老账号买卖水涨船高，黑产上演黑吃黑

事情是这样的。

作为一名追星女孩（阿姨），宅妹看到一条转发送明星周边的微博，条件是热门转发前十名。点开转发量最多的几条微博，发现都是刷量玩家。

既然手动拼不过，宅妹准备从万能的某宝打听下机器刷转的价格。输入“微博”“转”“互动”这样的关键词，只检索出一家相关店铺，点进去与店主沟通时，店主称刷1000转发30元。

宅妹：不能便宜点吗？

店主：你要的多可以稍微便宜点，毕竟现在刷量也少了。

宅妹：这种刷出来的量会被系统删除吗？

店主：……删除了我给你补。

讲到这里，雷锋网编辑想起不久前懂懂笔记报道过一条新闻：最近好几个平台出台了新的规则：要注册一年，甚至两年以上的老账号评论，才能有相应的权重。如果用僵尸号、新号大量刷评论的话，有被封号、降权的风险。

搞刷量营生的跪了一大半，剩下一半火急火燎开始寻找老帐号。有需求就有市场，买卖老账号的玩家突然多了起来，俨然已形成新的产业。

老帐号买卖之起——平台大力解决机器刷评

有果必有因。

老账号变“香饽饽”背后是各大平台多年致力解决的机器刷量问题。

比如通过验证码、IP限制、账号限制、接口调用频次限制等措施，来对抗机器刷量；或者通过分析用户行为，用机器学习方式，分析正常用户进入一个网站，相应的点击时间、流程，从而找出行为有异的机器刷评行为；另外则是以判断设备唯一性的方式，通过设备的真伪去判断用户的真伪。设备是真实的，用户有可能是真实的；设备是假的，其后面的用户势必会有问题。

总之，能用的招式都用了，各大平台机器刷量现象的确减少了。但道高一尺魔高一丈，机器挂了还有人工，平台老账号的身价就这么涨起来了。

编辑朋友圈也有一位卖号玩家，业务范围相当广泛。

编辑向对方打听了某些平台老账号的价格，对方也直接，二话不说先把价格表发了一遍。

卖家：“要哪个，量多少？”

我：“微博达人号和贴吧七八级号，你有多少？”

卖家：“达人号暂时有几个，你要是需要的话可以再搞点。贴吧账号多。”

我：“这些号从哪来的呢？”

卖家“号都是自己养的。”

这些卖号者口中所谓自己养的号靠谱吗？

数字联盟联合创始人刘晶晶告诉雷锋网，一些黑产自称手中会有一些老账号，不排除黑产的确有一批养的老账号的可能性，但是这些号码一是比较稀有，二是就像黑名单一样存在着不可证伪性，且因黑灰色的特殊性和购买老账号的急切性，容易成为黑产的下手的目标，买号不成，反而造成金钱上的损失。

比如一些坐地起价的账号卖家，可能做的是空头支票，在收到买家转账后迅速拉黑对方。你以为这就是结局了吗，当然不是。骗钱是小，对方可能想要的是你一众账号密码个人资料。

具体操作可能是骗子在买家扫码付款的二维码中植入了病毒程序，使得买家在扫码支付后，跳转到别的网站，或者要求填写用户个人信息、点击别的链接甚至还要下载其他程序。更能神不知鬼不觉篡改、控制程序随设定地址自动下载并安装到用户的手机里，不仅可以实现远程操作用户的手机，并还能利用静默动作悄悄的盗走用户的密码、验证码，甚至支付钱包里的钱。

养号还是盗号？

实际上，买卖账号这条黑产一直存在。

“只是随着平台方风控/安全等级的提高，再加上各平台设定规则要求等情况，所以才出现对于老账号/真实账号的需求激增的现象。”刘晶晶说到。

黑产作为一条产业链，有明确的分工，上游主要依靠贩卖技术，中下游就是利用这些技术去诈骗和贩卖信息，一些敏感信息诸如身份证号码和身份证正反面等都能以几十元的成本买到，各类价值不一的账号等也是这些黑产的衍生物。

也就是说，有先见之明的卖号者远没有那么多，更多的是盗号者。

这些盗号者每天专盯着用户的注册账号，通过种种手段盗取个人的密码信息。随后再将账号卖给上文那位朋友圈卖家，在修改了密码和部分验证信息之后，账号就可以进行二次交易了。

“一般被盗的号，都是没有手机邮箱等验证绑定的，安全系数不高，用户想要申诉也难。”

写到这里编辑不由想起某同事吐槽微博被盗号，发布了奇奇怪怪的内容（见下图）。于是拍了拍她问为什么账号会被盗。

“密码太简单了呗。”

……

（宅宅对这位网安编辑投去一个意味深长的眼神）

目前的盗号技术主要是什么？

“常用的盗号技术基本上和前些年没有区别”，刘晶晶表示唯一不同是这些盗号手段的包装概念略有区别，比如最近会结合区块链概念，发起领糖果等链接，诱使用户填写个人信息，下载恶意APP或者插件等形式盗取用户账号及隐私信息。

针对平台，黑客常用的是“拖库”、“撞库”等盗号手段。对于用户，常用的盗号手段也不过“偷看”、“木马”、“记录键盘”和“欺诈信息”四大类。

如何保护被黑产花式套取的用户账号？

买卖老账号这阵妖风似乎给各大平台又出了一道难题，需要其采用更高的风控策略和技术。

一方面，对应平台的造假成本势必水涨船高，另一方面，黑灰色产业链也会向没有使用相应的风控技术的平台转移，其它的中小平台也会面临较大的风控风险。

另外，这条黑色产业链会给互联网公司以及整个行业带来巨大损失。

对于整个行业来说，黑灰产的泛滥，产生众多的虚假数据，不利于整个行业的健康有序发展。

对于平台来说，泛滥的虚假评论影响着真实用户的使用体验，将会导致用户群流失，随之而来的相关收入减少；众多刷屏的涉黄、涉政言论，也将平台推向风口浪尖，平台方要承担较大的监管风险；虚假账号泛滥、虚假评论泛滥，使平台无法或许真实的用户数据、使用数据，影响后续经营决策。

说了这么多，平台究竟应该如何保护被黑产花式套取的用户账号，加强自有数据安全管理？

这就需要提升平台数据和用户数据的安全性，从技术上保护用户数据安全。为此刘晶晶提出三点：

其一，在管理账号和数据安全上，一般平台都会架设专业的防火墙，对应用和数据库的恶意攻击采取有效的阻断。同时，网站之间的页面跳转以及数据传输都是通过数字加密技术来保证信息以及来源的安全性。

其二：做数据库审计也是很多企业的一个选择。除此之外，很多平台也会采取如规范数据库schema的权限设置，及时为操作系统和数据库打安全补丁，管理好系统权限，设置好防火墙等安全策略；

其三，目前平台采用抵御盗窃用户信息的防御方式主要为网关防护、终端防护和软件防护，而在实际应用中，软硬件相结合的防护方式，才能从根本上保护信息安全。这就需要提升安全攻与防的综合能力，做到较好的防范效果。

对小透明用户来说，养成良好的上网习惯，定期修改密码，不点击来历不明的文件或链接，不扫莫来历不明的二维码，基本上就可以避免被黑产盗号。

总之，被盗号是小，被骗钱是大。真诚建议，不要铤而走险，购买来历不明的账号。如果扫码支付后跳转到别的网站，或者要求填写用户个人信息、点击别的链接甚至还要下载其他程序，必须要提高警惕。

最最最重要的，别再设置那种是人人都能想到的密码了，比如123456，654321……如果实在想不出好的密码，请参考雷锋网文章——《黑客教你设置一亿年都破解不了的密码》。

参考来源：懂懂笔记