社交平台上的“引流”黑色产业链：“假聊”获粉，精准割韭菜

导语：在得“流量”者得“市场”的价值观冲击下，“卖粉”也叫做“出粉”已成为恶意引流的常用伎俩。但凡有一个人走了捷径，众人都纷纷效仿，一而再再而三的践踏市场规则。

一、楔子

“加我微信吧。”还没聊上几句，对方就主动发出了邀请。

周五的酒局上，年过三旬的同事小懋笑谈到最近的一次“艳遇”。小懋是公司的运营人员，平时没事就喜欢逛逛各种社区和APP，发觉一些创意的小火花。最近新下载了一个社交APP，刚注册，就有头像软萌的小姐姐找上来聊天，还不止一个。

还有这等好事儿？

“哪有什么美女，做微商的。”小懋解释道。

毕竟在安全圈混迹了些时日，我们一听就明白过来，这是摊上“卖粉”的了。

在得“流量”者得“市场”的价值观冲击下，“卖粉”也叫做“出粉”已成为恶意引流的常用伎俩。但凡有一个人走了捷径，众人都纷纷效仿，一而再再而三的践踏市场规则。原本倚靠正规渠道宣传只能获得几百的流量，通过恶意引流能够达到成千上万，乃至上亿。
小懋此次际遇实乃“引流”黑色产业链的一隅，“引流”团伙的真实目的是将其作为粉丝，通过“假聊”的方式引流给需求方，最终进行割韭菜。

威胁猎人这篇报告将通过案例解读和监控数据分析，揭露社交平台背后的流量作弊行为：真人引流，带大家窥探互联网黑色产业背后的真人劳力。

二、买号+接单+派单+聊天，配合密切的“真人引流”

本着对黑灰产的强烈兴趣，回到家，猎人君按照小懋的提示马上下载并注册同款APP，性别设置，男。

果然，很快就有异性主动加我，还主动要求想和我做亲密朋友。

在随后的聊天中，对方告诉我，自己还是学生，喜欢成熟的异性，并开始给我亲昵称呼。

隔着网络的面纱，我们也不知道彼此的真实性别，该配合的演出猎人君只能尽力表演......

没多聊一会儿，对方表示，希望留个微信，之后能保持联系。猎人君同意了，并按照账号添加过去。可是，再回到APP继续打招呼，对方已没了回应。

我潜在APP里几天，尝试回复了多个“小姐姐”的聊天请求，不出所料都得到了相同的结果。

和以往接触到的刷量账号、水军账号不同，这次，猎人君能切实感受到账号的背后是一个个有血有肉的真人。

有人或许会疑问，在机器设备发达，百万流量伸手可触达的当下，怎么还有团伙傻乎乎地消耗人力获取流量。而在猎人君看来，这正是黑灰产的聪明之处。

由于机器设备操作高度依赖账号、IP地址和设备信息，是不是自然数据，平台通过设置风控策略就能监测出来。但真人作弊不一样，它通过人工操作的方式避开了机器批量访问时产生的非自然数据，混迹在真实用户中，就躲过了平台的对抗策略。

卖家老赵和他背后的人

老赵是猎人君前些日子认识的卖家，专业“卖粉”许多年。根据他的介绍，不同的“粉种”价格是不同的，比如，“色粉”售价2元/个，按照“遇男变女，遇女变男，遇同性变同性”原则进行“假聊”获取用户，之后怎么转化就看买家需求了。不难想象，这些用户轻则进到微商营销群，重则可能会被拉入色情服务、卖茶叶等诈骗局。

老赵说，除此之外，还有“博彩粉”“美妆粉”“兼职粉”等不同类型的收费。

“这些我们都是用固定话术聊来的，保证精准引流，你只要告诉我们需要哪一类的粉种。”老赵继续介绍到。

和老赵聊过一段时间后，猎人君开始了解到他在“出粉”交易中扮演的角色：接单员，说是客服和推广员也可以，由他对接买家。

有过线上购物经验的朋友都知道，一套完整的购物流程包括：下单、接单、派单、出货。引流服务其实也是这样。

据威胁猎人的长期监控和深入分析，像老赵这样的“卖家”并不真正意义上的卖家，只是整套服务的一环。在他的后面，还有人员整理订单，根据订单需求分派任务，我们称之为“指派员”，然后由他手下的“聊手”接受任务前往平台“假聊”。

每个“指派员”手里都管理着几十个满员的“假聊”群，他们在接到订单之后会通过群聊下发任务——派单，然后群里的“聊手”会根据自己能力“接单”。

在任务执行过程中，用户成功添加微商的微信或其他联系方式，才算完成一次引流。因此，“聊手”在“假聊”过程中会反复跟对方确认加没加好友，就是在确认人头，对方回复加了，他就可以截图作为凭据结算酬劳。

猎人君按照提示对群聊进行了搜索，果然发现许多提供服务的“假聊”群，随便加了几个，过一些时候，就开始有人发布招“聊手”的小广告或者群公告。

在整个“假聊”过程中，人工聊是必备的，机聊也是不可缺少的环节。“聊手”先编辑好打招呼的套话，然后利用自动化脚本进行机聊群发，当有用户回复消息后，接入人工进行聊天。

三、账号始终是恶意行为的源头

近两年，威胁猎人帮助了多家社交平台处理了黑灰产作恶行为。我们通过自己的情报系统追溯过恶意账号的来源，发现了“引流”相关的其他团伙，他们长期保持了合作关系，比如提供账号的“号商”，提供工具支持的“工具开发者”等。

顺着这条利益链一路回溯，威胁猎人发现，账号始终是恶意行为的源头。不管黑灰产攻击手段如何升级，规模如何庞大，都离不开账号的支持。上游的卡商源源不断的提供手机号，号商在不同平台完成注册后，售卖给下游黑灰产团伙用于刷量、引流、薅羊毛等非法获利行为。

我们对恶意注册量占比最大的社交类APP进行了统计，这些平台是当前黑灰产攻击的主要目标，以下为统计排名情况：

威胁猎人安全技术人员认为，社交类APP作恶盈利模式靠量取胜，所以降低攻击者的量化能力是对抗的重点。由于每个账号可以发送的消息数量和质量，会影响“出粉”的转化率，直接影响收益。

因此，通过识别恶意账号，并对不同恶意等级的攻击行为配置策略，可以对账号进行：

* 直接打击：针对平台上恶意等级高的注册账号，直接实施账号冻结、永久封号的处理方式，净化平台生态安全；
* 延后打击：延后打击是混淆风控策略的一种方式，能够延长黑灰产团伙测试和识别出风控规则的时间，延长风控策略的有效性；
* 降权打击：对疑似恶意注册的账号进行降权，通过屏蔽发送信息、限制消息发送条数等的方式，防止恶意行为的再发生

当收益低于或只略高于攻击成本，加上黑产的运营成本和精力，在这个平台进行攻击将会变成一件不划算的事情，有时比技术上严防死守带来的降低攻击的效果要好。

此外，道高一尺魔高一丈，不论平台在源头布施多高的防线，都难免会有漏网之鱼。对于已潜入平台的黑灰产账号，通过接入内容安全审核体系，能够鉴别账号产生的内容：文本，图片，视频，音频，判定账号违规行为并进行处理。在“引流”团伙作恶的当下制止恶意行为的进一步恶化。