当前短视频平台仍处于快速增长期，不断有新的平台涌入市场，并且同质化较低，各个平台定位、内容和目标群体之间仍存在差异化的竞争。但对于黑灰产从业人员而言，一套产业链模式就可以复刻在任何一个短视频平台。当对旧平台的攻防成本日渐增高，对于黑灰产从业人员而言，新生代的短视频平台更像是“雪中送炭”。因此，不仅要对已存在的产业链模式深入了解，更应该去深追其背后黑产从业人员的角色定位，只有了解之后才能对衍生的新增产业链加以控防。

黑灰产链条定义

业务术语

（1）引流：将短视频平台用户转到其他利于变现平台，包括但不限于微信、QQ。

（2）刷量：对短视频相关业务，采取作弊手段（刷作品播放量、刷粉丝、刷人气、刷赞等）。

（3）批量注册：利用改机工具，刷新设备指纹达到单部手机的复用，进而批量注册短视频平台账号。

行话/黑话

（1）接码平台：提供手机号，获取注册，解封，换绑短信的验证码平台。

（2）猫池：猫池厂家负责生产猫池设备，并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备，在正常行业也有广泛应用，如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。

（3）改机工具：刷新设备指纹，解决单台设备注册上限的问题。

（4）卡商：卡商指通过各种渠道（如开皮包公司、与代理商打通关系等）从运营商或者代理商那里办理大量手机卡，通过加价转卖下游卡商赚取利润的货源持有者。

（5）养号：将批量注册的小号，不断发作品，关注用户，修改头像，主要目的是为了降低账号被封的概率。

（6）白号：指接入接码平台直接用手机号注册的账号，也称直登号。

（7）跳转号：指适用qq号或者微博快捷登陆后，激活绑定转换而成的号码。

（8）直播号：开了直播权限，以及实验室有锁、无锁的账号

（9）单双参号：指除账号密码携带其他参数的账号，一般用作于刷量。

（10）活粉：带有作品，个签，个人头像，模拟真实用户操作的一批账号。

（11）死粉：又称僵尸粉，这类账号，只是带有简单的个签和个人头像，账号活跃度低。

（12）刷粉：短时间内提高账号的粉丝数量。

（13）出粉：将个人无法消耗的人气流量，以交易“人头数”的形式，获取报酬。

（13）协议：通过通信协议进行，直接模拟接口通信进行攻击的工具。

情报术语

（1）开源情报：通过对公开的信息进行深度的挖掘分析，确认具体的威胁或事件，从而直接指导这些威胁或事件的具体决策和行动。

（2）闭源情报：通过对内部平台所监控到信息进行深度的挖掘分析，确认具体的威胁和事件，从而直接指导这些威胁或事件的具体决策和行动。

（3）工具情报：通过对黑灰产工具做深入的逆向分析，了解其攻击原理和攻击方式方法，然后通过聚类以及关联分析的方式挖掘出这个工具背后一系列的黑色产业链、黑产团伙、攻击目标和变种工具等等，从而描绘出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态，还原攻击特征迭代风控规则。

产业链上游及相关角色

产业链上游根据中游和下游的需求，生产和提供各类黑灰产资源。其主要相关角色包括：

1）工具开发者：开发各类黑灰产工具，具备一定的研发能力，大多使用Python、Lua、易语言，有较强的反侦查能力，大多有固定的中游销售渠道，多为兼职。

2）卡源卡商：多以正常业务为幌子，通过各种渠道从运营商或代理商获取手机卡资源向接码平台、号商等出售，并定期回收销号。其提供的手机卡按类型可分为：虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。

3）猫池厂商：向接码平台提供猫池设备，可分为2G、3G、4G猫池。

4）号商：大量注册平台账号，并以人工或工具方式养号，借助账号代售平台出售账号。

5）黑客：通过技术或社会工程学手段发起攻击，多以窃取用户数据为主要目的，再通过地下黑市出售。

产业链中游及相关角色

产业链中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售，多以各类平台或服务的形式存在。其主要相关角色包括：

1）接码平台：负责连接卡商和羊毛党、号商等有手机验证码需求的群体，提供软件支持、 业务结算等平台服务，通过业务分成获利

2）打码平台：为软件开发者、工作室、普通用户提供即时、精准的图片识别答题服务，通过识别验证码服务获利。

3）帐号代售平台：对工作室、普通用户提供相对应需求的账号，通过抽取相对应的佣金获利。

3）工具代售平台：对工作室、普通用户提供解决刷量需求的工具，通过抽取相对应的佣金获利。

4）地下黑市：相关的黑灰产业群、论坛，为工作室、普通用户提供一个需求解决场所。

产业链下游及相关角色

产业链下游负责直接执行黑灰产行为，多以工作室形式存在。其主要相关角色包括：

1）刷量工作室：通过解决普通用户的刷量需求获利。

2）引流工作室：解决客户的需求短时间内将大量快手用户引向其他平台，对引流人数和引向的平台设置不同的门槛，抽取佣金。

3）主播工作室：主要服务于高人气主播，利用相关工具刷人气短时间内吸引其他用户观看，通过假聊工具营造人气火爆的场景。

以账号为核心的黑灰产业链

核心产业链一：虚假注册

参考钻石模型，我们对虚假注册产业链的运转模式做出如下分析：

3.1.1.1．攻击者：开发者团队

1）主要操作：通过出售批量注册、自动养号脚本；通过出售改机工具；通过售卖云控平台使用权获利。

2）主要交易渠道：QQ群、微信群、论坛、Telegram群，自建相关站点。

3.1.1.2.能力/功能：相关黑灰产工具

1. 注册、养号脚本：大多使用Python、Lua、易语言编写，受制于各大短视频公司业务调整，生存周期不确定。注册类脚本售价2000元/年、养号类脚本售价1500元/年。

2. 改机工具：主要负责更改手机串号,更改手机型号,更改MAC地址,更改无线网络参数,模拟SIM卡参数,模拟手机运营商,更改手机号等等几百项手机参数。典型的有：nzt改机工具 、xx抹机，售价约为300元/年。

3. 群控、云控平台：主要负责让连接的多部手机根据既定脚本批量执行操作。典型的有：触动云控、侠客手机群控，售价约为38元/台/年。

3.1.1.3.基础设施：QQ群、微信群、论坛、Telegram群

3.1.1.4.受害者：短视频平台

账号注册环节主要针对虚假注册等业务，虚假注册操作流程主要依靠云控平台、批量注册脚本的开发者、接码平台。通过目前已捕获的注册脚本，我们发现虚假注册的流程和去年相比无明显变化。通过运行批量注册脚本、调用接码平台短信验证码API接口完成账号注册，最终本地生成一个.txt文件（包含手机号、密码、手机参数）。

3.1.2. 核心产业链二：账号售卖

3.1.2.1 攻击者：号商

1. 主要操作：通过直接出售账号给普通用户；通过批量出售账号给刷量工作室或相关代售账号代售平台代为出售赚取利益。

2）主要交易渠道：QQ群、微信群、论坛、Telegram群，以及自建或第三方的账号代售平台。

3.1.2.2.能力/功能：账号

1. 老号：通过自动化批量注册工具产出的账号，再有过一段时间养号行为的账号。这类账号通常附带一些作品，对于平台而言老号具有一定的权重性。老号的类型包括但不限于nzt工具产出、批量注册机产出、跳转号形式。
2. 跳转号：指使用QQ号或者微博快捷登录后，激活绑定（利用接码平台绑定业务）而转化而成的平台账号。这里使用的QQ和微博号多数通过批量注册工具产出，在原平台不具备用户影响力。被用作授权其他平台，购买成本仅几分钱。
3. 白号：也称为直登号，指接入接码平台直接用手机号注册的账号，通过导入头像和昵称可以批量注册。
4. 单双参号：指携带参数的账号（包括但不限于手机型号、网络状态、安卓版本、登入token），适用于刷粉、刷量挂人气工具。

3.1.2.3.基础设施：相关黑灰产群、论坛 、刷量工作室

1. 相关黑灰产群：通过群内散发大量出售账号信息，内容大概以：账号类型+价格、账号类型+账号代售平台链接。
2. 工具售卖工作室：指售卖工作室自产的工具或开发者人员交由工作室代售的工具，这类刷量工具需要倚靠大量小号完成刷量任务。

3.1.2.4.受害者：短视频相关业务、正常用户

1. 被批量注册的小号，在养号过程中产生的低俗信息，很大程度上影响了正常用户的软件使用体验。
2. 通过小号刷量的作弊行为更是对其他原创视频作者的伤害，影响正常用户对短视频平台公平性的判断。

3.1.3. 衍生产业链一：批量养号

参考钻石模型，我们对批量养号产业链的运转模式做出如下分析：

3.1.3.1攻击者：号商

1）主要操作：通过接码平台实现账号批量注册和过短信验证；通过短视频提取工具获得批量短视频作品资源；通过云控/群控平台批量模拟正常用户信息；通过刷量工具刷粉养号；对外出售养好的账号。

2）主要交易渠道：QQ群、微信群、论坛、Telegram群，以及自建或第三方的账号代售平台。

3）成本估算：1-2元

4）盈利估算：老号4-6元，白号2-3元。

5）交易规模：暂无相关数据可统计交易规模。

3.1.3.2.能力/功能：账号

1）老号：批量注册的账号经过养号一段时间售出（可直登、用于工具刷量），在2018年07月间监测到快手老号售价约为5-7元。

2）白号：近期内批量注册的账号（可直登账号）。

3）直播实名号：已开通直播权限并且实名认证的账号。

4）直播非实名号：已开通直播权限但未实名认证的账号。

5）跳转号：通过QQ、微博注册的相关账号，通过绑定手机生成（可直登）。

3.1.3.3.基础设施：接码平台、云控/群控平台、改机工具、代理IP池、批量注册脚本

1）接码平台：主要负责提供大量手机号码注册账号，接码平台很多，活跃的有数十家，比较知名的有：Thewolf、星辰、爱乐赞、玉米（现“菜众享”）等，其中Thewolf和星辰可以接语音验证码。：

2）云控/群控平台：主要负责让连接的多部手机根据既定脚本批量执行操作。典型的有：触动云控、侠客手机群控，成本约为38元/台/年。

3）改机工具：主要负责更改手机串号,更改手机型号,更改MAC地址,更改无线网络参数,模拟SIM卡参数,模拟手机运营商,更改手机号等等几百项手机参数。典型的有：nzt改机工具 、xx抹机，成本约为300元/年。

4）代理IP池：主要负责提供IP批量注册账号，典型的有：蘑菇代理、站大爷、蚂蚁代理，成本约为4000-5000元/年。

5）批量注册脚本：主要负责自动化批量注册账号，通常和云控平台搭配使用，在云控平台管理手机，对勾选的设备一键运行设定好的脚本，自动打开短视频app注册账号。

3.1.3.4.受害者/目标：正常用户、短视频平台

1. 号商养号过程中，产生的低俗信息影响正常用户的使用体验。
2. 批量注册的账号，经过养号行为之后，账号本身具备一定的权重，这类账号大量被用于刷量、引流可能会给短视频平台带来不良舆论。

3.1.4. 衍生产业链二：虚假认证

3.1.4.1 攻击者：提单平台

通过平台提单的模式，仅需提供手机号、密码即可。

3.1.4.2 功能/能力：账号实名认证、直播代开

3.1.4.3 基础设施：身份证、企业相关信息

提供身份证、企业相关信息用于各种账号类型的认证。认证加V的形式则提供相应的新浪微博会员认证和头条用户认证。

3.1.4.4 受害者：普通用户

认证号是被平台审核通过，具备真实信息备案的账号。相比其他原创作者账号，这类账号更容易吸收海量人气，引流难度远低于普通账号。被引流的普通用户会被带入各种诈骗模式，除去常见的苹果手机低卖的模式，还有被引流到后续连环诈骗的可能。

3.2. 以流量为核心的黑灰产业链

3.2.1. 核心产业链一：引流（向外）

参考钻石模型，我们对虚假注册产业链的运转模式做出如下分析：

3.2.1.1攻击者：需求用户

1. 主要操作：

1. 提交需求交由相对应的引流工作室，短时间内引入大量自有业务的适配人员；
2. 通过使用相关的人气带挂工具，在直播时通过发起编辑好的假聊内容诱使用户引入相关平台；
3. 通过伪造的认证信息短时间获取大量人气流量，通过作品引流到相关变现平台;
4. 通过视频解析软件，盗取人气高的作品伪装自产作品，截取人气流量，通过二次编辑的作品引流至其他平台；

2）主要交易渠道：QQ群、微信群、论坛、Telegram群，以及自建或第三方的刷单业务平台。

3.2.1.2 能力/功能：精准引流、出粉

1. 短时间满足客户的流量需求，对客户自有业务吸收一批适配的人员流量。
2. 对于自身无法消耗的人气流量，以交易自养的微信群、QQ群为主，这类交易售价针对群人头数设置不同价位，完成出粉的目的。

3.2.1.3 基础设施：引流喊话工具、评论置顶工具

3.2.1.4 受害者：短视频平台、原创作者、正常用户

1. 引流可能导致短视频平台固有的正常用户流失，同时被引入的平台可能涉及违法犯罪活动，会对短视频平台本身造成不良舆论。
2. 被盗取的原创视频，对原创作者而言截取的不仅仅是人气流量，更多的是对作品的原创性热枕下降。
3. 低劣、恶俗的引流模式中涉及的话术，可能引起正常用户的软件体验，对平台本身监管垃圾信息存在质疑。

3.2.2. 核心产业链二：刷量（向内）

参考钻石模型，我们对虚假注册产业链的运转模式做出如下分析：

3.2.1.1攻击者：普通用户、刷量工作室

1. 主要操作：通过向工作室或相关刷量平台提交刷量任务；通过使用刷量工具进行刷量任务。

3.2.1.2 能力/功能：涨粉丝、提高作品播放量

3.2.1.3 基础设施：刷量工具、人气代挂工具

1. 刷作品播放：通过导入小号文本中的账号，并对作品本身连接提取用户ID下发任务，调用小号进行访问作品，完成刷播放任务
2. 人气代挂工具：通过调用工具里的小号文件中的单双参数，按调整的频率依次挂入直播间。工具功能包括但不限于对送礼用户自动点关注、自动回复感谢、假聊（设定大量不同的文字内容，通过工具发出）。

3.2.1.4 受害者：短视频业务

刷量业务不仅仅针对短视频行业，刷量背后的是一批以刷为生的游走法律边缘的不法分子。

1. 刷量对短视频公司而言除去海量的接口攻击之外，带来的更多是催生其他黑灰产业的成长（包括但不限于号商、开发者人员）。
2. 其他原创作者和短视频平台是刷量业务造成伤害的承载者。通过刷量短时间可以使得作品内容被推上热搜，但真正能长期吸粉的主要因素应该是优质的作品内容。

3.2.3. 衍生产业链一：视频解析

3.2.3.1 攻击者：开发者人员、号商

1. 视频解析工具的作用是采集并下载无水印的原创作品。
2. 视频解析工具，可以帮助号商养号期间的作品内容填充，降低账号被封的概率。
3. 高质量的原创作品盗用可以应用于其他平台，用来蕴养一个热门账号。

3.2.3.2功能/能力：视频采集、去水印

3.2.3.3基础设施：自建站点、采集工具

1. 通过搭建第三方站点，通过作品的链接下载原创作品。
2. 通过采集工具，可以获取热门作品的播放次数、点赞次数达到筛选优质作品的目的。

3.2.3.4 受害者：原创作者

1. 高质量的原创作品往往会吸收大量的粉丝，盗用作品往往可以截取原创作者的粉丝收益。
2. 原创作者面对作品的盗用，往往会怀疑平台的公平性，或是对内容原创的热枕降低。

3.2.4. 衍生产业链一：教程售卖

3.2.4.1 攻击者：开发者人员、号商

1. 主要操作：通过对养号行为存活率高的账号总结一套高存活养号流程；通过对引流市场引流技术的汇总出一套热门引流技术；通过对小号的个签修改归纳出一套存活度高的话术；通过总结已有可信的账号售卖渠道出一套信息汇总。
2. 主要交易渠道：QQ群、微信群、论坛，以及自建站点。

3.2.4.2功能/能力：热门、存活度高

1. 热门：提供相对应快速上热门且小概率被封号的教程。
2. 存活度高：存活度是售卖教程的另一大特色，也是突出点。

3.2.4.3 基础设施：黑灰产业群，自建站点

1. 黑灰产业群：通过监控，热门教程词汇成为仅次于刷量，刷粉、引流的高频词汇。
2. 自建站点：以研究流量走向，出售热门教程为主的自建网站。该类站点售出教程涉及广泛，依附于目前流量火爆的平台。如快手、陌陌、微信、抖音、QQ不等。

3.2.4.4 受害者：短视频平台

1. 热门教程短时间内可以给售卖者提供大量资金，用于小号的产出。
2. 教程适用范围广，同时也提供相应的素材包内容。大大提降低了入门的门槛，加大了黑灰产从业人员数量。

上半年度总体风险评价

短视频在上半年度（2018年）的总体风险评价为： 高 。

1 ）账号类产业链风险：高

产业链数量：新增虚假认证、精准引流

产业链规模：上升

产业链成本：下降

2 ）流量类产业链风险：高

产业链数量：新增刷量提单平台

产业链规模：上升

产业链成本：下降

完整报告下载