打码平台

本文作者： Ano_Tom@阿里巴巴云誉反欺诈

简介

互联网业务的飞速发展，日渐渗透人类的生活，对经济、文化、社会产生巨大的影响，同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙，互联网业务安全也有其基础安全设施－－图片验证码和短信验证码。

在互联网业务中，广泛使用图形验证码用于区分人类和机器，使用短信验证码过滤低价值用户及提供二次校验功能。

作为互联网业务的基础安全设施，图片验证码和短信验证也面临众多的挑战，下文将带你走近互联网业务眼前的威胁——图片打码平台和短信打码平台。我们以如下两个场景简单说明下普通打码平台以及手机打码平台：

场景一，批量登陆12306网站，并进行购买行为，但验证码不能自动识别。

12306的验证码比较复杂，程序较难识别。这时候就出现了普通验证码的打码平台，程序将验证码传给打码平台的识别接口，打码平台将验证码发给后端的“佣工”进行识别，并获取识别结果。这样基于此类的人工打码平台，即可实现程序的自动化。

场景二，注册某购物平台，但其需要填写手机号和收到的验证码才可注册，如何进行批量机器注册？

这时候就出现了手机打码平台，该平台提供大量的手机号，并能够发送和接收短信。这样只需调用手机打码平台相关接口，获取手机号并获取短信内容即可进行批量注册。

最后我们将会简单的阐述面对这些威胁新的解决之道。

一、普通打码平台

一）介绍

现在很多简单的字符验证码已经不能够有效阻挡机器行为，使用简单的OCR识别工具即可进行识别，稍微复杂的可以结合机器学习等进行高准确率的识别。乌云知识库里已经有多篇介绍验证码识别的文章，感兴趣的可自行搜索。

普通的字符验证码很容易被识别，因而又产生了一些较复杂的验证码，比如如下一些较难通过机器进行识别的。

所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求，人工打码平台就产生了，其通过组织真实的人来进行识别，并提交验证结果。

二）运行流程图

说明：比如现在羊毛党要去某网站刷活动优惠券，但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值，并通过打码平台提供的api接口，提交验证码识别。打码平台将验证码分发到各个佣工的客户端里，获取佣工的识别结果，并最终反馈给羊毛党。

1.网赚平台：

很多打码平台需要跟网赚平台进行合作，因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台，其发布各种任务供用户参与，并通过金币的形式给用户发放，金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块，里面列举了合作的打码平台。如图

点击其中一个“知码打码”的打码平台项目，如图

点击获取工号和密码后，然后下载提供的软件，登陆后简单测试通过后，即可收到打码平台推送过来的验证码，如图

佣工可以勾选想要接收的验证码复杂度，有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量，如图为45个，用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同，验证码难度较高的积分较大些，同时网赚平台夜间工作给的积分也会多，所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益，按官方说明10000个金币可兑换1元的标准，我们按一个验证码平均可可以获得100个金币计算，则打100个验证码即可获得1元，每天打10000个验证码才能获得100元。

2.普通打码平台

打码平台提供多种类型的验证码，有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同，我们查看某打码平台的价格类目表，

其中每种验证码的价格不同，该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆，也就是说10元可以识别2500个普通验证码，我们查看下12306的图形验证码识别价格为60快豆，即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用，其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别，如图

3.开发者

每个打码平台都会有很多开发者，开发者通过打码平台提供的sdk，进行开发软件。比如针对12306编写一个抢票软件，并内接该打码平台，那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成，提成一般较高。

4.羊毛党

什么是羊毛党？

有选择地参与活动，从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”，而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。

早前，“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展，一些网贷平台为吸引投资者常推出一些收益丰厚的活动，如注册认证奖励、充值返现、投标返利等，催生了以此寄生的投资群体，他们也被称为P2P“羊毛党”。

当然，使用打码平台的不一定就是羊毛党，还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。

三）利益链

说明：佣工通过自身劳动，通过网赚平台变现，获得利益；网赚平台与打码平台进行合作，并有利益分成。打码平台将服务进行封装，提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。

二、手机打码平台

一）介绍

短信验证码在互联网业务中用于过滤低价值的用户，从而将服务推送给目标用户。这是基于手机号基本实现实名认证，每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册，筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景，推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡，小型也有几万的手机卡。

二）运行流程图

手机打码平台的流程图如下，主要有两个角色，一个是平台的普通用户通常为羊毛党、一个是平台的卡商。

说明：

手机打码平台会提供各种项目的接口，比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口，获取某个项目可用的手机号，并将该手机号填入目标网站，然后调用接口获得短信内容即可。

1.手机打码平台

手机打码平台提供各种项目，我们查看下某一手机打码平台的项目列表，如图

每个项目的价格不同，像p2p金融类的可能价格较高，其他的普通的比如115网盘手机绑定价格较便宜，一个手机号只需1毛。接收短信流程很简单，查看下该平台的官方API接口说明，如图

我们只需要调用接口，获取某个项目的手机号，填入网站，并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能，如下为某一手机打码平台发送短信的接口

2.卡商

卡商是指拥有大量手机卡的用户，其通过猫池并通过打码平台提供的软件，提供相关项目的短信收发服务。卡商的手机号被使用一次，则可获得相应的收入，如下为一打码平台的卡商客户端，卡商将插有大量手机卡的猫池接入电脑，并选择需要做的项目即可。

其中猫池可以理解为有通信模块，可以收发短信，可以插很多手机卡的设备。一般有8口、16口的，多的有128口的，即可以同时插128张手机卡。猫池有多种类型，现在有很多猫池是支持3G、4G的，如下为插有手机卡的猫池图

卡商通常会有大量的卡，用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张，且这些卡有很多也是经过实名认证的，且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告，如图

关于这种大量的卡的来源，其中一手机打码平台的卡商透露了如下信息

同时这些卡商会有其他的业务比如超级会员、黄钻、绿钻等，查看一打码平台卡商发的信息，如图

3.羊毛党

我们查看一薅羊毛的群，里面每天会更新一些活动信息

当然发出来的都是一些小利润的，一些较大利润的羊毛党们都不会轻易透露，当然其中也有很多属于灰色或黑色产业。在一些薅羊毛的群里，通常会伴有身份信息的售卖，在某一群里查看到售卖正反身份证图片加手持身份证的信息，只需2毛一份，如图

三）利益链

说明：

羊毛党通过手机打码平台提供的手机号去网站批量注册，获得小号，再利用这些小号批量获取优惠。比如uber的推荐用户注册送优惠券，还有一些网站的新用户推荐注册送话费等等来获利。打码平台从提供手机打码服务里进行收费，并与对接的卡商进行利益分成，平台自己也会有一些手机卡。同时卡商也是有多种业务，一种是专门做打码平台的业务，其他的还有通过售卖卡给羊毛党，用来做刷超级会员、刷钻等业务进行获利。

三、如何防控

针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式，构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系，结合众多数据构建自己的安全风控系统才更为重要。

一）新型验证码

替换传统验证码，采用新型的验证码。传统的验证码已经很难去防止机器行为，因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断，而是基于人类固有的生物特征以及操作的环境信息综合决策，来判断是人类还是机器。

比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

当然这也并不代表此类验证码不能被绕过，今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路，具体可以参考[相关paper]

二）手机信誉库

针对短信打码平台，可以回归短信验证码的本质需求，即过滤互联网中低价值的用户。而由于手机号并非完全实名制，事实上获取一个手机号的成本并不高，所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高，但是对于大多数普通互联网用户并不频繁更换手机号，所以可以基于手机号对应的行为来建立基于手机的征信库，从而基于手机号的信誉实现筛选出高价值客户功能，而非单一的依赖用户是否拥有一个手机号。

 三）风控体系

对于普通的网站而言，建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。

其中对于p2p金融类的网站而言，构建自己的安全风控系统尤为重要。金融类的较为敏感，对于用户的身份应当做强的安全校验，比如进行银行卡绑定的身份校验等。

四）其他

现在的手机已经需要进行实名认证，对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡，且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台，国家已经出台了相关政策，认定手机打码平台属于违法行为，因而这些手机打码平台也都转为地下。

*本文作者：Ano_Tom@阿里巴巴云誉反欺诈，转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）