查看原文
其他

全国首例微信“清粉”案告破,1500余起关联案件浮出水面

鹅师傅 腾讯安全战略研究 2022-05-19


大家好,我是鹅师傅。

近日,全国首例微信“清粉”案告破。


江苏省南通市公安局宣布,在“净网2020”专项行动中侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,共有5名犯罪嫌疑人落网,上下游关联案件多达1500余起,分布在全国20多个省市。

为维护微信的良好生态,保护用户权益不受侵害,鹅师傅和小伙伴们日夜兼程支持多地公安机关对清粉软件背后的不法分子进行打击,配合抓获多个相关作案的犯罪团伙。

这是全国公安机关破获的首例此类案件,也正式掀开“清粉”软件背后各环节相互独立又紧密协作的黑产链条。

1

老王的怒火,让不法分子引火烧身
自从微信成为国民通讯工具,就算你没有用过“清粉”服务,也肯定收到过好友突然发来的这类消息:

“系统正在检测删除我的人,勿回”
“清粉请见谅,关注公众号可免费检测”
“在吗?我在测粉,打扰了”
……

甚至有些团伙还打着官方清粉团队的旗号宣传。(肯定是假的!)

不久前,鹅师傅和小伙伴们,曾接到过这样的一则用户举报,主人公是老王,故事是这样的:

老王最近的微信工作群,总有陌生人突然乱入,发布各种违规小广告。而这些个从天而降的陌生人,正是通过老王分享的二维码进群的。


平常工作严肃负责的老王,自己也十分诧异:我没有发过进群邀请二维码给不相干的陌生人呀!我的号也在我自己的手上!

老王坐不住了,因为除了工作群,在其他亲朋好友、校友同事群里,也出现了类似情况。

老王怒火中烧,将这种蹊跷的情况举报到腾讯110。(没错,腾讯110,常伴你左右!)

接到老王的举报后,对黑产有着天生敏锐嗅觉的鹅师傅一下子就看出这其中肯定暗藏玄机,经过一番分析排查后,发现曾遭遇老王类似情况的受害者还不在少数,真相开始浮出水面:

原来包括老王在内的这些受害者,都使用过所谓的“清理僵尸粉”服务或者软件。


机警的鹅师傅和他的小伙伴们意识到问题的严重性,马上将线索移交到警察叔叔手中,配合警察撸起袖子轰轰烈烈地大干了一场,正式掀开“清粉”软件背后隐藏至深的黑产内幕。

2

极速“清粉”到底是什么操作?
“清粉”,字面上是指识别和清理微信里删除、拉黑了自己的好友。


随着这些年来“清粉”用户体验的进化,黑产团伙已经迭代出号称“极速清粉”的操作。

它自称可以实现“自动清粉”,省时省力,甚至“5000好友只需要1分钟监测完毕”。(鹅师傅提示:千万别信它的鬼话)

不得不说,对那些加了很多陌生人做好友的用户来说,一个个手动监测谁拉黑删除了自己,再一个个以牙还牙拉黑删除对方,是个相当繁琐的操作。当有个快捷的选择放在他们面前,选还是不选,确实是个问题。

这些自动“清粉”软件,原理是这样的:

通过应用集群软件控制待清理的微信账号,自动向所有好友群发消息,再由群控软件根据“信息是否能够成功发送/接收”来识别哪些是“僵尸好友”并进行删除。


这里的群控软件,其实是一种微信“外挂”,它能够用一台电脑控制几百上千台手机,还能做到定时定量工作。

喏,就是下面这种被警方打击过很多次的场景了:


这些群控设备,常被用于刷数据、薅羊毛、“杀猪盘”等,早就成了公安重点关注的对象。为此,黑产团伙还逐渐开发出诸如云控、云端协议外挂等更隐蔽的群控手段,对抗侦查。

说回极速“清粉”,网络上有五花八门、天花乱坠的广告,这些广告上普遍打出“不打扰”“不群发”“零误删”等口号,有些甚至加上了煽情广告语,可以说是很走心了。


至于卖家是怎么做到“不群发消息”的,原理并不复杂:

他们采用的是一种定向拉群的方式,如果有哪一位好友需要你先进行好友确认才能进群,那么恭喜你:对方已经把你删掉了。

这种操作的好处在于,拉群后,如果群主没有发送任何消息,群聊就不会出现在群友的对话列表里,对方完全不会觉察。


当用户购买了“清粉”服务后,对方会立即发来一条链接以及卡密,当然少不了的还有步骤超详细的教学视频。当用户点击链接、输入卡密后,屏幕会弹出一个“清粉”二维码,用手机微信扫码后,就会出现“iPad微信登录确认”页面。

到这一步,相信聪明的小伙伴已经知道套路了:

所谓的“清粉”二维码,实际上就是微信PC端或网页端的登录授权码。只要你扫码确认,对方就可以通过外挂软件“接管”账户,获取你所有的用户权限。


在操作过程中,对方还会给你发来温馨提示:亲,必须要两台设备才能操作哦!一台显示二维码,一台去扫码哦。(是很努力的骗子,没错了)

这是因为微信电脑端或网页端一定要手机扫码才能登录,无法通过长按识别来完成。相比“输入账号+密码”的登录方式,这种方式其实更加安全。

一旦你扫码并确认登录,那么对不起,你的好友关系、群二维码、聊天记录、财务信息等,就会从这一步开始泄露。

3

“清粉”软件,黑灰产业发育的新温床
从不法分子在网络挂出的标价显示:一次“清粉”服务的收费很低,最低8毛钱就可以搞定,四舍五入等于不要钱。

那么,问题来了:这难道是清粉团队在不惜一切代价地冲销量?又或者他们在“日行一善”?


答案是:不存在的。向吃瓜群众提供“清粉服务”,仅仅是黑产团伙全套操作开始的一环,背后暗藏的是一条成熟黑灰产业链。

他们利用“清粉”软件作为掩护,获取用户的信息和群聊二维码后,会通过多种方式牟利,实现“一鱼多吃”,企图把受害人榨干。

首先,他们会赚到一笔销售“清粉”服务的钱。

除了给个人用户提供服务,有些网站还可以为大客户定制清粉软件,单款开发价格在1000元~5000元不等。

▲清粉软件界面

第二,他们还会打着“网络整合营销专家”、“专注网络社交推广”的幌子,捞一笔营销广告费。

具体操作是这样的:不法分子在“接管”账号后,就能通过你的私聊、群聊或朋友圈乱发小广告,狂轰滥炸;或者通过群控批量关注公众号,进行刷阅读量、点赞数等数据造假的刷量操作,从公众号、文章作者等刷量需求方那里捞到一笔不小的流量费。

▲批量关注公众号

第三,就是盗取用户信息,倒卖牟利。

比如,在拿到你的授权、登录微信账号后,借机批量盗取微信群聊二维码,并将这些群聊二维码以图片形式保存在服务器上,再转手卖给下游的诈骗、赌博等犯罪团伙,群聊里经常出现陌生人的谜底就此解开了。

在全国首例微信“清粉”案中,涉案犯罪团伙在短短三个月内,就以“清理僵尸粉”为名,非法获取用户的微信群聊二维码2000余万个。

该团伙内部分工明确,有人负责系统开发和维护,有人负责出售二维码牟利,还有人负责为微信公众号引流牟利,期间非法获利超过200万元。

▲嫌疑人获取的群二维码

▲后台比对二维码是否失效

鹅师傅在这里给大家再划一次重点:“清粉”软件所谓的“官方认证”、“放心访问”,其实是虚假广告,目的就是为了降低用户的警惕心理,让你一不留神就信了它的邪、上了它的当。

总的来说,黑灰产团队之所以屡屡得逞,主要有两方面原因:

一是他们抓住了人性的弱点,毕竟大家总会好奇究竟谁悄悄把自己拉黑、删好友了;

二是不少朋友的网络风险防范意识不足,这才让不法分子有了可趁之机。

4

一入“清粉”深似海,从此账号是路人
看似简单便捷的“清粉”服务,往往不知不觉就套走你的用户信息,将其转化成牟取暴利的工具。

或许,你还想象不到,不法分子会用它来做什么可怕的事情,乱发广告、乱关注公众号只是相对“单纯”的操作。

鹅师傅在这里举些典型例子:

比如,让你的账号失去控制,甚至无法登录。

许多网友在“清粉”后不久,会遇到各种奇奇怪怪的情况,像账号闪退,被迫下线;突然被陌生人直接加为好友,拉入各种广告群;或者账号被注册某网络游戏,产生一笔自己都不知情的交易……

又如,连累你的亲朋好友掉入诈骗的陷阱。

登录账号后,骗子会假冒你的身份和你的微信好友聊天,套取你个人和好友的相关信息。以“借钱”之名,行诈骗之实,譬如要求你的好友从银行卡或其他支付平台给你打钱。

再如,被诈骗团伙利用,成为黑灰产的帮凶。

某种程度上来说,当黑产“拥有”了你的微信账号,就可以冒用你的网络社交身份为所欲为,泄露个人隐私、恶意注册账号,进行网络诈骗、传播非法赌博信息等违法犯罪活动,不知不觉间,你就给黑产打了助攻。


5

为了不让黑产轻易得逞,我们可以做些什么?
为了避免各位小伙伴无意间为黑产“打辅助”,鹅师傅整理了一些小提醒,欢迎大家奔走相告,或者“在看,留言,转发”三连击。


1.远离“清粉”保平安,不要使用破坏官方软件协议或具有外挂功能的插件和软件,有效规避可能遇到的安全风险。

2.如果遇到安全风险,可以通过微信客户端、腾讯110小程序进行举报和投诉。

3.一旦发现有陌生人通过自己的二维码扫码进群,可尝试通过以下四个步骤解决:

①务必优先修改密码,保证账号安全;

②尝试联系群主,开启“群聊邀请确认”;

③通过点击“撤销”,选择将坏人移出群聊或者使坏人获取的二维码失效。



④在微信客户端“我” →“设置” → “帐号与安全” → “登录设备管理” ,删除不是自己本人登录的设备。


总而言之,请拒绝使用所谓的清粉工具,以免成为赌博、诈骗等不法分子的帮凶!



 推荐阅读 

喜欢就马上一键三连👇

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存