簡介

網際網路業務的飛速發展，日漸滲透人類的生活，對經濟、文化、社會產生巨大的影響，同時網際網路業務安全也日趨重要。如同網路通訊的基礎安全設施防火牆，網際網路業務安全也有其基礎安全設施－－圖片驗證碼和簡訊驗證碼。在網際網路業務中，廣泛使用圖形驗證碼用於區分人類和機器，使用簡訊驗證碼過濾低價值使用者及提供二次校驗功能。

作為網際網路業務的基礎安全設施，圖片驗證碼和簡訊驗證也面臨眾多的挑戰。此前我們通過《驗證碼的前世今生（前世篇）》和《驗證碼的前世今生（今生篇）》瞭解了驗證碼的發展及演變，原理及優缺點。今天本文將帶你走近網際網路業務眼前的威脅——圖片打碼平臺和簡訊打碼平臺。我們以如下兩個場景簡單說明下普通打碼平臺以及手機打碼平臺：

場景一：批量登陸12306網站，並進行購買行為，但驗證碼不能自動識別。

12306的驗證碼比較複雜，程式較難識別。這時候就出現了普通驗證碼的打碼平臺，程式將驗證碼傳給打碼平臺的識別介面，打碼平臺將驗證碼發給後端的“傭工”進行識別，並獲取識別結果。這樣基於此類的人工打碼平臺，即可實現程式的自動化。

場景二：註冊某購物平臺，但其需要填寫手機號和收到的驗證碼才可註冊，如何進行批量機器註冊？

這時候就出現了手機打碼平臺，該平臺提供大量的手機號，並能夠傳送和接收簡訊。這樣只需呼叫手機打碼平臺相關介面，獲取手機號並獲取簡訊內容即可進行批量註冊。

最後我們將會簡單的闡述面對這些威脅新的解決之道。

一、普通打碼平臺

一）介紹

現在很多簡單的字元驗證碼已經不能夠有效阻擋機器行為，使用簡單的OCR識別工具即可進行識別，稍微複雜的可以結合機器學習等進行高準確率的識別。

普通的字元驗證碼很容易被識別，因而又產生了一些較複雜的驗證碼，比如如下一些較難通過機器進行識別的。

所以若想進行惡意註冊或批量的機器行為則需要繞過此類的高難度驗證碼。針對這種需求，人工打碼平臺就產生了，其通過組織真實的人來進行識別，並提交驗證結果。

二）執行流程圖

說明：比如現在羊毛黨要去某網站刷活動優惠券，但該網站有較複雜的影象驗證碼。通常羊毛黨會在打碼平臺註冊賬號並充值，並通過打碼平臺提供的api介面，提交驗證碼識別。打碼平臺將驗證碼分發到各個傭工的客戶端裡，獲取傭工的識別結果，並最終反饋給羊毛黨。

1、網賺平臺：

很多打碼平臺需要跟網賺平臺進行合作，因為網賺平臺的使用者量比較大。這種每天輸入一些驗證碼就能賺錢的平臺是很多小白使用者比較喜歡的。我們檢視一叫做“有賺網”的網賺平臺，其釋出各種任務供使用者參與，並通過金幣的形式給使用者發放，金幣累積一定數量後可進行提現。網賺平臺會設有專門的打碼模組，裡面列舉了合作的打碼平臺。如圖

點選其中一個“知碼打碼”的打碼平臺專案，如圖

點選獲取工號和密碼後，然後下載提供的軟體，登陸後簡單測試通過後，即可收到打碼平臺推送過來的驗證碼，如圖

傭工可以勾選想要接收的驗證碼複雜度，有選擇題、填空題、滑鼠點選型別等等。同時通過軟體可以檢視該平臺積壓的驗證碼的數量，如圖為45個，使用者輸入結果後會很快重新整理到下一個驗證碼。每種驗證碼的積分不同，驗證碼難度較高的積分較大些，同時網賺平臺夜間工作給的積分也會多，所以我們可以看到打碼平臺的夜間服務費用也會高一些。我們粗略計算下這種網賺的收益，按官方說明10000個金幣可兌換1元的標準，我們按一個驗證碼平均可可以獲得100個金幣計算，則打100個驗證碼即可獲得1元，每天打10000個驗證碼才能獲得100元。

2、普通打碼平臺

打碼平臺提供多種型別的驗證碼，有正常的普通字元驗證碼、有選擇題、算術題、以及其他的特殊型別的。每種驗證碼的計費型別不同，我們檢視某打碼平臺的價格類目表：

其中每種驗證碼的價格不同，該平臺衝10元可獲得25000快豆。其中最普通的驗證碼需要10個快豆，也就是說10元可以識別2500個普通驗證碼，我們檢視下12306的圖形驗證碼識別價格為60快豆，即10元可以識別400多個驗證碼。同時打碼平臺會以api的形式供使用者使用，其只需傳入賬號密碼以及驗證碼所屬型別、驗證碼檔案即可進行識別，如圖

3、開發者

每個打碼平臺都會有很多開發者，開發者通過打碼平臺提供的sdk，進行開發軟體。比如針對12306編寫一個搶票軟體，並內接該打碼平臺，那麼羊毛黨在使用該軟體時只需填入打碼平臺的賬號密碼即可使用。同時開發者可以拿到提成，提成一般較高。

4、羊毛黨

什麼是羊毛黨？

有選擇地參與活動，從而以相對較低成本甚至零成本換取物質上的實惠。這一行為被稱為“薅羊毛”，而關注與熱衷於“薅羊毛”的群體就被稱作“羊毛黨”。早前，“羊毛黨”們主要活躍在O2O平臺或電商平臺。另外隨著2015年網際網路金融的發展，一些網貸平臺為吸引投資者常推出一些收益豐厚的活動，如註冊認證獎勵、充值返現、投標返利等，催生了以此寄生的投資群體，他們也被稱為P2P“羊毛黨”。當然，使用打碼平臺的不一定就是羊毛黨，還有可能是一些搶票的“黃牛黨”或者黑色產業的欺詐者。

三）利益鏈

說明：傭工通過自身勞動，通過網賺平臺變現，獲得利益；網賺平臺與打碼平臺進行合作，並有利益分成。打碼平臺將服務進行封裝，提供給羊毛黨。打碼平臺的開發者通過開發軟體供羊毛黨使用。同時羊毛黨通過批量的註冊、活動優惠等方式從網站進行獲利。

二、手機打碼平臺

一）介紹

簡訊驗證碼在網際網路業務中用於過濾低價值的使用者，從而將服務推送給目標使用者。這是基於手機號基本實現實名認證，每個人擁有的手機號也是有限制的前提。似乎通過手機簡訊驗證就能夠防止垃圾註冊，篩選出真正有價值的客戶。然而黑產針對基於手機號註冊的場景，推出手機打碼平臺。手機打碼平臺囤積大量的手機卡提供簡訊收發的服務。實際調查中發現大型手機打碼平臺有幾百萬手機卡，小型也有幾萬的手機卡。

二）執行流程圖

手機打碼平臺的流程圖如下，主要有兩個角色，一個是平臺的普通使用者通常為羊毛黨、一個是平臺的卡商。

說明：手機打碼平臺會提供各種專案的介面，比如xxx賬號註冊、xxx繫結手機等。羊毛黨只需要呼叫介面，獲取某個專案可用的手機號，並將該手機號填入目標網站，然後呼叫介面獲得簡訊內容即可。

1、手機打碼平臺

手機打碼平臺提供各種專案，我們檢視下某一手機打碼平臺的專案列表，如圖

每個專案的價格不同，像p2p金融類的可能價格較高，其他的普通的比如115網盤手機綁定價格較便宜，一個手機號只需1毛。接收簡訊流程很簡單，檢視下該平臺的官方API介面說明，如圖

我們只需要呼叫介面，獲取某個專案的手機號，填入網站，並呼叫介面獲取簡訊內容即可。同時打碼平臺通常還會提供傳送簡訊的介面、接收語音驗證碼等功能，如下為某一手機打碼平臺傳送簡訊的介面

2、卡商

卡商是指擁有大量手機卡的使用者，其通過貓池並通過打碼平臺提供的軟體，提供相關專案的簡訊收發服務。卡商的手機號被使用一次，則可獲得相應的收入，如下為一打碼平臺的卡商客戶端，卡商將插有大量手機卡的貓池接入電腦，並選擇需要做的專案即可。

其中貓池可以理解為有通訊模組，可以收發簡訊，可以插很多手機卡的裝置。一般有8口、16口的，多的有128口的，即可以同時插128張手機卡。貓池有多種型別，現在有很多貓池是支援3G、4G的，如下為插有手機卡的貓池圖

卡商通常會有大量的卡，用來做手機打碼只是其中的一個業務,還有很多是用來刷鑽、刷會員、刷流量等。市場價格一般在10元左右一張，且這些卡有很多也是經過實名認證的，且有很多屬於0月租、0餘額的特殊卡。當然可以傳送簡訊的則是有一定餘額的。我們檢視下一售賣手機卡的卡商發的廣告，如圖

關於這種大量的卡的來源，其中一手機打碼平臺的卡商透露了如下資訊

同時這些卡商會有其他的業務比如超級會員、黃鑽、綠鑽等，檢視一打碼平臺卡商發的資訊，如圖

3、羊毛黨

我們檢視一薅羊毛的群，裡面每天會更新一些活動資訊

當然發出來的都是一些小利潤的，一些較大利潤的羊毛黨們都不會輕易透露，當然其中也有很多屬於灰色或黑色產業。在一些薅羊毛的群裡，通常會伴有身份資訊的售賣，在某一群裡檢視到售賣正反身份證圖片加手持身份證的資訊，只需2毛一份，如圖

三）利益鏈

說明：

羊毛黨通過手機打碼平臺提供的手機號去網站批量註冊，獲得小號，再利用這些小號批量獲取優惠。比如uber的推薦使用者註冊送優惠券，還有一些網站的新使用者推薦註冊送話費等等來獲利。打碼平臺從提供手機打碼服務裡進行收費，並與對接的卡商進行利益分成，平臺自己也會有一些手機卡。同時卡商也是有多種業務，一種是專門做打碼平臺的業務，其他的還有通過售賣卡給羊毛黨，用來做刷超級會員、刷鑽等業務進行獲利。

三、如何防控

針對普通打碼平臺以及手機打碼平臺如何進行防控。採用新型的驗證碼技術是一種方式，構建手機打碼平臺黑名單庫也是一種方式。但基於構建的使用者手機號信譽體系以及使用者裝置信譽體系，結合眾多資料構建自己的安全風控系統才更為重要。

一）新型驗證碼

替換傳統驗證碼，採用新型的驗證碼。傳統的驗證碼已經很難去防止機器行為，因而出現了一些基於使用者行為的新型驗證碼。新型驗證碼最大的特點是不再基於知識進行人機判斷，而是基於人類固有的生物特徵以及操作的環境資訊綜合決策，來判斷是人類還是機器。

比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

當然這也並不代表此類驗證碼不能被繞過，今年的Asia Blackhat上公佈了一種破解Google reCaptcha的思路，具體可以參考[相關paper]

二）手機信譽庫

針對簡訊打碼平臺，可以迴歸簡訊驗證碼的本質需求，即過濾網際網路中低價值的使用者。而由於手機號並非完全實名制，事實上獲取一個手機號的成本並不高，所以基於手機號並不能有效篩選出真正的高價值客戶。儘管手機號本身獲取成本不高，但是對於大多數普通網際網路使用者並不頻繁更換手機號，所以可以基於手機號對應的行為來建立基於手機的徵信庫，從而基於手機號的信譽實現篩選出高價值客戶功能，而非單一的依賴使用者是否擁有一個手機號。

三）風控體系

對於普通的網站而言，建立自己的使用者信譽體系尤為重要。基於使用者的裝置信譽、使用者行為等資訊進行防控。

其中對於p2p金融類的網站而言，構建自己的安全風控系統尤為重要。金融類的較為敏感，對於使用者的身份應當做強的安全校驗，比如進行銀行卡繫結的身份校驗等。

四）其他

現在的手機已經需要進行實名認證，對於大量手機卡濫用會有一定的效果。但是在調查中發現其中還是有大量的特殊卡，且都經過實名認證或者是進行了企業認證的卡。另外對於手機打碼平臺，國家已經出臺了相關政策，認定手機打碼平臺屬於違法行為，因而這些手機打碼平臺也都轉為地下。

作者：[email protected]阿里安全，更多安全類文章，請訪問阿里聚安全部落格