“羊毛党”凭啥屡屡得手?问题出在恶意注册和养号

科技日报 2019年01月02日 10:04

  恶意注册和养号:“羊毛党”的薅毛利器

  为吸引用户,很多电商、互联网金融平台等会不定期发放小额优惠券,但近日某电商平台统计,其实70%到80%的优惠券都落入了“羊毛党”的口袋,而没有被真正想购物的人领走。

  “羊毛党”们为何屡屡得手?显然不是因为勤奋,问题出在恶意注册账号和养号上。这些虚假网络账号是互联网上黑色产业的“帮凶”,它们闻风而动,小到薅羊毛,大到从事网络攻击、网络诈骗等活动,危害重重。

  隐蔽真实身份,囤积账号资源

  账号是用户的“网络身份”,在以账号体系为基础的互联网环境中,下游犯罪和黑色产业在实施行动前,首先也必须设法获得大量账号资源,从而为他们提供网络身份。在具体的黑产业中,这些账号可帮助他们隐蔽真实身份、制造虚假流量、增加溯源难度、逃避法律追究等,成为黑产“替身”。

  获得这种虚假网络身份的渠道,主要就是恶意注册和养号。

  据腾讯网络安全与犯罪研究基地首席研究员门美子介绍,恶意注册是指不以正常使用为目的,违反国家规定和平台注册规则,利用多种途径取得的手机卡号等作为注册资料,使用虚假的或非法取得的身份信息,突破互联网安全防护措施,以手动方式批量注册网络账号的行为。

  “与恶意注册时常一起出现的,还包括了养号行为。也就是为防止被封禁和提升账号牟利价格,而突破互联网安全策略,模拟正常使用的账号形态,保持账号的正常存续和使用的行为。养号基本上有两个动机,养活或养贵账号。”门美子说。

  规避实名制,在网络空间“流窜作案”

  公安部网络安全保卫局研发中心主任许剑卓表示,网络犯罪持续呈现大幅上升态势,恶意注册黑色产业成为滋生助长互联网犯罪的核心利益链条之一。

  大量的恶意注册使用了白号(未实名认证的号)或者虚假的实名号码,而在后续的身份信息绑定环节,这些账号靠使用非法获取的公民信息来完成,造成账号的注册信息与实际使用人信息不符,从而在根本上规避了实名制的规则要求。

  这样做有什么好处?门美子解释道,第一,可以规避真实身份。第二,可以囤积大量账号资源。在互联网空间,很多牟利的行为需要通过囤积批量账号才能实现,而且基于互联网的安全策略,很多账号在被发现从事违法犯罪行为之后,都会被限制权限或直接封禁,因此黑产人员也必须大量囤积账号,从而继续实施类似行为,“换一枪打一个地方”。

  除了薅羊毛,恶意注册和养号还可帮助黑产人员实现网络诈骗;刷粉、刷单等虚假流量行为;传播有害内容;广告营销等一系列污染互联网环境的行为。

  “几乎所有我们日常会用到的互联网平台,如电商、游戏、生活服务、社交等都无法避免恶意注册的出现。”门美子说。

  从手机号实名制入手,切断恶意源头

  在门美子看来,伴随实名制规则的落实和互联网行业安全防护措施的强化,恶意注册和养号黑产的技术门槛将会被进一步提升,相关活动的开展成本也会进一步增加。但是这种遍布于互联网世界的恶意行为很难被一步到位地铲除。

  “除行业本身严格落实实名制规则之外,更重要的是从注册流程的源头——手机号码的实名制入手,从根本上杜绝各种非实名的黑卡和人员信息登记与实际使用者不符的黑卡的流通,为互联网服务实名制提供基础保证。”门美子说,只有加强对各类通信卡号的控制和管理,真正全面落实实名制,才能切断恶意注册的源头。

  此外,还需强化公民个人信息的多维保护、增强识别恶意账号的安全保护措施等,多方共治、多管齐下。门美子表示,这要求严厉打击侵犯公民信息、公民信息不法交易等行为。互联网行业也要不断提升技术防护能力,清理存量恶意账号,防范各种“拖库”“撞库”等非法获取公民信息的行为。

  “培育和提升公民信息保护意识也很重要,比如提醒民众不要随意披露个人数据信息、在网购时注意保护隐私等。”门美子说。(崔爽)