号商是该产业中的关键角色,卡商以集团客户的身份批量购卡,然后在网络上销售;号商则将这些手机卡转化为可用的各类账号,包括电商平台注册用户账号、社交平台用户账号等等。在搜索引擎上搜索相关关键字,即可发现大量的卡商和号商信息:
卡商号商

接码平台

接码平台提供了短信验证码和语言验证码两种形式的验证码获取。通常,接码平台会向卡商提供客户端、API,甚至手机客户端,服务端根据预先设置好的短信模板对短信内容进行自动匹配,提取其中的验证码信息。接码平台的API,能对接到自动化脚本当中,实现批量化注册。
此外,在短信验证码的对抗中,出现了很多新的形式。比如,整个注册过程中,可能需要接收多验证码,或要求用户向指定的号码发送一条验证码,也有很多平台选择了语音验证码。而接码平台也在不断的改进,产生出了专门的发送验证码服务、语音验证码听码,还衍生出新的一种网赚项目——“听码”。
接码平台业务逻辑短信验证码

打码平台

“打码平台”则是提供批量自动化识别各类验证码的专业服务平台。
各种验证码各种验证码

代理软件卖家

执行批量的注册、登录等操作,要用到庞大的代理IP池,这里就需要依赖代理软件卖家的供应。
代理软件

羊毛党

羊毛党是最终执行薅羊毛攻击的前台黑手,他们通过社交软件、贴吧和电商平台获取大量账号,执行业务欺诈行为。

羊头

羊毛团体的领导者,也是平台与羊毛党之间信息的中介。它会从代理处接单,从黑客处获取工具、漏洞,并从各个群里获取线报。此外,它还会在自己的羊毛QQ群、微信公众号,抑或建立自己的羊毛平台进行资源整合,通过各个渠道带领众多羊毛党对平台进行”群起而薅之”。

羊群

有一些是利用业余时间兼职赚些外快;还有一些是专职薅羊毛,整天靠刷单或秒杀活动等获取利益。

关键技术

猫池

猫池就是将相当数量的Modem使用特殊的拨号请求接入设备连接在一起,可以同时接受多个用户拨号连接的设备。猫池在连接到PC上之后,可以通过软件对手机卡进行集中管理,主要的功能包括:设置通道对应的手机号、自动读取短信、发送短信、拨打指定号码、批量设置呼叫转移等。在薅羊毛地下产业中,猫池被用来批量、集中模拟手机进行短信、验证码的收发。
猫池猫池软件

注入\Hook

Hook是一种运行时动态劫持目标函数,对内存中的数据进行篡改的技术手段。市面上的各种改机工具也都是基于Hook实现,通过这些工具可以对设备参数进行伪造,从而被识别为一台新的设备。
在薅羊毛地下产业中,可以利用Hook技术编写通用的改机工具,并收取注册费;也可以与羊毛党进行交易,针对性的破解特定的指纹算法;还能编写特定的Hook插件,实现一些自动化操作。

定制ROM刷机

有别于Hook的动态篡改,通过定制ROM刷机可以直接对整个系统镜像进行修改和替换。该技术可以应用到模拟器和真机,从而产生大量的虚假设备。

模拟器

模拟器作为一种虚拟机,配合改机工具,能够以较低成本实现设备多开,因此而备受黑灰产的青睐。然而由于Hook检测的对抗,黑产开始逐步转向自定制ROM的Android模拟器。这些模拟器具备一键新机的功能,每次启动所有的系统参数都会随机变化。由于它并没有安装Hook框架,也没有进行Hook操作,所以会比较难以识别。

多开沙箱

多开软件提供了一个虚拟化的沙箱环境,这意味着它可以做到很多事情。比如,它可以直接把注入代码的窗口放在这里,从而实现应用启动时就加载外部的hook代码;还可以让每次虚拟空间中的系统参数随机变化,让目标应用以为自己运行在一个新的设备中。
多开虚拟化引擎配合Hook技术,有可能使设备指纹识别技术在未来面临更多的挑战。

群控系统

群控系统能同时管理并操作多台设备,是模拟器作弊的升级手段。模拟器作弊和群控系统,都是为了打破越来越多的针对设备维度的限制技术而产生。区别在于,群控系统是使用真机来完成。
早期的群控系统功能,主要围绕微信营销展开,为微商服务。群控系统中,提供模拟定位、站街、摇一摇、批量导入通讯录等功能来大量添加微信好友,再通过朋友圈发布、消息群发等功能进行定向的消息推送。此后,大批的互联网公司通过微信来发布各种营销活动,这些欺诈份子就开始利用群控薅平台羊毛,攫取利益。
此外,某些群控系统还集成了图灵接口,可以和用户进行常规的对话,这大大增加了机器识别的难度。
至于群控系统的插件开发,很大程度上要受制于群控系统本身的功能和开发人员的技术水平。但绝大部分使用群控系统的人,其实并不具备开发能力,仅仅是单纯地使用群控系统进行营销。
设备群控

按键精灵

按键精灵类自动化脚本,同时支持安卓和IOS设备,使用其特有的脚本语言(类似VB),能够模拟用户的输入操作和触摸轨迹,替代人工完成一些较复杂的操作。
按键精灵

逆向破解

逆向破解在薅羊毛产业中也占据了很重要的一环,黑产会通过逆向分析的手段破解注册、登录协议及设备指纹算法等,并通过与羊毛党进行交易获取收益。
逆向破解

------ 本文结束 感谢阅读 ------

版权声明

Shell In Ghost by Jiang Jie is licensed under a Creative Commons BY-NC-ND 4.0 International License.
蒋杰创作并维护的Shell In Ghost博客采用创作共用保留署名-非商业-禁止演绎4.0国际许可证
本文首发于Shell In Ghost 博客( https://www.wireghost.cn ),版权所有,侵权必究。