文 | 字母榜,作者 | 谭宵寒

“微信在半小时之内封禁了3000万个微信号!”

7月2日,这个消息点燃了网络,社交媒体上一片哀嚎。微信随即辟谣,“大规模封号是假的,但重拳打击用外挂的违规号是真的。”腾讯方面近日也向字母榜表示微信打击外挂是常规行为。

微信大战黑灰产

3000万是假的,然而寄生于微信生态的黑灰产规模比3000万这个数字更为触目惊心。

黑产是指直接触犯国家法律的网络犯罪,包括境外赌博、色情传播、地下期货交易等等。6月,央视曾曝光过微信号地下交易,在洗钱、色情、赌博的下游,已经衍生出了一个下游专门对微信号进行美化的养号产业。

微信大战黑灰产

据央视新闻报道,广东警方破获的一处微信号商的工作室,房间里放着几百台正在养微信号的手机。这些手机都登录着微信,在无人操作的情况下,这些手机可以用预先设定的程序自动扫二维码添加好友,然后再自动发朋友圈。而注册微信号的手机验证码则来自于手机卡商,有些是代理商盗用他人身份办理的,有些是国外号。

网赚行业从业者张涛说,在博彩业,一种惯常的操作手法是,获取用户通讯录或直接购买微信号,在微信上他们往往用“菠菜”、“BC”等替代词规避敏感词,当然他们也会被举报,“反正已经营销过很多次的微信号本来也不太贵,能洗出多少人就洗多少。”而对于黑产背后更庞大的生态,数位被访者都讳莫如深。

灰产则游走在法律的模糊地带,至于明确的范围,数位被访者都表示界限难以完全清晰地划分。

微信官方提出过两种违规外挂行为,一类是各种噱头诱导用户直接下载使用的外挂,它包括一键转发朋友圈、红包外挂、Android模拟器、微信多开等,另一类则是利用群控技术开发的外挂,通常被包装成“微营销”神器,得以实现批量加好友、一键点赞、一键评论、定时群发,自动回复,自动聊天等控制功能。

电商行业从业者梁城向字母榜讲述了一年前盛行的微信外挂更改实时地址的诈骗手法——两个微信好友决定线下约会并谈好价格,但第一次见面难免不信任,双方约定共享地理位置,付钱方一看对方就在附近便放松警惕付了钱,“钱一转过来,人就消失了。”

2018年发布的《数字金融反欺诈白皮书》显示,2017年黑产从业人员超150万,年产值达千亿级别。

梁城透露,在灰产这行,年净利润能达到1个亿的公司俯拾即是,这样的公司往往也就靠着二三十人维持,有上百员工的公司已经算相当大规模的了,当然利润也更丰厚。“1个亿的收入水平都未必能排得进去行业top200,这个产业太大了。”

一位博主在微博描绘了驻扎在四线城市的社群运营场景。“30人规模的运营公司,一人一个格子间,一台电话,一台电脑,两个屏幕,左边屏幕上一个群控软件,右边屏幕聊天界面,乌压压的人挤在办公室里,墙上挂着打鸡血的横幅。上班交手机,没人摸鱼,一个月搞下来,一半的员工能拿到2W+。”一网友在这条微博下评论,“足够形象,我的公司就这样。”

1

群控行业从业者王锋告诉字母榜,微信发展之初,包括外挂等在内的黑灰产就已随之而来,2014年、2015年开始增多,近两年随着社交零售进入爆发期,黑灰产大量涌入微信生态,屡禁不止。

电商行业是最早对群控等外挂产生需求的行业。“流量太贵了。现在获取用户的成本已经从原来的几毛到几块,有的品类甚至要达到一两百块,还未必能让用户达成交易并长期复购。”刘帆说,商家会给客户发消息,如果加售后微信会送上红包或优惠券,“这随之带来的就是可以反复触达用户。”

梁城也说,这两年行业内都开始重视私域流量了。“以前流量获取成本低的时候,大家都看不上老客,运营老客是会提升复购率,但提升不多,从投产比的角度考虑,这并不划算。”但现在,流量价格逼着行业不得不重视老客。

“K12教育、金融服务、电商,都是使用群控软件的重灾区,一些线下公司也进来了,像餐饮、美容、生鲜行业。”在群控软件公司工作的刘帆说,这其中还包括一些上市公司,比如K12教育领域的公司,它需要流量战术,能及时地与客户互动。“可能同时骚扰1万个人,会有10个人能进入深度互动。”

据刘帆介绍,最早,商家使用群控是用来批量加好友,进行自动点赞、自动回复的互动,现在常用的功能之一是标签。比如在电商行业,终端会统一把客人消费次数、客单价标签化,购买力最强的一批人就是A类客户,当有促销活动开始,商家要做的就是把数百个微信号里的这些A类客户找出来,群发消息。

经常被使用的还有微信群的功能。商家会从各个微信群里不断把有购买力的人挑选出来,重新建新的微信群。在圈内,他们这种运营群的方式被叫做“洗群”、“换群”。“他们最终想要的结果就是,把所有能买商品的人找出来聚成一堆儿。”刘帆说。

“你还记得开心网、人人网是怎么衰落的吗?”王锋反问道。“就是平台上存在了大量机器人。”

王锋解释,在淘宝、京东这类电商平台,用户的主要目的是购物,对客服的需求是高效率地解决问题,但在社交平台,用户的底层需求是社交,而非购物。一旦机器人泛滥,将严重伤害平台的用户体验。“如果跟用户聊天的是始终是机器人,那用户与这个社交平台上的黏度会越来越低。”

而群控等外挂的出现也伴随着不良产业的发酵。据王锋透露,“黑五类”(药品、医疗器械、丰胸产品、减肥产品和增高产品)商家、网络博彩都是这次治理的重要目标。

2

微信对涉及黑灰产的外挂打击一直不遗余力。

2016年9月,部分微信公众号公开显示的阅读数突然出现断崖式下跌,阅读量刷量开始浮出水面。篡改微信功能的外挂,发布涉及“黑五类”广告的营销号、个人号,传播网络赌博的账号在这一次整治中都被大量封禁。

2017年中,淘宝客、微商成为被打击的对象。“平台上有广告没有问题,但程度一旦把握不到位,广告太多,就会出问题,用户就会流失。”王锋回忆,“广告太多了,而且广告也要以优质的内容呈现,而不是粗暴地推送。”

2018年初,据新榜报道,有大批微信公众号被封,原因疑似与低俗小说分销有关。下半年,打击仍在继续,梁城说,当时有很多软件都无法再使用了。

在很多行业从业者看来,今年7月的这一轮要更严格。“与以往常规性的打击相比,这次力度更大、面积更广、封号率也更高。”张涛说,“不管是群控,还是云控,全都遭了殃。”

王锋透露,从6月中旬,微信就已经开始打击违规外挂,但是适逢618大促,部分合规商家的运营也相对更频繁,可能有误伤行为,后又有部分商家解封。直到7月初,打击又开始了,网络上流传微信在半小时内封杀了3000万微信号,不过这一说法之后被微信官方辟谣。

3

外挂商家的生意越来越不好做了。

“从今年1月开始就不太好卖了。”说起群控软件遭遇的处境,刘帆说,“除非是那种需求非常强烈的商家会再去买,不是强需求的公司都会在观望着。”

“必须要有高毛利。”张涛总结依旧使用群控软件的商家的产品特点,如果不能达到30%、甚至50%的利润,一旦封号,损失惨重。“如果能通过钱买倒好了,微信号都是需要养的,那些加人、养号花出去的时间就都作废了。”

而在微博里的“微信超话”,解封微信号和卖微信号的,近期倒是活跃了起来。每一条含有“微信封号”字样的微博下,都有人排着队回复“解了没”、“私信解”,其中还夹杂着几个“别信、都是骗子”。

持续的打击也让微信号的价格水涨船高。梁城印象中规模最大的两次打击一次是去年9月、一次是今年7月,原来300块就可以买一组(6个)的账号,现在可能要花上几百块。

但这一轮的整治尚未反馈到价格水平上。“目前还没看到价格上涨。”梁城说,“但肯定会涨,池子里的号少了。一般来讲,出现大面积价格上涨的趋势,会滞后一个月左右。”

即便是仍在使用营销外挂的商家,相比去年,频次也有所降低。一是担心被封号,第二是频繁做活动也会流失客户。

一些公司开始引入真人操作,但成本大幅增加。刘帆总结,这些公司使用群控系统的目的是,在统一的管理下,让所有的个人号发出同样的信息,做同样的互动。即便微信不再让这些软件存在,对流量又迫切需求的商家又不愿意放弃微信聊天、微信群、微信朋友圈这些巨大的流量池,只能选择雇佣员工操作。

群控软件公司的生意也因此不好做了。“业绩确实会有影响,也有人放弃了。”刘帆说,这门生意就是跟着流量跑,当年从QQ跑到了微信,现在也会跑去抖音快手。

王锋认为,这次治理对行业自然是件好事。“这是腾讯对社交零售行业的重新定义。社交零售不是不可以做,但要有规范,原有的方式需要改变。”

“当然也有人坚持留守微信,要跟微信走技术对抗这条路。”刘帆说。

4

打击持续进行,但黑灰产并未消失。

腾讯天御是腾讯云旗下的一个反欺诈项目。今年618电商大促结束后,腾讯天御产品经理郭佳楠接受字母榜等媒体采访,介绍天御对电商公司的安全防御措施时,也介绍了一些黑灰产行业的运作机制。

“黑产比我们还努力,每天学习,持续提升自己,做各种各样的攻防手段。”郭佳楠说,如何进一步打击黑灰产,确实是越来越难了。

此前接受《中国证券报》采访时,志翔科技产品副总裁伍海桑曾表示,“近几年黑灰产的技术手段越来越强,形式也日益多样化,而且黑灰产绝大部分都面向云业务和移动应用等形态。传统的老三样安全产品——防火墙、入侵检测和防病毒已经不能解决问题,要有效治理黑灰产需要建立更科学、系统化的安全机制,并广泛应用大数据分析等手段来发现和解决问题。”

平台打击力度逐年加强,但黑灰产的手段也越来越高阶。

黑灰产最早的运作方式是假机、假人、假行为。他们会在自己的设备上装上模拟器,模拟1万个安卓手机频繁登陆。

后来是真机、假人。在名为“手机牧场”的架子上,黑灰产从业者们会布下几万台设备,这些微信号里活跃的可能就是“卖茶叶的小姑娘”,他们以固定的话术聊天,进行网络诈骗。

再向后是真机、真人、假行为。郭佳楠介绍,一些对手机不太了解的用户买完手机后,手机店小妹会帮忙预装一些软件,但安装的软件中有包括一些篡改渠道号的内容,当用户点击某个按钮,手机上的一些应用就会活跃一次。“这是比较高阶的做法。”

现在甚至还衍生出了真机、真人、真行为的手段。郭佳楠以借贷行业举例,以前的骗贷者是会伪造身份,验证过程中用3D视频模拟人脸攻破;腾讯发现了这一情况便进行系统攻防,引导用户完成眨眼、摇头、读数字的任务,并进行红外光攻防。

骗贷者发现伪装身份并不能赚钱,又发明了新手段。他们跑到农村,和村里的大妈们说,要带着她们免费去北京玩。一辆大巴就把大妈们拉到北京的旅游景点,但正式游玩之前,还要他们签一份游览合同,还要来了身份证。最后一站是整容医院,骗贷者们让大妈们躺在床上休息,并声称要为她们拍几张照片。

而整个过程,大妈们完全未意识到这是骗局,开开心心回家,直到两个月后,收到平台发出的自己已办理隆胸手术的医美分期短信才傻眼。当然隆胸手术是没做过的,而当时签下的游览合同实际上是医美分期合同。

“这整个链路,是真人、真机,字也是大妈真实签过的,所有的行为都是真实的,我该怎么防?”郭佳楠感叹。

黑灰产已经成为困扰互联网产业中几乎所有领域的普遍问题。

郭佳楠讲过一个案例。在网上存在着一个代叫车平台,当用户需要用车可在代叫平台发上一帖,注明出发地、目的地、手机号,帖子很快就会有人回复,称已经叫好了车。等用户上车,自会有人联系,只需要支付一半的车费给代叫车的人员。

它的原理是,这笔订单完成后,这个账号就被抛弃了,而购买这样的黑手机号,此前的成本是几分钱。最后的结果是,乘客省了一半车费,代叫车人员赚了一半车费,平台和司机蒙受损失。

今年1月20日凌晨,拼多多出现漏洞,用户可以随意领取100元无门槛券,且使用次数不受限制。这成了黑灰产的狂欢夜。到当日上午9点多,拼多多修复了BUG。其后,拼多多回应,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。

“大公司被薅走几千万可能不会对公司的发展造成太大影响,但很多初创公司在发展的初期亟需通过营销活动增加注册用户量,直接被薅走一大笔营销费用,收获的却是一大堆‘僵尸用户’,可能直接导致公司破产。”360-ADLab安全专家陈卓健曾向《中国证券报》表示。

魔高一尺,道高一丈,博弈仍未有穷期。

(文中张涛、刘帆、梁城、王锋为化名)