VC必看|黑客是如何薅初创公司羊毛的

热钱涌入，互联网创业热火朝天，为了吸引用户许多互联网公司投入大量资金奖励用户注册，于是就滋养一批专门赚挣这个钱的人，人赠雅号“薅羊毛”的。在第二届乌云白帽子大会上，一位乌云的白帽子介绍了黑客是如何薅初创公司羊毛这一问题。

薅羊毛的核心——积少成多

所谓薅羊毛大意是指利用许多互联网公司注册就送现金奖励这点，重复大规模注册账号骗取奖励。通常奖励十几二十块钱，也许你觉得十块八块的不多，但是挡不住积少成多，如今网上有许多社区中发布大量的薅羊毛信息，在一些人眼里许多初创公司都是他们眼里的长满毛儿的羊，这些“羊”还包括各种金融网站，甚至银行都是受害者，而“薅羊毛”的人获利丰厚。

一个典型的真实案例就是苏宁的一次遭遇，苏宁一次活动失误，被不知名人士下了1.7万订单，苏宁方面损失惨重，回过头来许多人开始好奇，那次活动必须要验证手机号，为什么能在短时间内下那么多订单呢，当你了解到薅羊毛这一系列问题后就明白过来了。

成熟的薅羊毛产业

网上有许多成熟的薅羊毛网站，网站上罗列的项目非常多，而且更新非常快，从这位黑客在大会现场演示中看到，其中规模较大的网站的业务范围非常多广，包括小米米聊，淘宝，支付宝手机注册绑定，QQ注册，微信注册，这些网站可以接收这么多公司发送的验证码，进行账号注册以及随后的各种操作，这或许也是小米手机难抢的一个原因吧。

现场黑客还专门找出来一家网站做了介绍，这家网站非常成熟，居然有各种客户端，甚至还对外还开放了API接口，功能强大，而且据说安全措施做得还很好，没有明显的漏洞，比许多初创公司做得要好。而且这家网站的项目平台覆盖广泛，包括苏宁、一号店、百度、乐视、美团，京东绑定注册等，总过可以接收一万两千种手机验证码。这些都是真实可用的吗?

现场演示薅羊毛

注册：黑客还在现场演示了注册大众点评账号的视频。首先，在“羊”平台上操作填写手机号码，获取手机校验码，然后注册成功，全程一分钟，这个完全可以自动化完成，按照黑客所说的“注册的过程就是一个数据包的事情”，言外之意就是完全可以自动化大规模进行，只要你有足够的手机号来接收验证码。

套钱：以某网络金融理财的公司为例，这家公司举行注册赠送2000体验金的活动，通过推广链接注册的人会再次赠送2000的体验金的活动。虽然不能提现，但是可以在平台上投资换取回报，黑客反复使用一个推广链接注册，很快就能拿到好几万的投资金额，如果将这一过程自动化完成，被多人利用的话，平台无疑将遭受非常巨大的损失，后果非常严重。只要你有足够的手机号来接收验证码，这一切真的可行。

手握大量手机卡接收各种验证码

目前国内有比较大的短信平台有五六家，一家十多万，这些平台哪里来的几十万上百万可以正常使用的手机号呢?而且多个手机号挤在一起信号质量也很难保证，这个问题又是怎么解决的呢?

一台插满卡，摆满信号天线的猫池

原来，他们使用一种叫做猫池的东西，上面有很多小天线，下面有SIM卡，一个盒子可以插几十张上百张的卡，通过电脑操作接受验证码发送短信，非常方便。为了解决多个手机号聚在一起造成的信号差的问题，他们把这些卡分布在全国各地。现场的黑客用一些手段调查后发现，禁用了三天时间就抓取到近14万这样的手机号，可见规模之大。有趣的是，现场的黑客查询归属地后发现，广州深圳东莞三地最多。

这些猫池位于灰色地带，因为现行中国法律并没有这方面的条文，新闻报道上有人因为用几万张黑卡从事短信诈骗而遭查处，但如果不直接从事诈骗，使用这类产品便不属于违法行为，但我们似乎又找不到这类产品的合法用途。

根源在于三大运营商

这些手机卡又是从何而来呢?这又牵涉到另外一个地下产业叫做手机黑卡，卡的最终来源很明确，就是三大运营商，这些卡都是未实名认证或者被别人实名认证的，为了规避一些麻烦，通常使用过程中认证人和卡的使用地不在一个地区，许多正常使用的卡其实都已经被用来注册过多个账号，以次来争取利益链的最大化。很明显，这个过程中电信运营商跟这些有很大关系，以至于这也成为了一个大的产业。

手机号来校验账户安全是现在很常见的做法，通常通过运营商短信来进行校验比直接识别图片类型的验证码更简单方便，看似更加安全有保障的手机验证码因为手机号的问题给许多互联网公司带来了许多看不见又确实存在的损失。如果不从根源解决这些问题，建立各种法律制度这一问题还将继续持续下去。