在雙十一等電商活動中，狂歡的不僅僅是消費者、商戶和電商平臺，還有那些善于從平臺推出的優惠活動中獲利的“羊毛黨”們。

根據阿里巴巴發布的《阿里聚安全2016年報》，在2016年的各種互聯網業務活動中，缺少安全防范的紅包或促銷活動，都被羊毛黨以機器或者小號的方式將讓利產品搶到手中，并通過高價格售出等形式賺取差價。

“基本70%-80%的促銷優惠會被羊毛黨薅走。”這份報告的統計如是顯示。

事實上，在“徐玉玉事件”后，有關部門對于手機實名制的監管已經進一步收緊。2016年5月，工信部發布通知，要求各運營商進一步做好電話用戶真實身份信息登記工作，確保在2016年12月31日前本企業全部電話用戶實名率達到95%以上，2017年6月30日前全部電話用戶實現實名登記。

從表面上看，相關法律的出臺限制了羊毛黨的生存空間。在互聯網黑產的鏈條之中，手機SIM卡一直扮演著重要的角色——通過對大量手機SIM卡的批量操作，羊毛黨們在獲取相關活動優惠時擁有了更高的中獎幾率。

因此，監管的收緊意味著這些黑產從業者們無法再像過往一樣無節制地申請手機卡，來實現在各大互聯網業務活動“薅羊毛”的目的。

不過，實名制監管收緊似乎沒有給羊毛黨帶來太多的限制。在不同的平臺上，他們掠奪商家讓利的身影依然隨處可見。因為在手機SIM卡之外，羊毛黨們已經找到了物聯網卡這一新的載體，來繼續他們的“事業”。

 

1

 

“在目前的互聯網黑產之中，用到手機卡的部分里，大概有80%都是物聯網卡。” 信息安全咨詢公司“威脅獵人”的COO朱科錠告訴界面新聞記者。“威脅獵人”是一家專注于幫助企業防范和解決羊毛黨、惡意注冊、撞庫攻擊等安全威脅的企業。

目前業內尚沒有關于物聯網卡的官方定義。更多的時候，物聯網卡指的是一種沒有語音通話和短信功能，只能提供流量上網功能的SIM卡。

由于這種特性，物聯網卡更多被應用在物聯網設備之中，比如智能水表、智能電表等。通過嵌入物聯網卡，不同的設備之間可以實現數據的相互連通。

這一兩年處于“熱點”的共享單車，是物聯網卡應用最多的領域之一。通過物聯網卡的內嵌，用戶可以實時獲取到自己賬號匹配的單車使用狀態，比如是否成功鎖車等等。在今年5月，摩拜單車宣布與四川移動達成戰略合作，將在年內訂購四川移動下發的100萬張物聯網卡。

但是，界面新聞記者了解到，雖然名義上物聯網卡沒有語音通話和短信功能，但通過一定的改動，這些功能都可以被添加進卡中。

對此，中國電信的一名前員工小文（化名）解釋稱，物聯卡本質是一個數據通道，可以通過自己解碼來實現不同的功能。比如說，打開了短信功能的卡，就可以被稱為“注冊卡”；打開了語音功能的卡，就被稱為“語音卡”。

不過，來自中國移動的運營商人士強調，開通其他功能，只有通過運營商內部的操作系統才能進行，這個過程一般不會對私人開放。“例如微信，所使用的還是基于互聯網所實現的短信和語音功能，并不意味著手機卡就帶有這些功能。”該人士說。

三種卡中，語音卡可以說是涵蓋的功能最多的。一名卡商說，目前包括美團在內的一些平臺已經在注冊時采用了語音驗證碼，“在這種情況下，只有語音卡能用。”

“（物聯卡）不是說一定就沒有語音和短信功能，所以一般開卡的時候，業務經理會事先了解你的需求。”上述卡商指出。界面新聞記者在查閱中國移動的物聯網業務時也發現，物聯網卡的套餐中包含了短信相關的功能。

有卡商也告訴界面新聞記者，物聯網卡有11位和13位之分，11位的和正常手機卡類似，帶有語音功能和能夠收發短信，但禁止撥打其他號碼；13位的就只能在同一個運營商之間收發短信。

“11位的物聯網卡本來就很少，現在運營商禁止刷單，比較難開。”這位卡商表示。前述中國移動的運營商人士也認為，13位的物聯網卡能夠更有效地遏制黑產現象。

和普通的手機SIM卡類似，物聯網卡的開具主要也是通過國內的三大電信運營商來操作。小文告訴界面新聞記者，有規定要求，物聯網卡所面向的都是企業客戶，但當中也有空子可鉆。

“基本上，你只要能出示營業執照，就能開物聯網卡。”小文說，就他本人所了解到的情況，業務經理很多時候會在不深究企業資質的情況下，給客戶開出一批物聯網卡。

門檻降低，原因也許是業務員背后的指標壓力。騰訊云安全總監周斌對界面新聞記者說，無論是運營商，還是運營商下面的各級代理商，都有發卡的指標；為了完成這些指標，他們往往會超量下發物聯網卡。

“據我所知，市面上的物聯網設備數量和物聯網卡數量之間存在著一定的差異，實際上物聯網卡放的太多，所以會被用在其他領域中。”周斌認為。

因此，申辦門檻低，是現在羊毛黨們青睞物聯網卡的一個重要原因。朱科錠舉例稱：“只要注冊一間公司，就能申請成千上萬張的物聯網卡。”

另外，相比于手機SIM卡，辦理成本的降低也是吸引羊毛黨們的一個因素。

“同樣流量下，物聯網卡的資費要比手機SIM卡低得多。”小文介紹稱。

界面新聞記者從獲得的一份中國移動物聯網卡資費表中發現，以每個月1G流量為例，物聯網卡的資費為每月50元；同等流量的4G SIM卡套餐下，每個月的資費則達到了88元。

除了辦理資費外，物聯網卡的成本降低還體現在了包括前期準備等方面。獨立TMT分析師付亮向界面新聞記者舉例稱：“現在一張身份證只能辦五張SIM卡，如果羊毛黨想要獲得同等數量的SIM卡，意味著他需要事先準備一批身份證，這又增添了額外的成本。”

換言之，無論是從辦理難度以及辦理成本來看，物聯網卡都是羊毛黨們現在更為“實惠”的選擇。

 

2

 

除了從運營商處直接申請之外，個人用戶獲得物聯網卡的最便捷方式，就是從隱匿在電信行業聚光燈之外的各種個人卡商處購買。

界面新聞記者在包括知乎在內的一些社區輸入“物聯網卡”進行查詢搜索后，很快就能找到不少出售物聯網卡的經銷商，他們的推廣詞往往是“流量充足”、“折扣最低”等等。

不過，當界面新聞記者添加了其中幾位卡商的微信，進行詢問時，當中有人表示，自己已經無法代開“用于接收驗證碼”的物聯網卡。

“公司查得嚴，不讓開類似用在接收驗證碼、刷單這類的卡。”這名卡商謹慎地表示。而當記者進一步詢問是否能夠推薦一些能夠用于刷單的電話卡時，他沒有繼續回復。

也有卡商在了解界面新聞記者需要物聯網卡的需求后，繼續詢問具體用途。當記者回答“用于網站接收驗證碼，刷單”后，他表示：“這個業務大部分運營商是定義成不正規的，所以大部分都很難做。”不過，他提到，可以幫記者找人“看看有沒有其他渠道來開通”。

另一些卡商則依然歡迎這類業務，并主動向界面新聞記者推薦了相關的物聯網卡套餐，比如“支持收發短信功能，發短信0.1元/條，可以注冊微信、微博等各種App和網站，流量0.2元/兆”的注冊卡，以及“包5M流量，八個月零月租，可以接五分鐘語音驗證”的語音卡。前者的費用是每張30元，后者的費用是每張17元，10張起售。

除此之外，有卡商甚至向界面新聞記者展示了一些正常號碼段的SIM卡，他把這種卡的費用定在了每張120元。“這種卡就是正常的手機卡，號碼段是150的，一切功能都完備，自己用也可以，只有每個月9塊錢的月租。”

至于只有最基本上網功能的物聯網卡，這些卡商們更傾向以大規模的形式向外銷售。

“我們一般開卡的量比較大，一般都是以10萬張為單位，這種的批發價就幾塊錢一張。”一名卡商告訴界面新聞記者。

關于物聯網卡的獲取渠道，卡商們也并不避諱。上述能批發物聯網卡的卡商向界面新聞記者暗示，自己能夠從中國電信、中國聯通等運營商處穩定獲得物聯網卡，“不同運營商的卡費也都不同”。

從這些卡商處購買物聯網卡的流程更是比從運營商處購買要來得簡單。除了一位卡商提出了要簽訂正式銷售合同的要求外，其他卡商均沒有表達出需要提供額外材料的要求。基本上，只要有興趣的用戶直接向他們下單付錢，就能收到他們快遞來的物聯網卡。

前電信員工小文也驚訝于卡商與運營商之間這些“合作業務”規模之大。他表示，以深圳為例，物聯網卡是中國電信在一年前才推出的新業務，由于資費低廉，吸引了不少用戶的關注，中國電信方面也有意在收緊物聯網卡的發放。

“一般來說，從運營商的業務經理處申請幾百張甚至上千張物聯網卡，并不是大問題；但一次申請10萬張，并不常見。”多名接受采訪的業內人士都表示，一個普通的企業能從運營商處獲得如此大額的物聯網卡，并不符合常理。

付亮則認為，卡商從運營商處獲得物聯網卡的過程也未必一定合規，“運營商應該對申請開卡的企業進行資質審查，了解企業信息是否屬實。”他補充道，出現上述情況，很可能是部分底層業務人員放松開卡規范所致。

 

3

 

從卡商處購得數以千萬計的物聯網卡后，羊毛黨們獲取灰色利益的過程才正式開始。這個過程和傳統意義上，使用手機SIM卡薅羊毛的過程大致相同。

首先，要使得這些物聯網卡可以在同一時間內實現大批量的信息收取過程，“貓池”這個硬件設備是必不可少的。

根據朱科錠的介紹，貓池是一種可同時支持多張手機卡的通信設備，當中的卡槽數量從8個到2048個不等；用戶將手機卡插入卡槽之后，可以通過電腦進行批量操作。“可以說，貓池類似于一個多卡多待的手機。”朱科錠說。

擁有了貓池的人，可以選擇將自己的“資源”放到卡商平臺上，以供羊毛黨們購買使用。根據威脅獵人公眾號上《黑產大數據：手機黑卡調查》一文中的信息，國內知名的卡商平臺包括Thewolf、星辰、愛樂贊、玉米等，其中Thewolf和星辰還可以接語音驗證碼。

界面新聞記者進入星辰平臺的網站后發現，上面提供了指導羊毛黨如何進行驗證碼收發的全過程。指導界面顯示，這個平臺涵蓋的應用包括了微信、淘寶、京東、滴滴、58同城等。羊毛黨只需要在平臺上下載的驗證碼獲取軟件中填寫好相關信息，就能夠批量獲取軟應用注冊所需要的驗證碼。

“對于一般的小企業或者傳統企業來說，由于對于黑產的防范力量過于弱小，這樣的薅羊毛行為幾乎是無法防范的。”朱科錠表示。

他舉例稱，威脅獵人曾經服務過一家傳統企業，企業中雖然有著數百名員工，但真正熟悉安全業務的也就寥寥數人。當遇上黑產的時候，這家企業的相關負責人們起初只能想到一些簡單的策略來進行抵抗，比如說在一個IP登錄超過100次后，就停止這個IP的登錄權限等。

“對于現在的羊毛黨來說，這種抵抗幾乎是無用功，只需要一些代理IP就可以突破防御。”朱科錠解釋道。

在猛烈的攻勢下，不少企業往往會因此損失慘重。威脅獵人曾經粗略估計過，一張手機黑卡最終在羊毛黨或者號商手中能產生近100元的收入；如果按每年產生4000萬張黑卡計算，相關的企業每年就將損失40億元。而如果按照80%的占比來計算，每年來自物聯網卡的黑產規模就能夠達到32億元。

另一家互聯網業務風控服務提供商豈安科技則估計，來自黑產的收益可以達到投入成本的2.5萬倍。

不過，界面新聞記者了解到，在這個鏈條中，企業并不完全是受害者，有時候它們也是獲利方。

豈安科技的相關負責人向界面新聞記者介紹稱，在2014年之前，存在著初創企業為了籠絡投資人而刻意引入羊毛黨的情況。

朱科錠肯定了這一狀況的存在，他向界面新聞記者展示了一些網絡上的“薅羊毛平臺”。這種平臺本身是為了羊毛黨們溝通互聯網業務活動信息所建立的，但在某些時候，企業也可以在上面發布相關的活動信息，吸引羊毛黨前來。

“這個行為涉及到企業的流水、活躍量等數據，可以通過刷單，把自己的活躍度刷高，來欺騙投資人，到下一輪融資的時候，企業的估值自然就高了。”他表示，這也屬于網絡黑產的一部分。

然而，根據豈安科技的觀察，相關現象在2014年之后就鮮有發生了。“這么做過一段時間后，企業很快就會發現當中弊大于利的一面。”相關負責人對界面新聞記者說。

 

4

 

針對物聯網卡所引發的黑產事件，企業在進行防范時是否需要投入額外的精力？至少從專業團隊的角度來看，這個問題的答案是否定的。

騰訊云安全總監周斌解釋稱：“最大的問題在于，企業無法判斷這些手機號背后是真實的個人，還是一臺設備。運營商既沒有公布相關號碼段的分配原則，也沒有相關的信息給到企業。從技術上看，目前很難判斷。”

在這種情況下，對于目前的企業而言，抗擊物聯網卡主導的薅羊毛行為，與他們之前對抗普通的薅羊毛行為所需要采取的措施并不會有太大的區別。

比如說，豈安科技所采取的是利用企業自身的數據生成適合本企業的風控策略，或者利用高輕量級的情報云平臺來幫助企業組織抗擊。騰訊云則是通過一套名為“天御”的業務安全防護系統來進行防護。這些措施所面對的對象也主要是包括物聯網卡在內的手機黑卡。

騰訊云就曾經幫助過廣東企業東鵬特飲抗擊過一次“薅羊毛”事件。東鵬特飲此前曾經推出過一次“瓶身掃碼贏大獎”的活動，但事后發現，有羊毛黨通過批量掃碼的方式從中獲取利益。

對此，騰訊云采取的措施是，通過對諸如設備使用特征、設備與號碼匹配關系、IP變換頻率等指標的計算，得出對于一個用戶風險程度的評估，如果判定該用戶風險等級過高，就會拒絕其訪問活動頁面。

“最終的結果是，我們檢測出20%左右的用戶是羊毛黨，幫助客戶節省了大約3000萬的推廣經費；事后我們撥打這部分號碼，幾乎都是打不通或者無人接聽。”周斌說。

不過，無論安全企業如何加強對于反黑產技術的鉆研，這似乎都只是治標不治本。要根治物聯網卡的黑產事件，最根本的方法還是相關部門以及運營商加強相關立法和監管。

多位業內人士在接受界面新聞的采訪時表達了運營商應當提高物聯網卡申辦門檻的觀點。他們認為，和普通的手機SIM卡不同，運營商對于物聯網卡申辦的監管過于松懈，以至于任何人都可以以較低的成本獲取物聯網卡，從而參與到互聯網黑產之中。

“一般來說，對于手機卡，運營商都可以進行一些預先的設置，來限定當中的某些功能；不過具體執行上，要看運營商的管控態度是否堅決。”付亮對界面新聞記者表示。

在內部人士看來，運營商的曖昧態度對于物聯網卡的泛濫的確帶來了一定的負面影響。前中國電信員工小文告訴界面新聞記者，很多時候，運營商內部對于是否嚴加管控物聯網卡的申辦，一直搖擺不定。

當然，從法律角度來講，運營商有責任管控網絡使用目的。《侵權責任法》第三十六條就規定：網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。

不過，這也并非容易實行。“按照通信自由的原則來說，運營商不應該干涉用戶使用通信工具的目的，否則企業的目的就會變得雙重，很難管理。”他認為，如果要運營商來監管這一事件，那么運營商就會“既當裁判，又當運動員”；反而會導致管理的混亂。

威脅獵人的朱科錠也表示，要想讓運營商從源頭處來監控物聯網卡，并非易事。“運營商本身是逐利的，目的就是多發卡來賺錢，限制發放手機卡，本身有違他們的利益。”

因此，監管物聯網卡使用規范的任務，似乎只能落在法律一側。

根據界面新聞記者了解，目前有關部門尚未出臺針對物聯網卡的明確法律條文。不過，工信部在2016年11月下發的《關于進一步防范和打擊通訊信息詐騙工作的實施意見》中提出要求：“對新辦理使用行業卡的，要從嚴審核行業用戶單位資質、所需行業卡功能、數量及業務量，按照‘功能最小化’原則，屏蔽語音、短信功能，并充分利用技術手段對行業卡使用范圍（包括可訪問IP地址、端口、通話及短信號碼等）、使用場景（如設備IMEI與號卡IMSI一一對應）等進行嚴格限制和綁定。”

此外，也有企業開始嗅探到了危險的苗頭，并試圖對物聯網卡加以管控。2016年9月，淘寶網發布了《手機號卡類商品禁售規則調整變更公示通知》，對于未經確認實名登記標準化流程、存在實名登記風險漏洞的物聯網卡，制定了禁售措施。

當年11月，淘寶網又發布了《關于物聯網卡商品禁售專項整治的公告》，強調附隨商品贈送物聯網卡與銷售行為屬同一性質，適用于禁售規則。

但就在今年2月，淘寶方面再次調整管控力度，規定物聯網卡不允許單獨售賣，但商家可以隨硬件設備贈送物聯網卡服務；同時，隨硬件設備贈送的物聯網卡服務商，需要通過阿里通信天機平臺入駐、簽約，以確保其所提供的物聯網卡服務能滿足物聯網卡機卡綁定、實人認證等強制性要求。

事實上，促進物聯網行業的發展已經是大勢所趨。今年6月，工信部發布了《關于全面推進移動物聯網（NB-IoT）建設發展的通知》，當中提到，到2020年，NB-IoT（窄帶物聯網）網絡要實現全國普遍覆蓋。

因此，可以預見的是，物聯網卡的數量在未來勢必會繼續增加，如何平衡物聯網行業發展與物聯網卡濫用的問題，將會成為監管部門需要關注的課題之一。