驗證碼成信息泄露最大黑洞

11月8日，北京商報記者獲悉，在網絡盜號案中，警方破獲了全國最大驗證碼平臺——愛碼案件，從而揭露了此類驗證碼平臺背后的黑色產業鏈。包括愛碼在內的平臺通過介入驗證碼平臺，使用插卡設備“貓池”，提供上萬個網站項目的接收驗證碼服務，除了造成外賣平臺數千萬元的損失，還形成了欺詐行為。業內人士認為，這與電信實名制落實不徹底有很大關聯。

新平臺造就“羊毛黨”

據了解，包括愛碼在內的驗證碼平臺的一大收入來源，就是鉆外賣訂餐平臺及許多電商平臺推出的優惠政策漏洞。很多平臺為了保證注冊用戶的真實性，防止惡意注冊和撞庫登錄等問題，都會在注冊、登錄模塊設置短信驗證碼進行身份驗證，比如餓了么、美團外賣、百度外賣等外賣平臺都通過“首單優惠”政策用以拉新。

在這種商業模式下，利用驗證碼獲取利益的互聯網平臺便滋生。由于普通用戶手中一般只有一兩個手機號碼，平臺上的一些優惠政策只能享受一兩次，為了滿足消費者“貪小便宜”的心理，一種叫做“貓池”的設備就被發明出來。

北京商報記者了解到，“貓池”就像一個能插多張手機卡的簡易手機，可以理解為N卡N待，把大量的手機SIM卡插入“貓池”后，不管有沒有實名或是否欠費，只要可以接收短信就可以使用。一臺電腦可以連接幾臺“貓池”，每臺“貓池”根據端口數量的不同，能同時插入8-64張手機SIM卡，就可以形成驗證碼接收平臺，從而以新賬號的姿態在各種平臺上注冊，成為所謂的新用戶。

警方透露，由卡商購買“貓池”及手機卡，然后接到愛碼這樣的驗證碼平臺上，手機號碼注冊電商平臺或網站之后，卡商就會接收到驗證碼短信，打碼后再傳送給驗證碼平臺，最后驗證碼平臺將結果反饋給與此有連接服務的掃號軟件，直接讓黑客繞過短信驗證實現撞庫。

一些小型商家自己買“貓池”、收手機SIM卡，在QQ群里兜售接受驗證碼的服務，貪小便宜的外賣用戶在搜索、QQ群等途徑獲知聯系方式。北京商報記者在QQ平臺上搜索“驗證碼”三個字后，出現幾百個QQ群，如“手機驗證碼”、“驗證碼短信通道”、“九州卡商驗證碼”、“代接驗證碼”等QQ群。他們為用戶提供手機號合作點外賣。以某外賣平臺首單優惠20元來算，用戶用黑卡訂餐，付給刷手10元外，自己還能省下10元，為了天天吃上“很便宜”的外賣，許多普通用戶成了黑卡平臺獲利的幫兇。

在網上，這種賺取小額返現獎勵或者占取外賣平臺便宜的角色被稱為“羊毛黨”，不僅是在外賣平臺上，也在P2P網貸平臺上。一些新平臺上線，會推出注冊就送50元等類似活動，吸引投資者注冊，有些投資人會借幾個身份證，一人注冊多個賬號，賺取小額獎勵，這些小額獎勵即所謂的“P2P羊毛”，對于那些活躍在各P2P平臺上專門薅羊毛的投資者，業內稱他們為“P2P羊毛黨”。對于瘋狂刷單型的羊毛黨來說，通過“貓池”可以用幾百個手機號、身份證、銀行虛擬卡對同一活動狂薅。

驗證碼成詐騙工具

不過，零散的卡商只是驗證碼產業鏈中很小的一部分，像愛碼一樣的平臺級卡商，手中往往握有幾百萬張手機SIM卡，可以提供9000多個網站項目的接收驗證碼服務。如上述類似騙取優惠的事例，在所有推出首單優惠的平臺上都可以重復，在不良用戶和驗證碼平臺雙方得利下，外賣平臺的損失無疑非常嚴重，以700萬手機黑卡計算，僅此一項給三大外賣平臺帶來的損失就高達數千萬元。

阿里巴巴集團安全部合成作戰中心高級安全專家璃珞透露，為了刷單和占優惠而購買服務的人，只占很小一部分。調用手機驗證碼的服務最終指向的都是大型電商平臺，有15%－20%左右去“薅羊毛”（即享受優惠），70%是用這些手機號生成的賬號來欺詐。

警方指出，在黑客繞過短信驗證實現撞庫后，個人信息和賬戶中的財產將無一幸免被盜走。愛碼平臺提供的服務項目大概有上萬個，價格從0.1元到1元不等。去年10月破獲的、半年之間涉案的、有歷史記錄的交易金額大概上千萬元。據不完全統計，2015年互聯網黑灰產業從業人員已超40萬，比前年同比漲90%，規模據估過千億元。

警方及互聯網安全專家都認為，此類驗證碼平臺的存在，不僅破壞了網絡的驗證碼注冊機制，同時也破壞了互聯網實名制，對網絡安全產生惡劣影響，但打擊起來存在難度。

電信實名仍是關鍵

“今年以來，電信運營商在實名制方面做了很多工作，但是在對于二級服務商的管理上，還是存在問題。”璃珞指出。正像上述所描述的，驗證碼平臺可以獲得幾百萬個手機號資源便是其中最重要的問題所在，因為按照電信實名制的規定，每個用戶所能申請的手機號碼數量是有限的。

在實名制還未被特別強調之前，黑卡大量存在，一些網購平臺甚至明目張膽地進行號碼買賣。產業觀察家洪仕斌指出，非實名登記現象泛濫，很大一部分原因在于電信運營商靠渠道養卡、盲目追求用戶數量，以前是三大運營商，近兩年則是虛擬運營商。

北京商報記者調查了解到，自2014年移動轉售業務啟動，部分虛擬運營商走線上渠道吸引用戶效果不理想，為盲目追求用戶數量，便利用線下渠道養卡，即兜售給卡販子，由此滋生了非實名卡、黑卡等亂象。由于許多虛擬運營商是輕資產企業，缺乏銷售渠道，依靠單純的線上渠道很難發展規模用戶，只好靠線下的卡商、卡販來分銷。

今年9月，工信部、銀監會、公安部等六部委聯合發布了《關于防范和打擊電信網絡詐騙犯罪的通告》，對實名制落實提出了明確時間表，同時對電信運營商開卡給予了數量限制。洪仕斌認為，六部委出臺的關于防范和打擊電信網絡詐騙犯罪的通告，規定電信實名認證年底要達到100%，到時此類驗證碼平臺的生存環境就會差一些。

北京商報記者 孫麒翔 石飛月/文 CFP/圖