推出的“新用户 0 元购”活动，仅两天就吸引了数万人参加，原计划 10 天发放完的新人红包不到 2 天就发完了。

　　美滋滋地畅想后续的变现，却发现前两天还热火朝天的 APP，在活动结束后平静得像一潭死水，前几天刚蹦跶的新用户再也没上线，成了妥妥的“僵尸号”。

　　这是一起典型的企业营销活动被黑产“批量薅羊毛”的案例，从威胁猎人业务风险情报监测数据来看，像这样的黑产攻击事件无时无刻不在上演。

　　而促成这些事件的其中一个核心要素就是黑手机卡（一般简称“黑卡”），关于黑卡作恶目前已经形成了一条成熟、分工明确的黑色产业链：

　　产业链中游 - 服务层：中游连接上下游，提供传统接码、群接码、网页接码、API 接码等服务。

　　产业链下游 - 变现层：下游利用购买的黑手机卡注册虚假账号，对业务发起薅羊毛、引流、诈骗等攻击，并最终完成变现。

　　在威胁猎人过往的报告中，我们讲了很多产业链中游和下游的故事（有兴趣的朋友可以关注【威胁猎人ThreatHunter】查看）。

　　为让大家对整个黑色产业链有更清晰的了解，今天的内容将对产业链上游的卡商进行揭秘，分析“断卡”行动下的卡商现状。

　　威胁猎人安全研究员进一步分析发现，随着各行各业经济复苏并投入大量营销费用做用户增长活动，黑产作恶也逐步活跃了，作恶需要大量的黑手机卡，卡商作为手机卡的供给方也随之“复苏”，给黑产提供足量的黑手机卡资源。

　　威胁猎人业务风险情报平台监测数据显示，2023 年上半年国内卡商之间、卡商与中下游之间的交流主要聚集在匿名社交软件，尤其是 Potato，占比超 80%，其次是 Telegram，其他渠道总计只占了 5.64%。

　　为什么 Potato 会成为国内卡商交流的主要渠道呢？威胁猎人安全研究员进一步分析，了解到原因如下：

　　3）国内头部接码平台大多将 Potato 作为主要联系方式，卡商在 Potato 与接码平台交流更便捷。

　　这类卡商一般不会将手机卡放到第三方接码平台，而是自己搭建接码平台或者寻找“消费”能力强的下游黑产合作，一旦这些卡商与大型黑产直接合作，短期内针对业务的攻击将大幅增加。

　　发现这些卡商绝大多数超一半的天数都在新增黑手机卡，其中有一家卡商一年 95% 的时间都在新增黑手机卡，几乎全年无休，有持续获取新卡的能力，稳定地为黑产作恶提供资源。

　　并且，这 10 个卡商平均每天新增的黑手机卡数量都超过了 50 张，其中有一家卡商超过了 350 张，进一步分析发现，某个卡商有一天新增的黑手机卡的数量甚至超过了 2200 张。

　　“猫池卡”是指卡商持有的实物 SIM 卡，一般插在猫池设备上用于接码收发短信，卡商主要从四大运营商、虚拟运营商、利用物联网卡 3 个渠道获取。

　　通过电信、移动、联通、广电四大运营商的营业厅和网络渠道办理的猫池卡，黑产一般称为“实卡”，根据申请渠道的不同，又分为“厅卡”和“网申卡”：

　　手机卡要实名认证，厅卡要身份证持有者本人去营业厅办理，网申卡则要在收到手机卡后人脸识别激活。

　　办卡限制加上“断卡行动”的持续打击，大批量办理“实卡”的难度越来越大，但在匿名社交软件上仍有很多以“实卡”（各种变体）为噱头的售卡广告。

　　可见在黑卡产业利润丰厚的背景下，仍有不少卡商想方设法突破限制，并冒着被抓的风险，铤而走险办理和售卖“实卡”。

　　冒用他人名额办卡：普通人一般只办理 1 张手机卡，会剩下一些办卡名额，卡商通过跟运营商内鬼合作的方式，冒用他人剩下的名额去申请手机卡。

　　利用审核不严缺陷：一些手机营业厅对办卡的审核较为松懈，比如偏远地区的营业厅，或者营业厅有内鬼和卡商勾结，这些情况下卡商可以直接拿他人身份证在营业厅办卡。

　　利用真人众包作弊：卡商会在黑产论坛、匿名社交软件等地发布收卡广告，以“好处费”吸引线. 通过虚拟运营商办理

　　除了四大运营商，国内还有很多虚拟运营商，这些虚拟运营商向四大运营商采购具备通话、短信、上网等功能的手机卡，经过二次包装后再售卖，黑产一般称为“虚卡”。

　　虚卡的号段是固定的，目前 11 位手机号开通了 5 个号段，分别是：162、165、 167、170、171，可以据此来标识虚卡。

　　门槛低，通过虚拟运营商办卡不占四大运营商的名额，仅用一张身份证，就能通过不同的虚拟运营商办理几十张卡。

　　“虚卡”的优势满足了卡商低价、高频办理黑手机卡的需求，因此虚卡是卡商批量开卡的主要来源之一，威胁猎人近一年捕获的活跃黑手机卡类型数据显示，“虚卡”占比高达 66.52%。

　　物联网卡是一种专门为物联网终端设备设计的手机卡，为其提供连网功能，默认没有收发短信的功能，只能在办理时申请短信功能。

　　卡商跟企业内鬼勾结，购入大量国内某知名车载应用供应商名下的物联网卡，涉案物联网卡数超 100 万。

　　在收到这些物联网卡之后，该卡商并未将卡上到第三方接码平台，而是上到了自研的名为 ×× 网关的接码平台，通过第三方接码平台类似的 API 接口实现接码。

　　“拦截卡”是指插卡设备和手机卡都在正常用户手里，但是卡商在插卡设备中提前植入了后门，可以拦截用户手机收到的短信验证码，因此被称为“拦截卡”。

　　后门程序还会自动清理被拦截的短信，正常用户基本不会察觉，拦截的短信会上传到卡商后台并流入黑产中游，被用于接码等动作，具体流程如下图所示：

　　为达到这个目的，拦截卡的目标主要集中在出口国外的手机、中低端手机、儿童智能手表这 3 类设备上，因为使用这些设备的用户分别对应国外用户、老年人和小孩，他们开通黑产目标业务的可能性很低。

　　出口国外的手机使用者多为外国人，他们注册和使用国内线上业务的可能性非常低，因此是国内拦截卡来源的重灾区之一。

　　威胁猎人业务风险情报平台曾捕获过多个专门出售国外拦截卡的黑产平台，这些平台持有的拦截卡规模达到了数千万张。

　　在追溯卡商的过程中，通过某平台记录的设备固件信息，定位到大量拦截卡出自国内一家做出口手机的厂商，出口国涉及巴基斯坦、非洲、印度等，尤其是印度，对应的拦截卡号高达 400 万。

　　威胁猎人曾配合广东省公安厅打击了一个拦截卡黑产团伙：该团伙伪装成正常手机商城，售卖多款植入拦截卡的中低端手机，涉案设备超 50 万。

　　这些中低端手机都被植入了后门，该黑产团伙专门记录了设备信息，可以看到对应手机卡注册的线上业务账号信息，还记录了机型的版本号、后门软件的版本号、注册 APP 账号的活动情况等，借此能一目了然这批中低端手机的线上业务使用情况，对作恶黑产而言无疑是“利器”。

　　“虚拟小号”是指运营商或企业出于保护个人隐私等目的推出的“虚拟”手机卡，无实物 SIM 卡，卡商通过调用相应接口来实现收发短信，如下图所示：

　　虚拟小号主要来源于运营商推出的虚拟小号服务，包括联通沃小号、移动和多号等。该功能的本意是保护个人隐私，适用于某些场景避免泄露主号，但虚拟小号业务也被卡商以“好处费”诱导他人办理并转售给自己手机 翻墙 fb，用于接码等作恶流程。

　　威胁猎人情报平台曾发现一个虚拟小号平台，该平台的手机号归属地都是黑龙江，并且都是凭借厦门某公司和上海某公司的身份登记办理，开通的都是名为“隐私宝”的套餐，如下图所示：

　　除了运营商，某些企业也支持类似的虚拟小号业务，比如国外的 Google Voice、国内的阿里小号，以及云厂商提供的隐私保护号码等。

　　这类号码要以企业身份申请，并且资质审核严格且周期长，但一旦申请成功就能一次获取上万甚至十万规模的虚拟小号，因此常被被卡商恶意利用注册大量黑手机卡。

　　其中，云厂商提供的隐私保护号码，近年来被卡商滥用的情况愈发严重。利用云平台隐私保护通话自带的短信通知功能，卡商可以轻易编写出自动化的接码程序，如下的代码片段就来源于某个卡商写的接码程序，对短信通知的接口参数进行了赋值：

　　2020 年 10 月以来，国家全力开展“断卡”行动，一定程度上限制了卡商获取黑手机卡。但由于卡商能获取手机卡的渠道和方式众多，并且有的获卡方式经过层层包装过于隐蔽不易被发现，卡商获取黑手机卡的行为很难完全杜绝，这对企业而言，有批量黑卡注册业务账号作恶的隐患。

　　针对黑手机卡的攻防是一场持久战，企业应建立识别不同黑手机卡的能力，基于此针对不同的黑手机卡采取差异化的治理策略：

　　虚拟小号：明确出现在接码平台的虚拟小号，可以直接判定为黑卡；没有出现在接码平台的虚拟小号，进行风险标记，监督其行为。

　　那么，企业可以采用威胁猎人的手机号风险画像，对黑色产业链中上游全面布控，及时获取最新的黑卡情报信息，全面分析手机号的行为和属性，精准识别不同来源的黑手机卡，有效防范黑卡作恶、降低业务欺诈风险。