3月12日下午，标题为《河南女孩露露给我上了一堂七万的课》引爆了自媒体的流量。传言这篇文章暗指“腾讯内部腐败”。

事情来源是这样的：

一篇来自公众号“三表龙门阵”发表的文章称自己的“企鹅号”被盗了数日却浑然不知，后来通过邮箱找回密码重新登录后发现是被一个80后的河南女孩“露露”盗了去，自己先前辛辛苦苦写的科技类、人文类、正三观的文章都惨遭删除。

重大发现是露露利用该企鹅号发布娱乐文章约60天获得7.5万元收益。一个原本自媒体大号“落网做号集团”，成为了名副其实的牟利工具。

（截图：三标龙门阵企鹅号）

不过，当天晚上，腾讯内容平台发布了《关于严打盗号和安全机制全面升级的公告》。

其实对于自媒体来说，利用平台赚钱只是一种挣钱方式，通过自己的经历、见闻、学识原创一篇文章才真的是无形的价值，至少我觉得是这样。而“三表龙门阵”的心血就被轻易的清零了！

这让“三表”甚是委屈，他马上联系了一下腾讯的朋友，通过技术分析，得知：是因为去年某大型知名网络平台的账号密码数据出现了“撞库”，黑灰产团伙恶意对企鹅号的账号进行攻击和破解。

也就是说三表龙门阵的企鹅号被盗了！

可怕的是，据三表称，他听知情人士透漏，在巨大的利益诱惑之下，部分网络平台存在内部员工和黑灰产“做号团伙”相互勾结的问题，获得利益共享。

“露露”只是黑灰产团伙利用的一颗棋子，而这个企鹅号就是棋盘，黑灰产团伙很成功的下完了这盘棋。

“露露事件”的发生，就是黑灰产盗取账号，登录网络平台进行薅羊毛，可以说是腾讯被狠狠的薅了一次羊毛。“露露事件”的背后，其实是腾讯自有资产的流失。据媒体报道，2017年，腾讯宣称将拿出100亿到旗下企鹅号平台的内容运营做为补贴。内容的红利催生了黑灰产做号团伙。

01那么，所谓的“做号团伙”是如何运作的呢？可分为“作案三部曲”

部曲一、如何盗取企鹅账号？

黑灰产人员需要通过数据撞库、脱库进行盗取，盗取的所有账号和密码被放在“信封”中，然后从这些“信封”中筛选对他们有价值的账号密码，这个过程叫“洗信”，完成这个过程的人叫“洗信人”。

同样，盗取批量的账号和密码的过程叫“取信”。取信的渠道一般是一些来自黑市的数据贩子或者社工库。这个过程对人力和技术要求较高。

“做号团伙”也会通过黑市、地下渠道等低价收买一些自媒体的平台账号。

部曲二、登录平台之后怎么做？

有了账号之后，登录平台，开始招兵买马，在市场上招聘“写手”，从专门的黑产培训机构通过“洗稿软件”每天每人产生数篇的“爆文”，发布到平台，形成“引流”的产业链。

部曲三、“耕耘之后”高收益

这些敏感性的爆文发布之后，基本会快速引来流量，再通过广告、微商等转化手段变现。

02那么，企业如何防范账号盗取呢？

通过技术监控账号的设备异常登录情况，来识别登录的账号是否是黑产。比如该账号一直登录的设备id是否突然改变。

此外，还可以监测该账号在平台中的行为，技术人员需要采集大量的数据，分类标记行为变量（比如特定行为的时间间隔，与正常行为的差异性等），进行埋点，来识别黑产。

但这种方式对资金、技术、时间、人力都要求较高，要付出相对多的成本，而且，网络黑产的行为也在随着我们的防范措施在不断的更新升级，很可能技术人员费尽心力做的一切都随着黑产的升级而没有可用的价值。

所以如果企业对风控的等级要求特别高的话，光有行为分析还是不够的。而且最终达到的识别率仅在50%-60%。

但其实现在登录平台的方式不是账号+密码，大多数都是用手机号码获取验证码的方式，所以黑灰产团伙攻击网络平台就需要囤积大量的手机号码（黑卡）。

03如何囤积黑产号码（黑卡）？

他们大多从一些虚拟运营商那里以较低成本购买海量的手机卡（黑卡），通过猫池（一种可以同时插很多张卡的设备）设备来养这些手机卡。

现在对于黑产人员来说手机卡是有了，但是想要顺利进入网络平台还需要验证码和设备。这个时候，就出现了一种可收发短信、验证码的云服务平台--接码平台。

一个接码平台的关系链主要是：卡商、猫池、平台运营者、开发者、用户。这些平台使用者，只需要调用平台对应的API接口就可以完成验证码的自动获取。

04如何防范这些黑产号码呢？

通过手机号码+行为的识别是最有效的。企业内部风控团队通过黑产在平台的行为可以基本分析出黑产的主要行为特征，但是更新较慢，会滞后黑产较多。

如果再配上一些第三方的手机卡黑名单识别，准确率会大大提高，响应速度会更快，成本也会节省很多，识别率可提升80%以上。这种比较适用于风控等级要求相对比较高的企业。

去年发生的“拼多多优惠券BUG事件”、“星巴克圣诞营销新人礼”等都是黑灰产通过黑卡进行的网络作弊牟利。

如今，互联网风控行业已逐渐建立了黑卡的黑名单库，对黑名单的分类也逐渐清晰，主要可以分为以下几类：

一、黑产人员囤积的号码（黑产库）

这些号码主要是来自接码平台。接码平台，就是收集大量手机号码——黑卡的资源平台，提供接收、发送短信验证码服务。

在日常生活中，当我们想要使用一个APP或者某种网络服务的时候，我们需要在这个平台注册，注册则需要手机号和验证码。平台一般都是通过向手机号发送验证码来验证身份。

而黑产想要通过某种网络BUG牟利的时候，需要注册大量的账号，又没有足够多的手机号码的情况下，这个时候接码平台就应运而生。

接码平台主要使用的是来自一个叫猫池养的手机号，猫池是一个可以批量插入很多手机卡的设备，可以进行收发短信，过程自动化，在一些平台的秒杀活动中，速度远远超过正常用户。

当黑产一旦发现某种网络利益的时候，这些黑产号码便会“发生作用”。

二、活跃度低的号码

有时候我们往往会发现当拨打一个手机号的时候显示为空号、欠费停机、或者是暂时无法接通、该手机号暂未开通语音服务等，这说明该类手机号的在网状态活跃度较低，可以说是无效号码。类似于僵尸号码。

这种号码一般存在于呼叫中心、邮局等企业，相对适合空号检测产品。

 三、欺诈／诈骗用户号码

有过诈骗犯罪行为的号码，一般是金融行业的诈骗号码。

他们有可能就是真人本身，比如利用***去做借贷、购买保险之类的，进行诈骗。

这些号码就是欺诈用户的号码。在工作人员进行贷前审核订单时，可以使用黑卡检测产品，将这些诈骗行为的号码识别过滤出去。

四、专职羊毛党号码

热衷于“薅羊毛”的群体，就是那些专门选择互联网公司的营销活动，以低成本甚至零成本谋取大量奖励的人。

他们一般出现在网贷、电子商城、购物等网络平台。“薅羊毛”是黑产重要的盈利模式之一。

这些羊毛党一般会比较关注互联网中快速发展起来的企业，因为这些企业为了发展会做很多营销活动，比如注册送优惠券，他们发现漏洞之后，会使用多个手机号注册获取优惠券，然后进行变现。

他们都是花费大量的精力专门“薅”互联网平台的羊毛获取自己的财务收入，将以此当成他们的专业“工作”。

专职羊毛党一般是一个人一个或两个号码，去“薅”多个互联网平台羊毛。这点和黑产人员囤积的号码就相反，黑产库的是一个黑产人员拥有批量的号码去对应一个或多个互联网平台。

专职羊毛党的这种“1对多”服务，其号码有可能就是有***的号码。

事件：

2019年1月20日，“拼多多优惠券BUG”在一夜时间被羊毛党“薅羊毛”近千万元；

2018年12月17日，“星巴克APP注册新人礼”营销活动中仅一天时间预计损失达1000万元；

······

五、兼职羊毛党号码

和专职羊毛党不同就在于，其是兼职，通常来自一些学生、上班族、自由职业等。

当然，这些号码极大可能也是有***的号码。

他们大多是有正式的职业和工作，会利用自由时间去“薅”羊毛，赚取一些“外快”，以此来增加他们的收入。相比专职羊毛党，兼职羊毛党花费的时间精力就比较少。

我们根据防范黑产的相关数据，这5类黑产号码的占比大致如下：

我们不难看出，黑产号码中，黑产人员囤积的号码是最多的，其次是活跃度低的号码。

这些黑产号码分别使用在不同的行业，黑产人员囤积的号码在互联网环境下使用的范围较为广泛，而欺诈用户则大多会是在金融行业，像羊毛党就分布在网购、网络消费、在线教育等电商平台。

针对不同行业的黑产号码，其防范的等级高低也就不同，金融行业对欺诈用户的防范等级比较高，但对羊毛党的防范等级就相对较低了，欺诈用户号码中也有可能是羊毛党号码。电商企业则对羊毛党的防范等级就比较高。

因此，当我们在检测这些黑产号码的时候，一定要先确定其使用场景，才能精准的进行检测防范。

雷木数据是一家以前置综合反欺诈为核心，提供反欺诈基础情报相关咨询产品与解决方案的大数据公司。帮助互联网企业有效进行用户注册登录等全流程防护欺诈风险，并降低企业推广、运营、风控各环节成本。