互联网黑灰产

type

status

date

slug

summary

前言

😀

“黑灰产是互联网发展到一定阶段的必然产物，我们不太可能完全消灭黑灰产。一方面，要有效的控制黑灰产，不让其泛滥成为“洪水猛兽”；另一方面，也不能用力过猛，影响用户体验，甚至对业务造成伤害。”

既然不能完全消灭，只有足够了解黑灰产的运行机制、发展规律和技术手段，才能在生活中避免落入黑灰产的陷阱，提高自身防范意识与能力，保护个人信息与财产安全。

一.什么是网络黑灰产

网络黑灰产是指在网络空间中，以谋取不正当利益为目的，通过各种技术手段实施或帮助实施违法犯罪活动过程中形成的规模化、链条化的产业。

黑产（黑色产业）：直接触犯国家法律的网络犯罪行为。这类行为通常涉及利用互联网技术实施攻击、窃取信息、勒索诈骗、盗窃财产等违法活动。例如，网络诈骗、网络赌博、色情交易、洗钱、贩卖公民个人信息等都属于黑产范畴。

灰产（灰色产业）：游走在法律边缘地带的行为，虽然不一定直接违法，但通常违反道德或行业规范。灰产利用法律法规的不明确性，通过打“擦边球”等方式获取利益。例如，刷粉刷量、恶意差评、虚假宣传等行为，虽然可能不直接违法，但会对市场秩序和消费者权益造成负面影响。

总的来说，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

二.商业模式

社交行业：通过批量注册虚假账号，向平台用户发送广告或诈骗信息，引导用户至诈骗平台，实施进一步的诈骗活动。

电商行业：通过刷单、刷评价等手段制造虚假交易量和好评，误导消费者，扰乱市场秩序。

直播、短视频平台：利用刷播放量、关注、点赞、评论等方式，虚增内容热度，进行广告引流，甚至实施网络诈骗。

出行平台：通过抢单、代打等方式获取不正当收益，扰乱平台正常运营。

金融行业：利用伪造身份信息、虚假交易等手段骗取贷款、信用卡额度，或通过洗钱等方式获取非法收益，扰乱金融秩序。

内容平台：通过发布虚假信息、恶意评论等手段影响公众舆论，或对竞争对手进行抹黑，以获取不正当竞争优势。

以直播平台为例，黑灰产通过以下方式为主播制造虚假人气：

刷量：利用群控软件操控大量设备，批量进入直播间，提升观看人数，帮助主播登上各类排行榜。

购买僵尸粉：通过购买虚假账号，增加主播的粉丝数量，营造受欢迎的假象。

雇佣水军：在直播间内雇佣水军发送弹幕、点赞、刷礼物等，提升互动数据，制造热闹氛围。

以上虚假数据的影响包括：

直接获利：平台可能根据主播的人气数据提供现金奖励，虚假数据使主播获得不当收益。

间接获利：伪造高人气吸引更多真实用户关注，增加粉丝打赏，进一步获利。

黑灰产的核心特征在于其强烈的逐利动机。他们善于利用各种手段，在看似利润微薄的领域，通过批量操作实现规模化获利。

以拉新红包为例：

许多互联网平台为吸引新用户，推出邀请新人注册即可获得红包奖励的活动。通常，邀请一个新账号可能仅能获得几毛钱的红包，扣除运营成本后，单个账号的净收益可能不到一毛钱。然而，黑灰产通过以下方式实现大规模获利：

批量注册账号：利用自动化工具和技术手段，短时间内注册数十万甚至上百万个虚假账号。

批量完成邀请任务：通过群控软件或雇佣大量人员，批量完成邀请任务，获取平台发放的新人红包奖励。

通过这种方式，尽管单个账号的收益微乎其微，但在庞大的数量基础上，黑灰产仍能获取可观的利润。这种行为不仅给平台带来经济损失，还扰乱了正常的市场秩序，侵害了其他用户的权益。

真实案例：

2023年2月，某知名汽车品牌推出的邀请拉新活动遭遇大量黑产攻击，针对该汽车APP的营销欺诈信息和教程在社交群聊中传播。

攻击者利用接码平台提供的大量手机号接收短信，并将该手机号用于该汽车APP账号注册。

通过自动化攻击工具，实现自动化接码、邀请拉新、获取奖励等，极大提高黑产攻击效率。仅2月份此车企全网损耗营销资金数十万元。

三.产业链

黑灰产之所以能有现在的发展，关键是其形成了一个分工明确、协助紧密的成熟产业链。

整个产业链大致可以分为上游、中游和下游三个环节。

上游：资源层，把控黑灰产作恶的底层基础资源。

中游：服务层，整合上游资源和自身技术，为下游提供各种服务支持。

下游：变现层，也就是实际黑产攻击群体，对业务进行攻击，并且最终实现利益变现。

四.资源环节

1.手机黑卡

手机黑卡，也称电话黑卡，是指未进行实名登记或以假身份进行实名登记的，并被不法分子利用实施违法犯罪活动的移动电话卡。

黑卡主要来源有：实名卡、虚拟卡、物联网卡、拦截卡。

实名卡

通过电信、移动、联通、广电四大运营商的营业厅和网络渠道办理的电话卡，黑产一般称为“实卡”，根据申请渠道的不同，又分为“厅卡”和“网申卡”：

厅卡：开卡人在营业厅办理的手机卡

网申卡：开卡人通过网络渠道申请的手机卡

这类黑手机卡办理，存在以下限制：

实名限制：厅卡要身份证持有者本人去营业厅办理，网申卡则要在收到手机卡后人脸识别激活。

数量限制：根据国家相关规定，同一身份证在同一运营商下最多可办理5张手机卡。因此，在三大运营商（移动、联通、电信）下，单人最多可办理15张手机卡。

办卡限制加上“断卡行动”的持续打击，大批量办理“实卡”的难度越来越大，但在匿名社交软件上仍有很多以“实卡”（各种变体）为噱头的售卡广告。

可见在黑卡产业利润丰厚的背景下，仍有不少卡商想方设法突破限制，并冒着被抓的风险，铤而走险办理和售卖“实卡”。

卡商是如何绕过限制，大批量通过四大运营商办理手机卡的呢？

冒用他人名额办卡：普通人一般只办理 1～2 张手机卡，会剩下一些办卡名额，卡商通过跟运营商内鬼合作的方式，冒用他人剩下的名额去申请手机卡。

利用审核不严缺陷：一些手机营业厅对办卡的审核较为松懈，比如偏远地区的营业厅，或者营业厅有内鬼和卡商勾结，这些情况下卡商可以直接拿他人身份证在营业厅办卡。

利用真人众包作弊：卡商会在黑产论坛、匿名社交软件等地发布收卡广告，以“好处费”吸引真人办卡。

虚拟卡

除了中国电信、中国移动、中国联通和中国广电四大运营商外，国内还有众多虚拟运营商（MVNO）。这些虚拟运营商从基础运营商处批发通信资源，如通话、短信和上网服务，经过二次包装后再销售给消费者。在黑灰产领域，这些手机卡被称为“虚卡”。

虚卡的号段是固定的，目前 11 位手机号开通了 5 个号段，分别是：170、171、162、167、165，可以据此来标识虚卡。

相比于传统运营商的“实卡”，虚卡具有以下优势：

成本低廉：虚拟运营商为吸引用户，常推出低月租甚至零月租的套餐，降低使用成本。

办理门槛低：虚拟运营商的手机卡办理不占用四大运营商的名额限制。根据国家规定，同一身份证在同一运营商下最多可办理5张手机卡。因此，在三大运营商（移动、联通、电信）下，单人最多可办理15张手机卡。而虚拟运营商的卡不受此限制，同一身份证可在不同的虚拟运营商处办理多张卡，数量上更为宽松。

“虚卡”的优势满足了卡商低价、高频办理黑手机卡的需求，因此虚卡是卡商批量开卡的主要来源之一。

物联网卡

物联网卡（简称物联卡）是运营商为物联网服务企业提供的专用SIM卡，主要用于智能终端设备的联网需求。它们仅面向企业用户进行批量销售，广泛应用于共享单车、移动支付、智慧城市、自动售货机等领域，不面向个人用户。从外观上看，物联卡与普通手机SIM卡无异。在功能上，两者均支持无线联网和收发短信息，但物联卡无法进行语音通话。

物联卡的典型应用场景

智能家居：通过物联网卡连接，家中的智能灯泡、安防摄像头等设备可以接入互联网，用户可以通过手机APP远程控制，实现家庭环境的智能化管理。

智慧农业：通过物联网卡连接的智能灌溉系统、土壤湿度监测器等设备，帮助农民精准管理农田，提高农作物的产量和质量，促进农业可持续发展。

智能交通：物联网卡在自动驾驶汽车和车联网中的应用，使车辆能够实时获取路况信息、进行远程诊断和软件更新，提高驾驶安全性和舒适度。

智慧城市：物联网卡可以用于智能路灯的远程控制和故障检测，以及智能垃圾回收箱的状态监控，提升城市的管理水平和服务质量。

医疗健康：物联网卡支持远程医疗设备的数据传输，使医生能够实时监控患者的健康状况，并提供及时的医疗建议。

黑灰产对物联卡的滥用

由于物联卡具备批量申请、远程激活、无需语音功能等特点，它被黑灰产盯上并滥用，主要表现为以下几个方面：

群发垃圾短信：利用物联卡群发营销广告、钓鱼链接或诈骗短信，因为物联卡不受语音和身份限制，容易逃避监管。

非法设备联网：将物联卡植入非法设备（如伪基站、黑广播）用于发送干扰信号、伪装信息等，危害公众通信安全。

虚拟身份掩护：通过购买未实名的物联卡注册虚假账号，用于实施网络诈骗、勒索或非法交易，隐藏真实身份。

批量注册账号：利用物联卡的低成本和批量性，黑灰产通过伪造身份信息批量注册网络账号，恶意刷量或操控平台流量。

匿名支付和洗钱：部分黑灰产将物联卡用于绑定匿名支付设备，开展非法金融活动，如跨境洗钱、假交易等。

拦截卡

“拦截卡”是指插卡设备和手机卡都在正常用户手里，但是卡商在插卡设备中提前植入了后门，可以拦截用户手机收到的短信验证码，因此被称为“拦截卡”。

具体流程：

后门程序植入：卡商在设备中预先植入后门程序，用户在正常使用设备时毫无察觉。

短信拦截与清理：后门程序会自动拦截设备中接收到的短信验证码，并将其清理，防止用户发现异常。

数据上传：被拦截的短信会上传到卡商的后台，之后流入黑灰产业链的中游，被用于非法活动，如接码服务、虚假注册、账户盗用等。

黑产利用：入黑灰产中游的短信验证码，被进一步用于注册虚假账号、诈骗或操控账户。

拦截卡要求持有设备的正常用户未开通黑产目标线上业务，否则黑产将无法虚假注册作恶。

为此，黑灰产通常将拦截卡的目标锁定在以下设备和用户群体：

出口国外的手机：国外用户较少使用国内的线上服务。

中低端手机：中低端设备用户群体对设备功能较少关注，且安全意识较弱。

儿童智能手表：主要使用者为儿童，账户业务较少，开通黑产目标业务的可能性极低。

2.猫池

“猫池”设备（Modem POOL）是一种能够插入多张SIM卡，模拟手机进行收发短信、接打电话、上网等功能的设备。在合法领域，猫池广泛应用于邮电局、银行、证券商、各类交易所、信息呼叫中心等需要多用户远程联网的单位。通过猫池设备，这些机构可以高效地管理大量电话卡，实现批量通信需求。

然而，在黑灰产领域，猫池设备被不法分子利用，成为实施违法活动的工具。他们通过猫池批量接收短信验证码，进行虚假注册等操作。具体而言，猫池厂商生产猫池设备并出售给卡商，卡商将大量手机卡插入猫池，利用配套软件批量接收、发送短信，或拨打电话。这些手机卡通常使用的是上述介绍的手机黑卡。不法分子利用猫池设备在各大平台上进行大规模网络手机账号的垃圾注册，为“薅羊毛”或电信诈骗等活动提供账号资源。

需要注意的是，猫池设备本身并不违法，其在合法领域有着广泛应用。但当其被用于非法目的，如批量注册虚假账号、发送诈骗信息等，就会对社会造成危害。

3.接码平台

接码平台在黑灰产业链中扮演着关键角色，连接手机卡商与需要大量手机验证码的群体。它们提供软件支持和业务结算等平台服务，通过业务分成获利，通常分成比例约为30%。

运作方式：

手机卡商获取黑卡： 卡商从黑卡运营商处大量购买手机黑卡。

使用猫池设备： 将这些黑卡插入猫池设备。

接入接码平台： 猫池设备连接到接码平台，批量接收并处理短信验证码。

提供验证码服务： 接码平台将接收到的验证码提供给有需求的下游用户，满足其批量注册账号等需求。

4.IP代理

IP代理是一种网络技术，通过代理服务器中转用户的网络请求，使目标服务器无法直接获取用户的真实IP地址。这种技术有助于提升访问速度、突破地域限制，并保护用户隐私。然而，黑灰产也大量利用IP代理技术，规避平台的风控策略，实施各类非法活动。

黑灰产利用IP代理技术，主要出于以下目的：

规避风控策略：通过频繁更换IP地址，绕过平台基于IP的访问限制和黑名单，进行恶意注册、刷量、杀抢购、刷票等活动。

隐藏真实身份：使用代理IP实施网络攻击、诈骗等违法行为，掩盖真实位置，增加追踪难度。

早期，黑灰产主要通过扫描网络上的开放代理服务器来实施攻击活动。然而，随着风控技术的进步和可用开放代理的减少，黑产也开始通过各种技术构建可控的代理集群。现在比较主流的方案是采用“秒拨IP”。

“秒拨IP”的核心原理是利用国内家用宽带的拨号上网机制（PPPoE），每次断线重连即可获得新的IP地址。黑灰产掌握大量宽带线路资源，部署自动断线重连切换IP的工具，从而实现频繁更换IP以规避风控措施。

“秒拨IP”具有以下天然优势：

庞大的IP池：以某秒拨设备使用的宽带资源为例，若其属于某地区的电信运营商，该设备可在该地区电信的IP池中获取IP，数量从数十万到上百万不等。

难以识别：由于“秒拨IP”和正常用户的IP来源于同一IP池，且“秒拨IP”的使用周期通常在秒级或分钟级，使用结束后，这些IP很可能被分配给正常用户。因此，区分“秒拨IP”和正常用户IP具有相当大的难度。

5.改机工具

改机工具是指通过特定技术手段，修改移动设备的品牌、型号、IMEI（国际移动设备识别码）、MAC地址等关键设备信息，使其伪装成不同的设备。这种技术被广泛应用于黑灰产领域，帮助不法分子批量伪造新设备，绕过平台的风控措施，进行恶意操作。

目前，改机工具主要包括以下三种类型：

软件改机：利用特定的软件工具，在操作系统层面修改设备信息。这类工具通常基于Xposed等框架，通过Hook系统API，返回伪造的设备信息。然而，这种方法仅能修改Java层的数据，对于底层信息的修改能力有限，且容易被检测到。

ROM改机：通过定制和刷入修改后的Android ROM，在系统底层直接更改设备参数。这种方法涉及修改Android源代码，包括C和Java层代码，从而实现全局的设备信息伪装。由于修改发生在系统底层，ROM改机的隐蔽性更强，较难检测到。

硬件改机：直接对设备的硬件进行修改，如更换主板或芯片，以改变设备的物理标识。这种方法成本高，技术复杂，但伪装效果最为彻底。

在上述方法中，ROM改机因其隐蔽性和稳定性，成为黑灰产从业者的主要选择。通过定制ROM，攻击者可以批量伪造新设备，结合自动化脚本，进行大规模的恶意操作，如批量注册账号、刷量等。

然而，ROM改机也面临一定的技术挑战。定制ROM需要深入理解Android系统架构，修改源代码，并重新编译和刷入设备。此外，随着风控技术的发展，平台方也在不断升级检测手段，试图识别和防范改机行为。

6.群控

群控技术通过批量控制移动设备，实现自动化操作，广泛应用于云测平台和自动化测试等领域。然而，黑灰产利用群控技术，结合改机工具，批量伪造新设备，绕过风控措施，进行批量注册、养号和机器人操作等非法活动。

由于iPhone手机价格较高，群控设备主要集中在价格低廉、性能稳定的Android机型，如：

小米系列：MI 4、MI 4c、MI 5

红米系列：Redmi 3、Redmi 3s、Redmi 4

华为系列：华为麦芒5、C8818

群控系统通常部署在一台服务器上，所有受控设备通过USB或网络连接到服务器。通过下发脚本，可在一台电脑上同时控制数千部云手机执行任务。

随着群控设备供应商的技术升级，黑产进一步压缩群控系统的搭建成本，出现了“箱式群控”（以下简称“箱控”）。

箱控将多部手机主板通过电路集成的方式集成到一个主板内进行统一供电，以实现一台箱控操作几百台手机的最终目的。毕竟一台手机设备的大部分部件（如外壳、屏幕、电池等）对于群控是可有可无的，只要能够运行操作脚本就可以工作。

箱控的出现节约了硬件成本，不光杜绝了电池长时间充电造成的安全隐患，也不需要占用过多的手机架摆放空间，单个模块只剩下主板，价格远低于一台完整的手机。

群控技术结合黑卡资源、代理资源和改机工具，对设备维度的风控提出巨大挑战。市面上一些群控系统集成了各种作弊工具，可实现深度刷机、修改设备信息、一键配置代理等功能，进一步提升了黑灰产的作恶能力。

五.总结

我们已经介绍了黑灰产所利用的基本资源和技术手段。现在，我们将这些要素串联起来，模拟一次黑灰产作恶流程。

模拟场景：

某厂商：举行拉新活动，拉新可获得1元。

黑产团伙：一套包含1000台设备的群控系统，丰富的IP和黑卡资源。

假设新用户注册拉新脚本执行时间是5分钟，一千台设备的群控系统可以同时注册一千个账号。配合改机工具和代理IP，每台设备执行完一次脚本之后，更换设备信息以及IP代理，

初始化成一个新设备，继续注册新的账号。一天可以产生20多万个账号，收益可以超过20万元。

现实考量：

虽然上述计算展示了理想状态下的高额收益，但在实际操作中，绝大多数平台都具备完善的风控措施。这些措施包括但不限于：

设备指纹识别： 通过检测设备的硬件和软件特征，识别并阻止伪造设备的注册行为。

IP地址监控： 监控异常的IP地址活动，识别并阻止通过代理IP进行的批量注册。

行为分析： 通过分析用户的操作行为，识别并阻止异常的注册和登录活动。

因此，黑灰产在实际操作中并不能完全达到上述理想收益，不光要面临被平台检测和封禁的风险，还要面对国家法律的制裁。

打击整治网络黑灰产典型案例：

东莞公安机关破获一起架设“猫池”从事养号卖号的侵犯公民个人信息案

2024年3月，东莞陈某某等人非法生产销售“猫池”设备，通过卡商或中介获取大量实名注册手机卡，利用“猫池”设备和配套管理平台批量提供手机验证码和注册网络账号，为境外诈骗团伙等提供账号供应，严重破坏网络管理秩序，损害人民群众信息和财产安全。属地公安机关刑事拘留39人，缴获涉案手机号9000余个。

东莞公安机关破获一起开发销售网约车抢单外挂软件的提供侵入、非法控制计算机信息系统程序、工具案

2024年4月，东莞陈某等人通过开发网约车平台抢单外挂，实现网约车自动抢单功能，并以多级代理的形式在网络上销售抢单外挂非法牟利，涉案金额约300万元，严重破坏了网约车市场的管理秩序和公平竞争环境。属地公安机关刑事拘留6人。

四川公安机关破获许某某等人侵犯公民个人信息案

四川公安网安部门侦查查明，许某某、鳌某某等人组建“村推”团伙，打着帮助农村老年人激活医用电子凭证的幌子，骗取老年人手机恶意注册网络账号。四川公安机关顺线打掉“村推”团伙4个、网络黑产工作室1个，抓获犯罪嫌疑人65名，查获涉案网络黑账号5万余个，涉案金额200余万元。

河南公安机关破获张某某等人非法获取计算机信息系统数据案

河南公安网安部门侦查查明，2019年以来，张某某等人搭建“猫池”窝点15个，从事注册、贩卖网络黑账号等黑产活动。河南公安机关顺线抓获犯罪嫌疑人28名，查获手机黑卡4.2万余张、网络黑账号210余万个、“猫池”设备1136台、电脑137台、手机63部，涉案金额480余万元。

3.22非法获取计算机信息系统数据案

通川公安网安部门侦查查明，犯罪嫌疑人张某通过定制工具绕过某游戏助手客户端及官方网站的人员实名验证机制，批量控制游戏账号进行游戏官网活动奖励领取和练号升级，最后贩卖游戏账号给他人牟取利益。2023年3月，通川公安网安部门抓获犯罪嫌疑人1名，查获网络社交账号1万余个，网络社交平台账号身份校验文件数据三万余条，查扣作案电脑一台、作案手机一部、冻结资金二十余万元。