你蹭免费WiFi,运营方薅羊毛
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
加微信群或QQ群可免费索取:学习教程
教程列表见微信公众号底部菜单
21世纪什么最贵?答案是——免费的东西最贵。那些打着免费旗号,却没安什么好心的骗局已经司空见惯。你以为在“薅”免费的“羊毛”,却不料别人“薅”的是你的肉身,这其中付出的代价,直到整条产业链被我们调查之后,才让人大吃一惊。
喜欢到处蹭网的小梨最近觉得很诡异,似乎自己在网络上成了“透明人”。无论是短信还是微信总有大量不明来源的推销信息骚扰她,而且这些信息大多还能知道她近期的消费需求,“尤其是双11前,想买什么都能知道,我一开始以为蹭网中毒了,但手机怎么查杀并不都没有效果,短信依旧发个不停,微信也频繁有人加我推销产品。”
无奈之下,小梨换了新的手机,但这些看似精准的推销信息依旧没有消停,让她感到十分不解。她将上述经历发到朋友圈,没想到有不少好友也在下面纷纷留言,觉得手机似乎“中毒”了,不论是广告还是推销都相当精准,好比懂读心术,但又不知道哪里出了问题。
“其实不是病毒,是因为‘蹭网’导致的。”某公共WIFI设备推销业务员吴悦(化名)告诉熊出墨请注意,小梨之所以会被大量推销信息骚扰,是因为蹭网蹭太多了,个人资料被多个WIFI的运营机构反复“倒卖”才造成这样的麻烦,但这个“麻烦”却是吴悦以及运营机构们赖以生存的基础。
那么通过公共WIFI“蹭网”,真的会把个人信息“蹭”得满大街都是吗?提供免费WiFi的商业公司如何挣钱?或许在吴悦忙碌的日程里,我们能够得到确切的答案。
免费蹭网引发的“商机”
“老板,你家有免费WiFi吗?”相信这样的对话不论是餐厅、商场、咖啡厅甚至小吃店每天都会重复无数次。在4G高度普及的今天,WiFi仍然是主流的上网方式。《2017年上半年中国公共WiFi安全报告》显示,2017年上半年国内用户平均有61%的时间使用WiFi上网,并有超过50%的用户使用WiFi的时间占比超过70%。
有用户需求就有商机。“我每天都要跑十几二十个地方(谈合作)。”吴悦告诉熊出墨请注意,他负责的是罗湖和龙岗两个片区内公共WIFI系统的产品推广,公司每个月只给4000底薪,但他每个月收入能高达2到3万元。
“只要按照公司给出的推销话术,比如告诉他我们的设备只需要借用你原来的网络,不用商家付任何费用,还能根据用户流量给商家返利,这样的商业模式大受商家欢迎,根本无需我们多费口舌。”据吴悦介绍,无论是办公楼、综合体还是酒店,都希望通过这套公共WIFI系统把宽带钱给赚回来,甚至还能额外的收益,所以很多客户他只推销了一次就拍板要了。
据吴悦介绍,从安装系统的次月开始,公司就会根据该区域连接WiFi的数量给客户返回一定金额,“有些客流量大的综合体,甚至一个月可以拿到几万块钱返利。”
有了“赚钱”的案例,吴悦渐渐觉得产品越来越好卖了。他向熊出墨请注意展示了一部分客户清单,单单是一个区就有上千家办公楼和综合体在使用这一套公共WiFi产品。加上部分友商的产品,安装数量更是极为庞大。
可能许多人都会觉得,如此庞大的数量硬件支出,加上每个月还要返给客户的费用。这些运营公共WiFi的企业岂不亏死?他们到底图什么?
“当然是图财,而且利润相当丰厚。”吴悦表示,与那些通过植入病毒来窃取密码和个人信息的违法方式不同的是,公共WiFi是通过正儿八经的方式挣钱,由于商业模式清晰,并不违法,如今已经有越来越多的企业加入到这一灰色产业链中。
本想蹭网“薅”商家免费“羊毛”的用户们,却在不知不觉中成了商家和机构“薅”羊毛的对象。我们不禁要问,这些看似“便民”的公共WiFi是通过什么方式在用户身上大量变现的呢?
加粉、推广 海量用户数据成为牟利手段
公共WiFi很容易通过免费热点聚集大量用户,而这些用户数据就成为公共WiFi运营企业变现的第一大途径。
“翻一翻,许多人的微信里总有几个不认识的公众号。”吴悦告诉熊出墨请注意,许多公共WIFI的连接验证方式都是通过电话号码或者微信授权进行的。但许多时候除了手机验证以外,还需要关注某个微信公众号才可以顺利上网。因此,不少网络营销推广公司成为公共WiFi运营公司的头号客户。
这些公众号有些内容很少,有些甚至是空白的,对于用户来说这样一个公众号留在微信里根本是没有价值的,然而却有许多用户在上网之后忘了取消关注,而放在日后除非用户自行清理公众号的订阅列表,不然就会被彻底遗忘,成了其“永久”的粉丝。
“因为关注公众号成了上网关键的一步,所以很多用户都勉为其难。”吴悦表示,经过公司技术团队的一番测试之后,他们发现,有超过85%的用户在上网之后并没有取消关注公众号,有些是忘了取消,也有些是懒得取消。
而这些拿来“被关注”的公众账号里,有一部分是来自客户的订单,许多营销号需要大量的粉丝集数作为内容推广的受众群体,而恰好吴悦的团队能够提供给他们大量的真实粉丝。
“所以公共WIFI上推荐的关注账号很多是来自营销号的订单。”他告诉熊出墨请注意,这些营销团队会以20-30元一个粉丝的价格,向运营公司购买,而且因为大量用户都会忘记取消关注,所以这些粉丝很少出现“掉粉”的现象,相比传统“烧”红包所获的粉丝质量更高。而当公众号达到一定数量之后,营销团队就会开始拿来做推广了,“有些用户会发现长时间被遗忘的一个无名公众号突然就弹出了一条消息,我们都调侃这是‘诈尸’。”
除了帮营销号们“加粉”之外,许多运营公司还通过公共WiFi养许多自有的公众账号。吴悦透露,他所属的公司就有专门的团队在“养”这种公众账号,当账号养到数万粉时,就会通过一些网上交易平台或者社交圈子买卖(转让)账号,就以三万粉丝的地区公众号为例,价格在5千到3万元不等,而且需求巨大,几乎每天都有账号被买走。
网络社交高度发达的时代,谁要是能够掌握用户群体,谁就能够斩获营销与推广的红利。而随着营销号的推陈出新,激烈的竞争也大大加重了它们获取粉丝的成本。掌握着“加粉”技能的公共WiFi运营机构却在大肆利用着用户的使用习惯与忘性,大量赚着营销号和营销机构的钱。
对用户数据进行分类
让营销和骗子更懂用户
但这些WiFi运营机构的盈利手段并没有停留在推荐关注那么简单。手握如此庞大的用户数据,如何进一步挖掘用户行为和分类,让营销和推广变得更为精准,才是他们希望能够实现的更高阶段目标。
吴悦告诉熊出墨请注意,海量的用户数据中如果只有用户微信名和手机号码,这些原始数据的意义并不大,但通过公共WIFI的连接节点,公司能够清晰的知道用户是在何时何地使用公共WiFi,根据场所分类再给用户贴上相应的标签,这样加工过的数据才有商业价值。
“比如在一些星级的高档酒店里使用公共WIFI的用户,将被贴上‘有钱’的标签,办公楼里用户一般会被标记为‘上班族’或‘白领’,而那些经常出现在购物中心的电话号码,就会被视为‘剁手族’。“据吴悦介绍,公司会根据不同的标签定价,这样以来海量的用户资料就成了运营公司的“金矿”,“能卖上高价钱。”
据吴悦透露,许多“剁手族”的资料被卖给了电商企业做推广,“白领”的资料一般卖给小贷机构,部分经常出差的商旅人士标价最贵,最高能卖到50元一条,内容包括手机号码,最近所到的消费场所等,颇受奢侈品、豪车、房地产等商家青睐。
“这些商家或者业务经理,能够根据这些信息估算用户的购买力,从而进行有针对性的推销。”吴悦告诉熊出墨请注意,有商家反馈这些资料比较精准,所以推销产品的成交率也比较高。
尤其是现在个人用户信息本身就已经“满天飞”,所以许多用户接到推销电话或者短信已经习以为常,抗拒心理并不是那么强,更懒得追寻信息泄露的来源,“甚至有些诈骗团队也在我们这里买资料,(有了这些信息)他们能把用户的行程说得很准确,这就很恐怖,但老板是生意人肯定不管这些了。”
记录用户行为 “玩法”更高阶
电商平台正在通过大数据来分析和记录用户浏览习惯,给用户做标签,并且作出更为精准的推送。这样的方式也为越来越多广告主所青睐,于是公共WiFi行业也通过引入新的技术,比如记录用户使用WiFi时候的浏览行为等来抢占市场。
吴悦所属公司的技术团队也开始在WIFI的系统升级上“做手脚”。他告诉熊出墨请注意,最新一个版本的公共WiFi系统,可以在用户连接上网之后,拦截并破译部分用户的上网信息,通过后台可以清晰的看到该用户登陆了什么网站,停留了多久时长,甚至在电商网站上浏览了什么商品。
“通过这些痕迹细节,将用户再一次进行分类,信息的精准性就大大提升了,价格也就更高了。”吴悦说,类似这种详细的用户信息一条均在80元以上,更有很多营销顾问机构找上门希望从事信息代理的业务,构成了一条完整的用户信息产业链条。
看到这里,许多用户会恍然大悟。那些能够“猜测”和“预知”用户心理和需求的推销电话,大多是通过这样的方式得知用户个人的行为与动作。而部分诈骗行为,更是通过购买这些详细的行为资料,取得受害人的信任,从而骗取钱财。
“还有(一些不正规的运营机构)尝试通过功公共WIFI给安卓用户植入程序,模拟用户操作动作,这样其实已经威胁了移动支付的安全。”吴悦表示,许多无下限的机构已经开始盯上了用户的“钱包”,正在尝试利用新的技术破解相关的安全壁垒,令人不寒而栗。
最后
其实,商业WiFi市场一直被视为是“入口”级的市场,前景广阔。
根据艾瑞咨询此前发布的《中国商业WiFi行业研究报告》显示,2018年中国商业WiFi的市场规模约为32.6亿元,为2013年的21.7倍。同时,第40次《中国互联网络发展状况统计报告》显示,截至2017年6月,中国移动网民规模达7.51亿,网民对无线网络的需求也在持续走高。
正因如此,不少互联网、运营商玩家都先后入局,但如果按照投入产出比来算,整个行业始终是赔钱赚吆喝。比如由于“高额成本的巨大压力、后向运营模式受阻、没有政府资金的支持”,曾两轮获得4.38亿元融资的16WiFi在今年无奈“瘦身”,暂停广州、上海、深圳等11座城市的运营,仅保留北京和昆明作为样板城市。
更多的企业希望能够从提供服务的用户身上挣钱,本文上述所描述的业务成为了不少公共WiFi机构“不能说的秘密”。
实际上,本文的主人公所在的公司在这一领域相当出名,再比如,深圳友宝就将其微信加粉推广业务明码标价公开叫卖,熊出墨请注意的后台就曾收到过报价单。
显然,从保护个人信息安全的角度出发,手机用户应该谨慎的对公共WiFi热点加以识别,尽量不要使用部分利用手机号码和微信授权登录的热点,以确保个人账号与信息安全。
在交流的最后,吴悦打趣的告诉我们,“虽然我是推广公共WiFi的,但我在外面从来不蹭网,就怕不安全!”
黑产:“打码平台”与“羊毛党”
互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,互联网业务安全也有其基础安全设施--图片验证码和短信验证码。在互联网业务中,广泛使用图形验证码用于区分人类和机器,使用短信验证码过滤低价值用户及提供二次校验功能。
作为互联网业务的基础安全设施,图片验证码和短信验证也面临众多的挑战。
我们以如下两个场景简单说明下普通打码平台以及手机打码平台:
场景一:批量登陆12306网站,并进行购买行为,但验证码不能自动识别。
12306的验证码比较复杂,程序较难识别。这时候就出现了普通验证码的打码平台,程序将验证码传给打码平台的识别接口,打码平台将验证码发给后端的“佣工”进行识别,并获取识别结果。这样基于此类的人工打码平台,即可实现程序的自动化。
场景二:注册某购物平台,但其需要填写手机号和收到的验证码才可注册,如何进行批量机器注册?
这时候就出现了手机打码平台,该平台提供大量的手机号,并能够发送和接收短信。这样只需调用手机打码平台相关接口,获取手机号并获取短信内容即可进行批量注册。
最后我们将会简单的阐述面对这些威胁新的解决之道。
普通打码平台
一、介绍
现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。
普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。
所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果
二、运行流程图
说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值,并通过打码平台提供的api接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈给羊毛党。
1、网赚平台:
很多打码平台需要跟网赚平台进行合作,因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台,其发布各种任务供用户参与,并通过金币的形式给用户发放,金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块,里面列举了合作的打码平台。如图
点击其中一个“知码打码”的打码平台项目,如图
点击获取工号和密码后,然后下载提供的软件,登陆后简单测试通过后,即可收到打码平台推送过来的验证码,如图
佣工可以勾选想要接收的验证码复杂度,有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量,如图为45个,用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同,验证码难度较高的积分较大些,同时网赚平台夜间工作给的积分也会多,所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益,按官方说明10000个金币可兑换1元的标准,我们按一个验证码平均可可以获得100个金币计算,则打100个验证码即可获得1元,每天打10000个验证码才能获得100元。
2、普通打码平台
打码平台提供多种类型的验证码,有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同,我们查看某打码平台的价格类目表,
其中每种验证码的价格不同,该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆,也就是说10元可以识别2500个普通验证码,我们查看下12306的图形验证码识别价格为60快豆,即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用,其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别,如图
3、开发者
每个打码平台都会有很多开发者,开发者通过打码平台提供的sdk,进行开发软件。比如针对12306编写一个抢票软件,并内接该打码平台,那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成,提成一般较高。
4.羊毛党
什么是羊毛党?
有选择地参与活动,从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。早前,“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”。当然,使用打码平台的不一定就是羊毛党,还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。
三、利益链
说明:佣工通过自身劳动,通过网赚平台变现,获得利益;网赚平台与打码平台进行合作,并有利益分成。打码平台将服务进行封装,提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。
手机打码平台
一、介绍
短信验证码在互联网业务中用于过滤低价值的用户,从而将服务推送给目标用户。这是基于手机号基本实现实名认证,每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册,筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景,推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡,小型也有几万的手机卡。
二、运行流程图
手机打码平台的流程图如下,主要有两个角色,一个是平台的普通用户通常为羊毛党、一个是平台的卡商。
说明:手机打码平台会提供各种项目的接口,比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口,获取某个项目可用的手机号,并将该手机号填入目标网站,然后调用接口获得短信内容即可。
1、手机打码平台
手机打码平台提供各种项目,我们查看下某一手机打码平台的项目列表,如图
每个项目的价格不同,像p2p金融类的可能价格较高,其他的普通的比如115网盘手机绑定价格较便宜,一个手机号只需1毛。接收短信流程很简单,查看下该平台的官方API接口说明,如图
我们只需要调用接口,获取某个项目的手机号,填入网站,并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能,如下为某一手机打码平台发送短信的接口
2、卡商
卡商是指拥有大量手机卡的用户,其通过猫池并通过打码平台提供的软件,提供相关项目的短信收发服务。卡商的手机号被使用一次,则可获得相应的收入,如下为一打码平台的卡商客户端,卡商将插有大量手机卡的猫池接入电脑,并选择需要做的项目即可。
其中猫池可以理解为有通信模块,可以收发短信,可以插很多手机卡的设备。一般有8口、16口的,多的有128口的,即可以同时插128张手机卡。猫池有多种类型,现在有很多猫池是支持3G、4G的,如下为插有手机卡的猫池图
卡商通常会有大量的卡,用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张,且这些卡有很多也是经过实名认证的,且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告,如图
关于这种大量的卡的来源,其中一手机打码平台的卡商透露了如下信息
同时这些卡商会有其他的业务比如超级会员、黄钻、绿钻等,查看一打码平台卡商发的信息,如图
3、羊毛党
我们查看一薅羊毛的群,里面每天会更新一些活动信息
当然发出来的都是一些小利润的,一些较大利润的羊毛党们都不会轻易透露,当然其中也有很多属于灰色或黑色产业。在一些薅羊毛的群里,通常会伴有身份信息的售卖,在某一群里查看到售卖正反身份证图片加手持身份证的信息,只需2毛一份,如图
三、利益链
说明:
羊毛党通过手机打码平台提供的手机号去网站批量注册,获得小号,再利用这些小号批量获取优惠。比如uber的推荐用户注册送优惠券,还有一些网站的新用户推荐注册送话费等等来获利。打码平台从提供手机打码服务里进行收费,并与对接的卡商进行利益分成,平台自己也会有一些手机卡。同时卡商也是有多种业务,一种是专门做打码平台的业务,其他的还有通过售卖卡给羊毛党,用来做刷超级会员、刷钻等业务进行获利。
如何防控
针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式,构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系,结合众多数据构建自己的安全风控系统才更为重要。
一、新型验证码
替换传统验证码,采用新型的验证码。传统的验证码已经很难去防止机器行为,因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。
比如Google的reCaptcha
以及阿里巴巴的NoCaptcha
当然这也并不代表此类验证码不能被绕过,今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路,具体可以参考[相关paper]
二、手机信誉库
针对短信打码平台,可以回归短信验证码的本质需求,即过滤互联网中低价值的用户。而由于手机号并非完全实名制,事实上获取一个手机号的成本并不高,所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高,但是对于大多数普通互联网用户并不频繁更换手机号,所以可以基于手机号对应的行为来建立基于手机的征信库,从而基于手机号的信誉实现筛选出高价值客户功能,而非单一的依赖用户是否拥有一个手机号。
三、风控体系
对于普通的网站而言,建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。
其中对于p2p金融类的网站而言,构建自己的安全风控系统尤为重要。金融类的较为敏感,对于用户的身份应当做强的安全校验,比如进行银行卡绑定的身份校验等。
四、其他
现在的手机已经需要进行实名认证,对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡,且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台,国家已经出台了相关政策,认定手机打码平台属于违法行为,因而这些手机打码平台也都转为地下。