簡介

互聯網業務的飛速發展，日漸滲透人類的生活，對經濟、文化、社會產生巨大的影響，同時互聯網業務安全也日趨重要。如同網絡通信的基礎安全設施防火墻，互聯網業務安全也有其基礎安全設施--圖片驗證碼和短信驗證碼。在互聯網業務中，廣泛使用圖形驗證碼用于區分人類和機器，使用短信驗證碼過濾低價值用戶及提供二次校驗功能。

作為互聯網業務的基礎安全設施，圖片驗證碼和短信驗證也面臨眾多的挑戰。此前我們通過《驗證碼的前世今生(前世篇)》和《驗證碼的前世今生(今生篇)》了解了驗證碼的發展及演變，原理及優缺點。今天本文將帶你走近互聯網業務眼前的威脅——圖片打碼平臺和短信打碼平臺。我們以如下兩個場景簡單說明下普通打碼平臺以及手機打碼平臺：

場景一：批量登陸12306網站，并進行購買行為，但驗證碼不能自動識別。

12306的驗證碼比較復雜，程序較難識別。這時候就出現了普通驗證碼的打碼平臺，程序將驗證碼傳給打碼平臺的識別接口，打碼平臺將驗證碼發給后端的“傭工”進行識別，并獲取識別結果。這樣基于此類的人工打碼平臺，即可實現程序的自動化。

場景二：注冊某購物平臺，但其需要填寫手機號和收到的驗證碼才可注冊，如何進行批量機器注冊?

這時候就出現了手機打碼平臺，該平臺提供大量的手機號，并能夠發送和接收短信。這樣只需調用手機打碼平臺相關接口，獲取手機號并獲取短信內容即可進行批量注冊。

最后我們將會簡單的闡述面對這些威脅新的解決之道。

一、普通打碼平臺

一)介紹

現在很多簡單的字符驗證碼已經不能夠有效阻擋機器行為，使用簡單的OCR識別工具即可進行識別，稍微復雜的可以結合機器學習等進行高準確率的識別。

普通的字符驗證碼很容易被識別，因而又產生了一些較復雜的驗證碼，比如如下一些較難通過機器進行識別的。

所以若想進行惡意注冊或批量的機器行為則需要繞過此類的高難度驗證碼。針對這種需求，人工打碼平臺就產生了，其通過組織真實的人來進行識別，并提交驗證結果。

二)運行流程圖

說明：比如現在羊毛黨要去某網站刷活動優惠券，但該網站有較復雜的圖像驗證碼。通常羊毛黨會在打碼平臺注冊賬號并充值，并通過打碼平臺提供的api接口，提交驗證碼識別。打碼平臺將驗證碼分發到各個傭工的客戶端里，獲取傭工的識別結果，并最終反饋給羊毛黨。

1、網賺平臺：

很多打碼平臺需要跟網賺平臺進行合作，因為網賺平臺的用戶量比較大。這種每天輸入一些驗證碼就能賺錢的平臺是很多小白用戶比較喜歡的。我們查看一叫做“有賺網”的網賺平臺，其發布各種任務供用戶參與，并通過金幣的形式給用戶發放，金幣累積一定數量后可進行提現。網賺平臺會設有專門的打碼模塊，里面列舉了合作的打碼平臺。如圖

點擊其中一個“知碼打碼”的打碼平臺項目，如圖

點擊獲取工號和密碼后，然后下載提供的軟件，登陸后簡單測試通過后，即可收到打碼平臺推送過來的驗證碼，如圖

傭工可以勾選想要接收的驗證碼復雜度，有選擇題、填空題、鼠標點擊類型等等。同時通過軟件可以查看該平臺積壓的驗證碼的數量，如圖為45個，用戶輸入結果后會很快刷新到下一個驗證碼。每種驗證碼的積分不同，驗證碼難度較高的積分較大些，同時網賺平臺夜間工作給的積分也會多，所以我們可以看到打碼平臺的夜間服務費用也會高一些。我們粗略計算下這種網賺的收益，按官方說明10000個金幣可兌換1元的標準，我們按一個驗證碼平均可可以獲得100個金幣計算，則打100個驗證碼即可獲得1元，每天打10000個驗證碼才能獲得100元。

2、普通打碼平臺

打碼平臺提供多種類型的驗證碼，有正常的普通字符驗證碼、有選擇題、算術題、以及其他的特殊類型的。每種驗證碼的計費類型不同，我們查看某打碼平臺的價格類目表，

其中每種驗證碼的價格不同，該平臺沖10元可獲得25000快豆。其中最普通的驗證碼需要10個快豆，也就是說10元可以識別2500個普通驗證碼，我們查看下12306的圖形驗證碼識別價格為60快豆，即10元可以識別400多個驗證碼。同時打碼平臺會以api的形式供用戶使用，其只需傳入賬號密碼以及驗證碼所屬類型、驗證碼文件即可進行識別，如圖

3、開發者

每個打碼平臺都會有很多開發者，開發者通過打碼平臺提供的sdk，進行開發軟件。比如針對12306編寫一個搶票軟件，并內接該打碼平臺，那么羊毛黨在使用該軟件時只需填入打碼平臺的賬號密碼即可使用。同時開發者可以拿到提成，提成一般較高。

4.羊毛黨

什么是羊毛黨?

有選擇地參與活動，從而以相對較低成本甚至零成本換取物質上的實惠。這一行為被稱為“薅羊毛”，而關注與熱衷于“薅羊毛”的群體就被稱作“羊毛黨”。早前，“羊毛黨”們主要活躍在O2O平臺或電商平臺。另外隨著2015年互聯網金融的發展，一些網貸平臺為吸引投資者常推出一些收益豐厚的活動，如注冊認證獎勵、充值返現、投標返利等，催生了以此寄生的投資群體，他們也被稱為P2P“羊毛黨”。當然，使用打碼平臺的不一定就是羊毛黨，還有可能是一些搶票的“黃牛黨”或者黑色產業的欺詐者。

三)利益鏈

說明：傭工通過自身勞動，通過網賺平臺變現，獲得利益;網賺平臺與打碼平臺進行合作，并有利益分成。打碼平臺將服務進行封裝，提供給羊毛黨。打碼平臺的開發者通過開發軟件供羊毛黨使用。同時羊毛黨通過批量的注冊、活動優惠等方式從網站進行獲利。

二、手機打碼平臺

一)介紹

短信驗證碼在互聯網業務中用于過濾低價值的用戶，從而將服務推送給目標用戶。這是基于手機號基本實現實名認證，每個人擁有的手機號也是有限制的前提。似乎通過手機短信驗證就能夠防止垃圾注冊，篩選出真正有價值的客戶。然而黑產針對基于手機號注冊的場景，推出手機打碼平臺。手機打碼平臺囤積大量的手機卡提供短信收發的服務。實際調查中發現大型手機打碼平臺有幾百萬手機卡，小型也有幾萬的手機卡。

二)運行流程圖

手機打碼平臺的流程圖如下，主要有兩個角色，一個是平臺的普通用戶通常為羊毛黨、一個是平臺的卡商。

說明：手機打碼平臺會提供各種項目的接口，比如xxx賬號注冊、xxx綁定手機等。羊毛黨只需要調用接口，獲取某個項目可用的手機號，并將該手機號填入目標網站，然后調用接口獲得短信內容即可。

1、手機打碼平臺

手機打碼平臺提供各種項目，我們查看下某一手機打碼平臺的項目列表，如圖

每個項目的價格不同，像p2p金融類的可能價格較高，其他的普通的比如115網盤手機綁定價格較便宜，一個手機號只需1毛。接收短信流程很簡單，查看下該平臺的官方API接口說明，如圖

我們只需要調用接口，獲取某個項目的手機號，填入網站，并調用接口獲取短信內容即可。同時打碼平臺通常還會提供發送短信的接口、接收語音驗證碼等功能，如下為某一手機打碼平臺發送短信的接口

2、卡商

卡商是指擁有大量手機卡的用戶，其通過貓池并通過打碼平臺提供的軟件，提供相關項目的短信收發服務?？ㄉ痰氖謾C號被使用一次，則可獲得相應的收入，如下為一打碼平臺的卡商客戶端，卡商將插有大量手機卡的貓池接入電腦，并選擇需要做的項目即可。

其中貓池可以理解為有通信模塊，可以收發短信，可以插很多手機卡的設備。一般有8口、16口的，多的有128口的，即可以同時插128張手機卡。貓池有多種類型，現在有很多貓池是支持3G、4G的，如下為插有手機卡的貓池圖

卡商通常會有大量的卡，用來做手機打碼只是其中的一個業務,還有很多是用來刷鉆、刷會員、刷流量等。市場價格一般在10元左右一張，且這些卡有很多也是經過實名認證的，且有很多屬于0月租、0余額的特殊卡。當然可以發送短信的則是有一定余額的。我們查看下一售賣手機卡的卡商發的廣告，如圖

[[188889]]

[[188890]]

關于這種大量的卡的來源，其中一手機打碼平臺的卡商透露了如下信息

同時這些卡商會有其他的業務比如超級會員、黃鉆、綠鉆等，查看一打碼平臺卡商發的信息，如圖

3、羊毛黨

我們查看一薅羊毛的群，里面每天會更新一些活動信息

當然發出來的都是一些小利潤的，一些較大利潤的羊毛黨們都不會輕易透露，當然其中也有很多屬于灰色或黑色產業。在一些薅羊毛的群里，通常會伴有身份信息的售賣，在某一群里查看到售賣正反身份證圖片加手持身份證的信息，只需2毛一份，如圖

三)利益鏈

說明：

羊毛黨通過手機打碼平臺提供的手機號去網站批量注冊，獲得小號，再利用這些小號批量獲取優惠。比如uber的推薦用戶注冊送優惠券，還有一些網站的新用戶推薦注冊送話費等等來獲利。打碼平臺從提供手機打碼服務里進行收費，并與對接的卡商進行利益分成，平臺自己也會有一些手機卡。同時卡商也是有多種業務，一種是專門做打碼平臺的業務，其他的還有通過售賣卡給羊毛黨，用來做刷超級會員、刷鉆等業務進行獲利。

三、如何防控

針對普通打碼平臺以及手機打碼平臺如何進行防控。采用新型的驗證碼技術是一種方式，構建手機打碼平臺黑名單庫也是一種方式。但基于構建的用戶手機號信譽體系以及用戶設備信譽體系，結合眾多數據構建自己的安全風控系統才更為重要。

一)新型驗證碼

替換傳統驗證碼，采用新型的驗證碼。傳統的驗證碼已經很難去防止機器行為，因而出現了一些基于用戶行為的新型驗證碼。新型驗證碼最大的特點是不再基于知識進行人機判斷，而是基于人類固有的生物特征以及操作的環境信息綜合決策，來判斷是人類還是機器。

比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

當然這也并不代表此類驗證碼不能被繞過，今年的Asia Blackhat上公布了一種破解Google reCaptcha的思路，具體可以參考[相關paper]

二)手機信譽庫

針對短信打碼平臺，可以回歸短信驗證碼的本質需求，即過濾互聯網中低價值的用戶。而由于手機號并非完全實名制，事實上獲取一個手機號的成本并不高，所以基于手機號并不能有效篩選出真正的高價值客戶。盡管手機號本身獲取成本不高，但是對于大多數普通互聯網用戶并不頻繁更換手機號，所以可以基于手機號對應的行為來建立基于手機的征信庫，從而基于手機號的信譽實現篩選出高價值客戶功能，而非單一的依賴用戶是否擁有一個手機號。

三)風控體系

對于普通的網站而言，建立自己的用戶信譽體系尤為重要?；谟脩舻脑O備信譽、用戶行為等信息進行防控。

其中對于p2p金融類的網站而言，構建自己的安全風控系統尤為重要。金融類的較為敏感，對于用戶的身份應當做強的安全校驗，比如進行銀行卡綁定的身份校驗等。

四)其他

現在的手機已經需要進行實名認證，對于大量手機卡濫用會有一定的效果。但是在調查中發現其中還是有大量的特殊卡，且都經過實名認證或者是進行了企業認證的卡。另外對于手機打碼平臺，國家已經出臺了相關政策，認定手機打碼平臺屬于違法行為，因而這些手機打碼平臺也都轉為地下。