簡介

互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，日漸滲透人類的生活，對經(jīng)濟、文化、社會產(chǎn)生巨大的影響，同時互聯(lián)網(wǎng)業(yè)務(wù)安全也日趨重要。如同網(wǎng)絡(luò)通信的基礎(chǔ)安全設(shè)施防火墻，互聯(lián)網(wǎng)業(yè)務(wù)安全也有其基礎(chǔ)安全設(shè)施--圖片驗證碼和短信驗證碼。在互聯(lián)網(wǎng)業(yè)務(wù)中，廣泛使用圖形驗證碼用于區(qū)分人類和機器，使用短信驗證碼過濾低價值用戶及提供二次校驗功能。

作為互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)安全設(shè)施，圖片驗證碼和短信驗證也面臨眾多的挑戰(zhàn)。此前我們通過《驗證碼的前世今生(前世篇)》和《驗證碼的前世今生(今生篇)》了解了驗證碼的發(fā)展及演變，原理及優(yōu)缺點。今天本文將帶你走近互聯(lián)網(wǎng)業(yè)務(wù)眼前的威脅——圖片打碼平臺和短信打碼平臺。我們以如下兩個場景簡單說明下普通打碼平臺以及手機打碼平臺：

場景一：批量登陸12306網(wǎng)站，并進行購買行為，但驗證碼不能自動識別。

12306的驗證碼比較復(fù)雜，程序較難識別。這時候就出現(xiàn)了普通驗證碼的打碼平臺，程序?qū)Ⅱ炞C碼傳給打碼平臺的識別接口，打碼平臺將驗證碼發(fā)給后端的“傭工”進行識別，并獲取識別結(jié)果。這樣基于此類的人工打碼平臺，即可實現(xiàn)程序的自動化。

場景二：注冊某購物平臺，但其需要填寫手機號和收到的驗證碼才可注冊，如何進行批量機器注冊?

這時候就出現(xiàn)了手機打碼平臺，該平臺提供大量的手機號，并能夠發(fā)送和接收短信。這樣只需調(diào)用手機打碼平臺相關(guān)接口，獲取手機號并獲取短信內(nèi)容即可進行批量注冊。

最后我們將會簡單的闡述面對這些威脅新的解決之道。

一、普通打碼平臺

一)介紹

現(xiàn)在很多簡單的字符驗證碼已經(jīng)不能夠有效阻擋機器行為，使用簡單的OCR識別工具即可進行識別，稍微復(fù)雜的可以結(jié)合機器學(xué)習(xí)等進行高準確率的識別。

普通的字符驗證碼很容易被識別，因而又產(chǎn)生了一些較復(fù)雜的驗證碼，比如如下一些較難通過機器進行識別的。

所以若想進行惡意注冊或批量的機器行為則需要繞過此類的高難度驗證碼。針對這種需求，人工打碼平臺就產(chǎn)生了，其通過組織真實的人來進行識別，并提交驗證結(jié)果。

二)運行流程圖

說明：比如現(xiàn)在羊毛黨要去某網(wǎng)站刷活動優(yōu)惠券，但該網(wǎng)站有較復(fù)雜的圖像驗證碼。通常羊毛黨會在打碼平臺注冊賬號并充值，并通過打碼平臺提供的api接口，提交驗證碼識別。打碼平臺將驗證碼分發(fā)到各個傭工的客戶端里，獲取傭工的識別結(jié)果，并最終反饋給羊毛黨。

1、網(wǎng)賺平臺：

很多打碼平臺需要跟網(wǎng)賺平臺進行合作，因為網(wǎng)賺平臺的用戶量比較大。這種每天輸入一些驗證碼就能賺錢的平臺是很多小白用戶比較喜歡的。我們查看一叫做“有賺網(wǎng)”的網(wǎng)賺平臺，其發(fā)布各種任務(wù)供用戶參與，并通過金幣的形式給用戶發(fā)放，金幣累積一定數(shù)量后可進行提現(xiàn)。網(wǎng)賺平臺會設(shè)有專門的打碼模塊，里面列舉了合作的打碼平臺。如圖

點擊其中一個“知碼打碼”的打碼平臺項目，如圖

點擊獲取工號和密碼后，然后下載提供的軟件，登陸后簡單測試通過后，即可收到打碼平臺推送過來的驗證碼，如圖

傭工可以勾選想要接收的驗證碼復(fù)雜度，有選擇題、填空題、鼠標點擊類型等等。同時通過軟件可以查看該平臺積壓的驗證碼的數(shù)量，如圖為45個，用戶輸入結(jié)果后會很快刷新到下一個驗證碼。每種驗證碼的積分不同，驗證碼難度較高的積分較大些，同時網(wǎng)賺平臺夜間工作給的積分也會多，所以我們可以看到打碼平臺的夜間服務(wù)費用也會高一些。我們粗略計算下這種網(wǎng)賺的收益，按官方說明10000個金幣可兌換1元的標準，我們按一個驗證碼平均可可以獲得100個金幣計算，則打100個驗證碼即可獲得1元，每天打10000個驗證碼才能獲得100元。

2、普通打碼平臺

打碼平臺提供多種類型的驗證碼，有正常的普通字符驗證碼、有選擇題、算術(shù)題、以及其他的特殊類型的。每種驗證碼的計費類型不同，我們查看某打碼平臺的價格類目表，

其中每種驗證碼的價格不同，該平臺沖10元可獲得25000快豆。其中最普通的驗證碼需要10個快豆，也就是說10元可以識別2500個普通驗證碼，我們查看下12306的圖形驗證碼識別價格為60快豆，即10元可以識別400多個驗證碼。同時打碼平臺會以api的形式供用戶使用，其只需傳入賬號密碼以及驗證碼所屬類型、驗證碼文件即可進行識別，如圖

3、開發(fā)者

每個打碼平臺都會有很多開發(fā)者，開發(fā)者通過打碼平臺提供的sdk，進行開發(fā)軟件。比如針對12306編寫一個搶票軟件，并內(nèi)接該打碼平臺，那么羊毛黨在使用該軟件時只需填入打碼平臺的賬號密碼即可使用。同時開發(fā)者可以拿到提成，提成一般較高。

4.羊毛黨

什么是羊毛黨?

有選擇地參與活動，從而以相對較低成本甚至零成本換取物質(zhì)上的實惠。這一行為被稱為“薅羊毛”，而關(guān)注與熱衷于“薅羊毛”的群體就被稱作“羊毛黨”。早前，“羊毛黨”們主要活躍在O2O平臺或電商平臺。另外隨著2015年互聯(lián)網(wǎng)金融的發(fā)展，一些網(wǎng)貸平臺為吸引投資者常推出一些收益豐厚的活動，如注冊認證獎勵、充值返現(xiàn)、投標返利等，催生了以此寄生的投資群體，他們也被稱為P2P“羊毛黨”。當(dāng)然，使用打碼平臺的不一定就是羊毛黨，還有可能是一些搶票的“黃牛黨”或者黑色產(chǎn)業(yè)的欺詐者。

三)利益鏈

說明：傭工通過自身勞動，通過網(wǎng)賺平臺變現(xiàn)，獲得利益;網(wǎng)賺平臺與打碼平臺進行合作，并有利益分成。打碼平臺將服務(wù)進行封裝，提供給羊毛黨。打碼平臺的開發(fā)者通過開發(fā)軟件供羊毛黨使用。同時羊毛黨通過批量的注冊、活動優(yōu)惠等方式從網(wǎng)站進行獲利。

二、手機打碼平臺

一)介紹

短信驗證碼在互聯(lián)網(wǎng)業(yè)務(wù)中用于過濾低價值的用戶，從而將服務(wù)推送給目標用戶。這是基于手機號基本實現(xiàn)實名認證，每個人擁有的手機號也是有限制的前提。似乎通過手機短信驗證就能夠防止垃圾注冊，篩選出真正有價值的客戶。然而黑產(chǎn)針對基于手機號注冊的場景，推出手機打碼平臺。手機打碼平臺囤積大量的手機卡提供短信收發(fā)的服務(wù)。實際調(diào)查中發(fā)現(xiàn)大型手機打碼平臺有幾百萬手機卡，小型也有幾萬的手機卡。

二)運行流程圖

手機打碼平臺的流程圖如下，主要有兩個角色，一個是平臺的普通用戶通常為羊毛黨、一個是平臺的卡商。

說明：手機打碼平臺會提供各種項目的接口，比如xxx賬號注冊、xxx綁定手機等。羊毛黨只需要調(diào)用接口，獲取某個項目可用的手機號，并將該手機號填入目標網(wǎng)站，然后調(diào)用接口獲得短信內(nèi)容即可。

1、手機打碼平臺

手機打碼平臺提供各種項目，我們查看下某一手機打碼平臺的項目列表，如圖

每個項目的價格不同，像p2p金融類的可能價格較高，其他的普通的比如115網(wǎng)盤手機綁定價格較便宜，一個手機號只需1毛。接收短信流程很簡單，查看下該平臺的官方API接口說明，如圖

我們只需要調(diào)用接口，獲取某個項目的手機號，填入網(wǎng)站，并調(diào)用接口獲取短信內(nèi)容即可。同時打碼平臺通常還會提供發(fā)送短信的接口、接收語音驗證碼等功能，如下為某一手機打碼平臺發(fā)送短信的接口

2、卡商

卡商是指擁有大量手機卡的用戶，其通過貓池并通過打碼平臺提供的軟件，提供相關(guān)項目的短信收發(fā)服務(wù)?？ㄉ痰氖謾C號被使用一次，則可獲得相應(yīng)的收入，如下為一打碼平臺的卡商客戶端，卡商將插有大量手機卡的貓池接入電腦，并選擇需要做的項目即可。

其中貓池可以理解為有通信模塊，可以收發(fā)短信，可以插很多手機卡的設(shè)備。一般有8口、16口的，多的有128口的，即可以同時插128張手機卡。貓池有多種類型，現(xiàn)在有很多貓池是支持3G、4G的，如下為插有手機卡的貓池圖

卡商通常會有大量的卡，用來做手機打碼只是其中的一個業(yè)務(wù),還有很多是用來刷鉆、刷會員、刷流量等。市場價格一般在10元左右一張，且這些卡有很多也是經(jīng)過實名認證的，且有很多屬于0月租、0余額的特殊卡。當(dāng)然可以發(fā)送短信的則是有一定余額的。我們查看下一售賣手機卡的卡商發(fā)的廣告，如圖

[[188889]]

[[188890]]

關(guān)于這種大量的卡的來源，其中一手機打碼平臺的卡商透露了如下信息

同時這些卡商會有其他的業(yè)務(wù)比如超級會員、黃鉆、綠鉆等，查看一打碼平臺卡商發(fā)的信息，如圖

3、羊毛黨

我們查看一薅羊毛的群，里面每天會更新一些活動信息

當(dāng)然發(fā)出來的都是一些小利潤的，一些較大利潤的羊毛黨們都不會輕易透露，當(dāng)然其中也有很多屬于灰色或黑色產(chǎn)業(yè)。在一些薅羊毛的群里，通常會伴有身份信息的售賣，在某一群里查看到售賣正反身份證圖片加手持身份證的信息，只需2毛一份，如圖

三)利益鏈

說明：

羊毛黨通過手機打碼平臺提供的手機號去網(wǎng)站批量注冊，獲得小號，再利用這些小號批量獲取優(yōu)惠。比如uber的推薦用戶注冊送優(yōu)惠券，還有一些網(wǎng)站的新用戶推薦注冊送話費等等來獲利。打碼平臺從提供手機打碼服務(wù)里進行收費，并與對接的卡商進行利益分成，平臺自己也會有一些手機卡。同時卡商也是有多種業(yè)務(wù)，一種是專門做打碼平臺的業(yè)務(wù)，其他的還有通過售賣卡給羊毛黨，用來做刷超級會員、刷鉆等業(yè)務(wù)進行獲利。

三、如何防控

針對普通打碼平臺以及手機打碼平臺如何進行防控。采用新型的驗證碼技術(shù)是一種方式，構(gòu)建手機打碼平臺黑名單庫也是一種方式。但基于構(gòu)建的用戶手機號信譽體系以及用戶設(shè)備信譽體系，結(jié)合眾多數(shù)據(jù)構(gòu)建自己的安全風(fēng)控系統(tǒng)才更為重要。

一)新型驗證碼

替換傳統(tǒng)驗證碼，采用新型的驗證碼。傳統(tǒng)的驗證碼已經(jīng)很難去防止機器行為，因而出現(xiàn)了一些基于用戶行為的新型驗證碼。新型驗證碼最大的特點是不再基于知識進行人機判斷，而是基于人類固有的生物特征以及操作的環(huán)境信息綜合決策，來判斷是人類還是機器。

比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

當(dāng)然這也并不代表此類驗證碼不能被繞過，今年的Asia Blackhat上公布了一種破解Google reCaptcha的思路，具體可以參考[相關(guān)paper]

二)手機信譽庫

針對短信打碼平臺，可以回歸短信驗證碼的本質(zhì)需求，即過濾互聯(lián)網(wǎng)中低價值的用戶。而由于手機號并非完全實名制，事實上獲取一個手機號的成本并不高，所以基于手機號并不能有效篩選出真正的高價值客戶。盡管手機號本身獲取成本不高，但是對于大多數(shù)普通互聯(lián)網(wǎng)用戶并不頻繁更換手機號，所以可以基于手機號對應(yīng)的行為來建立基于手機的征信庫，從而基于手機號的信譽實現(xiàn)篩選出高價值客戶功能，而非單一的依賴用戶是否擁有一個手機號。

三)風(fēng)控體系

對于普通的網(wǎng)站而言，建立自己的用戶信譽體系尤為重要?；谟脩舻脑O(shè)備信譽、用戶行為等信息進行防控。

其中對于p2p金融類的網(wǎng)站而言，構(gòu)建自己的安全風(fēng)控系統(tǒng)尤為重要。金融類的較為敏感，對于用戶的身份應(yīng)當(dāng)做強的安全校驗，比如進行銀行卡綁定的身份校驗等。

四)其他

現(xiàn)在的手機已經(jīng)需要進行實名認證，對于大量手機卡濫用會有一定的效果。但是在調(diào)查中發(fā)現(xiàn)其中還是有大量的特殊卡，且都經(jīng)過實名認證或者是進行了企業(yè)認證的卡。另外對于手機打碼平臺，國家已經(jīng)出臺了相關(guān)政策，認定手機打碼平臺屬于違法行為，因而這些手機打碼平臺也都轉(zhuǎn)為地下。