正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2020-06-03 12:07

死者复生的微博账号背后,是支撑流量市场的盗号灰产

本文来自微信公众号:跳海大院(ID:meerjump),作者:院办碳酸狗,头图来自:pixabay


微博盗号并不是什么新鲜事,但很少有人会深究盗号究竟会带来什么影响。


普通人对互联网安全无能为力,面对被盗号,只能选择加强密码防患未然、或者选择被盗号后坚持申诉,能找回就找回,找不回气上十天半个月也就只能作罢。


但对逝者而言,当他们账号被盗时,他们亲友为此感到的愤怒和悲痛,却会持续长达数月、甚至数年之久。


一方面是因为逝者账号本身包含着大量关于逝者生前的信息,是仅靠遗物或者遗物都无法弥补的回忆,另一方面,是盗号这个行为,打断了许多生者对逝者的哀悼。



在微博上,有位叫徐二水的博主在2013年去世,在那之后他母亲便为他专门注册了一个叫“二水——妈”的账号,用来在他最后一条微博评论下哀悼他。


二水母亲的微博没有简介,头像用的是儿子最后一条微博里拍的荷花,整整七年,在写下哀思前,她总会在文段前编辑三根蜡烛emoji,并在现实里同时点燃蜡烛——


“儿子,你知道吗,每当点亮蜡烛妈心里总是一片苦涩,透过烛光彷佛看到了你的笑脸,妈实在太想你了,最近妈病了躺在床上孤独无援,唯有一遍遍呼唤你的名字,真希望你能来给妈倒杯水喝。”



但讽刺的是,当二水母亲都只能注册小号在儿子微博下悼念的时候,却有灰产从业者直接盗走徐二水的微博账号,开始重新“日更微博”。


从2013年到2016年,盗号者整整发出去161条微博,更新频率一度比二水妈妈还快。往下连翻十来页都找不到曾经徐二水发出的半条微博。在外人看来,徐二水不过是一个系统随机生成名字的普通僵尸号而已:



那时二水妈妈还不知道微博有投诉机制,也不懂该怎么找回账号,虽然儿子被盗号,但也没说什么,依旧只是费力一点,默默去最早先的微博下哀悼。


直到2016年4月23日,因为徐二水的微博被识别成“僵尸号”,被新浪自动销号,所有微博清零,那天二水妈妈发了建账号以来的第一条原创微博:



发这条微博时,二水妈妈语气有些错乱,连续发了13个悲痛大哭的表情,对一个哀悼时发蜡烛都会点蜡烛的母亲而言,那一刻我相信她真的在泪流满面。


此时此刻,因为盗号的灰产从业者,她没地方可以继续哀悼儿子了。


对二水妈妈来说,当现实里处理掉二水的遗物后,微博便成了儿子留给她最后的遗物,成为了他与儿子在精神世界中,构筑紧密关系的新桥梁。


借助微博这个桥梁,二水妈妈可以跳出现实中儿子去世带来的悲痛泥潭,将自己解脱出来。在无数条悼念自白中开始理解自己,试图不再为给儿子无法实现的爱而困扰,而是将这份爱用来爱自己。



而盗号灰产把号盗走后,便等于是断掉了二水妈妈最后的念想,让她在网络世界中又一次失去了儿子。


还好最后在网友的帮助下,二水妈妈的微博账号最后又找了回来,二水妈妈又找回了自己唯一的慰籍。



在微博乃至整个网络社交平台中,徐二水这样被盗号的逝者并不是小概率事件。


随手键入#逝者 盗号#的tag,可以看到大把大把逝者账号被机器ai夺取,成为了漂浮在赛博网络中被灰产控制的幽灵,终日无法安息。





但不是每个人都能像二水妈妈那么幸运,能在朋友帮助下成功申诉回逝者的账号。


在微博缅怀逝者的人,多数都是逝者非亲非故的朋友,既没有逝者的手机号也没有身份证号,在微博找回账号严格的审核机制下,通过官方渠道找回账号难于上青天。


也有人尝试问过微博技术人员,在不申诉密码的情况下,能不能直接锁定账号,不许灰产继续更新微博,变相把账号保存为一个纪念标本呢?


答案是不行,在盗号这件事上,微博只能提供申诉or注销两个选择,无论选择哪一种,对生者来说都是创伤:



此时,想取回账号只剩下唯一一种方法,就是顺着僵尸号的关注列表找到灰产客户,继而联系到灰产卖家,找他们直接归还账号。


有人确实用这样的手段找回过逝者账号,但对尚未完成哀悼还处于悲痛中的生者而言,在处理好创伤前,他们根本没勇气去处理逝者账号这份“遗物”,更何谈直接和灰产卖家对线:


这又是另一个关于创伤的死循环


尽管如今盗号者的触角,往往只染指了那些籍籍无名的逝者。但谁又敢保证,未来某天像李文亮这类知名逝者的微博号,就不会被盗取,沦为某些人以血换钱的工具呢?


看到这,你可能会有一个疑惑:为什么灰产给客户贩卖僵尸粉时,一定要这么缺德通过盗号真人用户来完成交易呢?


直接注册上百个小号不香吗?



在搞清楚僵尸号为什么一定要盗真人账号前,我们需要先搞清楚这些盗走的真人账号,究竟都在为谁服务?


2009年微博刚开始兴起的时候,刷粉丝的主要都是些普通人,目的是为了多开游戏小号或者为了涨涨面子。


那时候僵尸粉很好辨认,它们id是乱码,内容头像粉丝都是三无账号,一眼就能看穿是机器号:



这些僵尸号由于太好识别,经常买1000粉最后只能活下来800~900个,剩下的很容易就被微博精准识别刷掉,但那时候买粉的人也不多,好多就为了图一乐,掉了也就掉了。


但又过了几年,微博上的流量经济开始日渐成熟,这时候开始涌现出了大批网红或者明星经纪公司,开始有指向性的通过购买僵尸粉来营销做数据——


而这些做出的数据,最终则流向资本市场里,服务于商业团体,成为谈判价格的筹码。


当僵尸粉成为谈判筹码时,它就需要具备三点:足够多,足够隐蔽,足够真实。想满足这三点,盗真人号是效率最高的手段。


首先,我们从数量讲起为什么盗真人号是灰产的首选刷粉手段。


在微博上,粉丝10万~5000万(或许更多)的网红世界,基本上就是一僵尸鱼塘,随手搜个#搞笑#tag,水分都不少:



早先的时候,微博为了识别出僵尸粉大V和活粉大V,引入了红V机制,只有账号活跃度达标才会点亮红V标志,一年如果刷粉超过三次,将被直接撤V。


但对灰产来说,这根本就不是事。


想识别一个账号是不是假网红特别简单,只要点进去看一下活跃粉丝排行榜,顺着和僵尸文学如出一辙的僵硬ID,就能瞧出一丝不对味:



点进去一看,果然是熟悉的微博配方,熟悉的僵尸粉。



在微博,这样的网红尸王并不少,有时候同一个经纪公司名下甚至同时会有十几个、二十几个假网红账号,并且让这些假网红账号抱团取暖,互相之间转发导流涨粉,实现僵尸王间的无性繁殖。



这个过程本质上就是滚雪球,小僵尸们汇聚成大僵尸,大僵尸们汇聚成僵尸联盟,而当僵尸联盟足够强大时,奇妙的事就发生了——


当你粉丝达到2000万~3000万时,按照微博的推送机制,你就会出现在更多的微博新用户自动关注列表当中,开始用脚收割真粉。


在微博冲浪的,几乎都见过一个叫“微博搞笑排行榜”的账号,不管你有没有关注它,它都会以推荐的手段无意间强奸你的timeline,看起来很牛逼,其实主页全是一张张糊逼聊天截图,里面问着在知乎800年前就被问烂的问题:



但这并不影响他靠这些糊逼内容,成为了微博坐拥5800万粉丝的网红,里面至少有一千万左右的粉丝是真人。


而这些真粉到底是怎么来的呢?是靠内容还是靠堆砌僵尸粉后,提高微博权重被导流的呢?这不用俺说你也懂。


这才是营销号的业界标杆,用脚年入1500w


难以想象网红市场对僵尸粉的需求量尚且如此大,明星转发做数据、影视行业打榜时又需要多少僵尸粉。


2020年,微博上究竟有多少僵尸号已经成了一大未解之谜,唯一能真切感受到的是僵尸粉似乎远比普通用户要多。


哪怕你从来不买粉,也不能阻止成百上千的僵尸粉主动来关注你,对社交孤儿来说,彷佛整个微博都是一座僵尸城,遇到活人全凭运气:


问完这个问题后,今年她的豆瓣也成了僵尸号


如此大基数的僵尸粉需求,光靠灰产一方去注册小号是远远不够的,这样的成本过高,且不切实际。


之前绍兴警方捣毁过一个灰产窝点,从里面搜出来700w张用来注册账号的手机黑卡,现场颇为壮观,据说这些黑卡使用完后都不会被丢弃,因为每一张卡的SIM卡中都含有微量黄金,由于黑卡太多,灰产只要保存下这批手机卡还能再赚一笔金价:



全国最大的窝点能搞到700w张手机卡,其他小的灰产作坊又能买来多少个手机号?哪怕算上虚拟手机号注册的微博(这个也需要成本),也远远填不上如今微博上僵尸号的供需链。


和现实里一样,靠工作赚不够大米时,如果还想吃大米怎么办?那就只有偷、借和抢这两条路了。


而那些万年没有号主登陆的微博小号们,自然就成了灰产们的首选目标。


这些“真人小号”有两点优势,一是成本低,二是隐蔽和真实性都比传统的僵尸号要好。唯数据论的资本家们虽然是脑瘫,但AI不是。


通过账号个体的活跃度,微博可以大概率识别出一些账号是否为僵尸号,被识别出后就会对这些账号给予隐藏或者折叠。


所以在刷数据时,经常会遇到一些尴尬的翻车现场,比如实际买了4000粉丝,系统只到账3000,剩下1000去直接被系统“自动过滤”,评论亦是如此,某博主刷了250+的评论,在系统过滤后,最终只留下了3条:



但盗取来的真人号被封禁率就会比较低,因为他们自带粉丝,头像,原创微博,本来就是活人。再加上程序每天帮这些真人号定时定点发微博,某种程度上说,这些精品真人号比某些真人还更像个人。


在同时具备成本和安全性两大优势后,盗号自然便成为了灰产生产僵尸号时的主要手段,当然,除此之外最重要的一点还有——



盗号本身并不是一件难事,没外人想的那么炫酷,灰产不是黑客,更不会带着V字仇杀队的面具干活。


那些吹牛逼说自己能潜入xx服务器窃取密码的都是骗子,几乎每天都有涉世未深的小朋友把零花钱打给所谓黑客,期待他们可以用键盘替自己收拾仇人,最后不但被骗一肚子火,还比仇人少了500元:



在盗号这块,灰产要大气得多,他们要盗就一次盗成百上千个号,要搞就直接巧取豪夺,绝不整什么偷鸡摸狗。


灰产盗号的主要手段是撞库,用通俗的解释,就是灰产手里可能掌握着你的qq密码和手机号,在不知道你支付宝密码的情况下,他会直接用你的手机号+qq密码登陆你的支付宝。


如果你恰好是一个通用多平台密码的倒霉蛋,这桩盗号生意就算是做成了。不仅是微博,这两年PUBG正火时,那些被盗拿来卖给挂逼的低价Steam吃鸡号,也是用撞库的手段盗的:

 

图源公众号@CSDN


至于灰产用来撞库的原始数据究竟是哪来的,原因有很多。


最常见的来源,是数据泄漏。国内的一些网站,自身安全系数比较低,遭受攻击的时候很容易直接泄露网站用户的账号密码,而这些被泄漏的账号密码,最终会流向两处:


被打包直接在黑市进行交易,或被发布在社工库中成为公开信息。


对数据而言,社工库本身算作是中立方,灰产可以拿他们干坏事,但普通人借助梯子,也可以直接爬去搜索自己的账号密码,看看自己是否已经泄露数据:


如果有的话,院办劝你早点换个密码,不然你可能就是灰产中的一部分


另一部分数据泄漏的来源则更加复杂,有些是网站内部监守自盗涉嫌违法犯罪,有的则可能是用户自己无意间泄露导致。


关于数据泄漏导致灰产撞库如此顺利的另一个原因,是国内对民间网络安全团体实在太不友好。


国内曾有一个叫做“乌云”的安全平台,当中一些网络安全大手被称作“白帽子”,会在发现某个网站出现数据泄漏及时反馈给网站方,提醒网站方及时修补,这样就能最大限度规避网络安全bug带来的公众数据泄露。


但白帽子这样的操作也有风险,毕竟想发现一个网站的bug就得先对网站进行攻击,好说话的公司或许会对此宽容甚至反过来奖励白帽子一笔奖金。


但对一些敏感的公司而言,白帽子的行为很容易被解读为“没事找事”甚至是“勒索”。2017年的时候,乌云上的dalao袁炜在向某婚恋网站提交42个漏洞讯息后,结果网站方在对漏洞进行修复后,第一时间便以“送礼物”为由,套出地址后逮捕了袁炜:



最终袁炜虽然被释放回到了家中,但经历此次风波后,乌云也随之关停,从此,中文互联网中便少了一支防御用户数据泄露的精锐部队。


关于整个事件中究竟谁对谁错,答案在每个人心中。


但事实便是在大环境对民间网络安全团体不友好、相关法律不健全的情况下,国内用户数据泄露已成常态,这既催生了灰产诞生,也便捷了灰产盗号。


如何能阻止灰产对普通人盗号?很难阻止。


因为如今普通用户的网络社交平台被盗号或被大量僵尸号侵占这事,并不仅是一个技术问题,而是一个需要上至资本价值观下至网络安全技术,甚至狗友们一起努力才能解决的问题。



我们每个人都会有去世的那一天,那些被我们注视被盗号的逝者不过是因为意外先行一步,可以遇见的是如果不能改善目前唯数据论的网络环境,当我们去世那天,恐怕也难逃成为网络幽灵的宿命。


对于这件事情,愤怒没有用,需要的是反思与改变。


如果不改变的话,恐怕等不到你去世后账号被盗成僵尸号的那一天,你就会先成为互联网僵尸。


前几天我开玩笑,和狗友说“你知道吗,在微博里,那些盗来的真人僵尸号因为天天发微博,人家在抽奖时会被微博直接判定为活跃用户,中奖率比你高多了。”


之前王思聪搞抽奖时,几乎没有一个男性中奖,对此微博官方给出的解释是“男性发微博少,会被判定为僵尸号”,微博上一度因此产生了男人不如狗的梗


我感慨在唯数据论的判定方式里,僵尸号越来越真人化,甚至他们写出的“僵尸诗歌”的文学水平别有一番韵味,比我这种滥俗诗人有想象力多了。


“在僵尸号越来越真人化后,通过批量低成本复制它们就能带来巨大的经济收益,到时候真人的存在对互联网还有意义吗?我们对互联网上对内容还有选择权与话语权吗?”


当我提出这个问题时,狗友反问我:“你以为如今网络世界只有僵尸真人化,没有真人僵尸化么?”说完,她给我发来一个关于微信比赛拉票的截图:


1分1票的微信人工投票真实存在,这些卖家与一些外包网站或者微信群直接对接,面向普通网民直接下达任务,帮忙投票系统自动就会在他们账户里+0.6分钱(扣除佣金),当数额满20或者10元时就可以提现。


另一边,微博上也经常有一些“免费看小说还能赚钱”的推送,点进去一看,基本上都是为用户下达每日的阅读任务,完成阅读就可以赚钱,但需要一定金额才能提现且每日收入不得超过1元,变相将真人变成了阅读僵尸:



在如今这个数据决定价值的互联网泥潭中,问题核心反而是真人越来越像僵尸怎么办?


当真人被逐渐僵尸化时,我们又有什么立场,还能手持什么武器,攻击那些灰产不把人当人看,肆意盗取逝者账号用于盈利的行为?


对唯数据论的灰产来说,他们根本就不知道自己盗走了逝者的账号,更不知道自己做了什么恶。甚至在一些灰产从业者眼里,自己更像是中文互联网上捡破烂的“清洁工”,不过是将那些低活跃低价值的“垃圾账号”杀死后回收,经过包装后再重新创造商业价值罢了。


只有当灰产盗号到逝者头上时,被触及道德底线后,我们才意识到那些被肆意掠夺的账号本质并非几行代码,而是有血有肉,值得被铭记的“人”。


面对灰产时,普通人想不被侵犯,就得时刻愤怒,时刻保持清醒,记住自己是活生生的人,警惕真人僵尸化,维权僵尸真人化。


不然等到2050年再幡然醒悟与灰产抗衡时,等到的将不过是一出《植物人大战僵尸》的黑色喜剧。


本文来自微信公众号:跳海大院(ID:meerjump),作者:院办碳酸狗

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: