微博盜號並不是什麼新鮮事,但很少有人會深究盜號究竟會帶來什麼影響。
普通人對網際網路安全無能為力,面對被盜號,只能選擇加強密碼防患未然、或者選擇被盜號後堅持申訴,能找回就找回,找不回氣上十天半個月也就只能作罷。
但對逝者而言,當他們帳號被盜時,他們親友為此感到的憤怒和悲痛,卻會持續長達數月、甚至數年之久。
一方面是因為逝者帳號本身包含著大量關於逝者生前的信息,是僅靠遺物或者遺物都無法彌補的回憶,另一方面,是盜號這個行為,打斷了許多生者對逝者對哀悼。
在微博上,有位叫徐二水的博主在13年時去世,在那之後他母親便為他專門註冊了一個叫「二水--媽」的帳號,用來在他最後一條微博評論下哀悼他。
二水母親的微博沒有簡介,頭像用的是兒子最後一條微博裡拍的荷花,整整七年,在寫下哀思前,她總會在文段前編輯三根蠟燭emoji,並在現實裡同時點燃蠟燭——
「兒子,你知道嗎,每當點亮蠟燭媽心裡總是一片苦澀,透過燭光彷佛看到了你的笑臉,媽實在太想你了,最近媽病了躺在床上孤獨無援,唯有一遍遍呼喚你的名字,真希望你能來給媽倒杯水喝」
但諷刺的是,當二水母親都只能註冊小號在兒子微博下悼念的時候,卻有灰產從業者直接盜走徐二水的微博帳號,開始重新「日更微博」。
從13年到16年,盜號者整整發出去161條微博,更新頻率一度比二水媽媽還快。往下連翻十來頁都找不到曾經徐二水發出的半條微博。在外人看來,徐二水不過是一個系統隨機生成名字的普通殭屍號而已:
那時二水媽媽還不知道微博有投訴機制,也不懂該怎麼找回帳號,雖然兒子被盜號,但也沒說什麼,依舊只是費力一點,默默去最早先的微博下哀悼。
直到16年4月23日,因為徐二水的微博被識別成裡「殭屍號」,被新浪自動銷號,所有微博清零,那天二水媽媽發了建帳號以來的第一條原創微博:
發這條微博時,二水媽媽語氣有些錯亂,連續發了13個悲痛大哭的表情,對一個哀悼時髮蠟燭都會點蠟燭的母親而言,那一刻我相信她真的在淚流滿面。
此時此刻,因為盜號的灰產從業者,她沒地方可以繼續哀悼兒子了。
對二水媽媽來說,當現實裡處理掉二水的遺物後,微博便成了兒子留給她最後的遺物,成為了他與兒子在精神世界中,構築緊密關係的新橋梁。
藉助微博這個橋梁,二水媽媽可以跳出現實中兒子去世帶來的悲痛泥潭,將自己解脫出來。在無數條悼念自白中開始理解自己,試圖不再為給兒子無法實現的愛而困擾,而是將這份愛用來愛自己。
而盜號灰產把號盜走後,便等於是斷掉了二水媽媽最後的念想,讓她是網絡世界中又一次失去了兒子。
還好最後在網友的幫助下,二水媽媽的微博帳號最後又找了回來,二水媽媽又找回了自己唯一的慰籍。
在微博乃至整個網絡社交平臺中,徐二水這樣被盜號的逝者並不是小概率事件。
隨手鍵入#逝者 盜號#的tag,可以看到大把大把逝者帳號被機器ai奪舍,成為了漂浮在賽博網絡中被灰產控制的幽靈,終日無法安息。
但不是每個人都能像二水媽媽那麼幸運,能在朋友幫助下成功申訴回逝者的帳號。
在微博緬懷逝者的人,多數都是逝者非親非故的朋友,既沒有逝者的手機號也沒有身份證號,在微博找回帳號嚴格的審核機制下,通過官方渠道找回帳號難於上青天。
也有人嘗試問過微博技術人員,在不申訴密碼的情況下,能不能直接鎖定帳號,不許灰產繼續更新微博,變相把帳號保存為一個紀念標本呢?
答案是不行,在盜號這件事上,微博只能提供申訴or註銷兩個選擇,無論選擇哪一種,對生者來說都是創傷:
此時,想取回帳號只剩下唯一一種方法,就是順著殭屍號的關注列表找到灰產客戶,繼而聯繫到灰產賣家,找他們直接歸還帳號。
有人確實用這樣的手段找回過逝者帳號,但對尚未完成哀悼還處於悲痛中的生者而言,在處理好創傷前,他們根本沒勇氣去處理逝者帳號這份「遺物」,更何談直接和灰產賣家對線:
這又是另一個關於創傷的死循環
儘管如今盜號者的觸角,往往只染指了那些籍籍無名的逝者。但誰又敢保證,未來某天像李文亮這類知名逝者的微博號,就不會被盜取,淪為某些人以血換錢的工具呢?
看到這,你可能會有一個疑惑:為什麼灰產給客戶販賣殭屍粉時,一定要這麼缺德通過盜號真人用戶來完成交易呢?
直接註冊上百個小號不香嗎?
在搞清楚殭屍號為什麼一定要盜真人帳號前,我們需要先搞清楚這些盜走的真人帳號,究竟都在為誰服務?
09年微博剛開始興起的時候,刷粉絲的主要都是些普通人,目的是為了多開遊戲小號或者為了漲漲面子。
那時候殭屍粉很好辨認,它們id是亂碼,內容頭像粉絲都是三無帳號,一眼就能看穿是機器號:
這些殭屍號由於太好識別,經常買1000粉最後只能活下來800-900個,剩下的很容易就被微博精準識別刷掉,但那時候買粉的人也不多,好多就為了圖一樂,掉了也就掉了。
但又過了幾年,微博上的流量經濟開始日漸成熟,這時候開始湧現出了大批網紅或者明星經紀公司,開始有指向性的通過購買殭屍粉來營銷做數據——
而這些做出的數據,最終則流向資本市場裡,服務於商業團體,成為談判價格的籌碼。
當殭屍粉成為談判籌碼時,它就需要具備三點:足夠多,足夠隱蔽,足夠真實。想滿足這三點,盜真人號是效率最高的手段。
首先,我們從數量講起為什麼盜真人號是灰產的首選刷粉手段。
在微博上,粉絲10-5000萬(或許更多)的網紅世界,基本上就是一殭屍魚塘,隨手搜個#搞笑#tag,出來的都是假網紅:
早先的時候,微博為了識別出殭屍粉大V和活粉大V,引入了紅V機制,只有帳號活躍度達標才會點亮紅V標誌,一年如果刷粉超過三次,將被直接撤V。
但對灰產來說,這根本就不是事。
想識別一個帳號是不是假網紅特別簡單,只要點進去看一下活躍粉絲排行榜,順著和殭屍文學如出一轍的僵硬ID,就能瞧出一絲不對味:
點進去一看,果然是熟悉的微博配方,熟悉的殭屍粉。
在微博,這樣的網紅屍王並不少,有時候同一個經紀公司名下甚至同時會有十幾個、二十個假網紅帳號,並且讓這些假網紅帳號抱團取暖,互相之間轉發導流漲粉,實現殭屍王間的無性繁殖。
這個過程本質上就是滾雪球,小殭屍們匯聚成大殭屍,大殭屍們匯聚成殭屍聯盟,而當殭屍聯盟足夠強大時,奇妙的事就發生了——
當你粉絲達到2000-3000萬時,按照微博的推送機制,你就會出現在更多的微博新用戶自動關注列表當中,開始用腳收割真粉。
在微博衝浪的,幾乎都見過一個叫「微博搞笑排行榜」的帳號,不管你有沒有關注它,它都會以推薦的手段無意間強姦你的timeline,看起來很牛逼,其實主頁全是一張張糊逼聊天截圖,裡面問著在知乎800年前就被問爛的問題:
但這並不影響他靠這些糊逼內容,成為了微博坐擁5800萬粉絲的網紅,裡面至少有一千萬左右的粉絲是真人。
而這些真粉到底是怎麼來的呢?是靠內容還是靠堆砌殭屍粉後,提高微博權重被導流的呢?這不用俺說你也懂。
這才是營銷號的業界標杆,用腳年入1500w
難以想像網紅市場對殭屍粉的需求量尚且如此大,明星轉發做數據、影視行業打榜時又需要多少殭屍粉。
2020年,微博上究竟有多少殭屍號已經成了一處未解之謎,唯一能真切感受到的是殭屍粉似乎遠比普通用戶要多。
哪怕你從來不買粉,也不能阻止成百上千的殭屍粉主動來關注你,對社交孤兒來說,彷佛整個微博都是一座殭屍城,遇到活人全憑運氣:
問完這個問題後,今年她的豆瓣也成了殭屍號
如此大基數的殭屍粉需求,光靠灰產一方去註冊小號是遠遠不夠的,這樣的成本過高,且不切實際。
之前紹興警方搗毀過一個灰產窩點,從裡面搜出來700w張用來註冊帳號的手機黑卡,現場頗為壯觀,據說這些黑卡使用完後都不會被丟棄,因為每一張卡的SIM卡中都含有微量黃金,由於黑卡太多,灰產只要保存下這批手機卡還能再賺一筆金價:
全國最大的窩點能搞到700w張手機卡,其他小的灰產作坊又能買來多少個手機號?哪怕算上虛擬手機號註冊的微博(這個也需要成本),也遠遠填不上如今微博上殭屍號的供需鏈。
和現實裡一樣,靠工作賺不夠大米時,如果還想吃大米怎麼辦?那就只有偷、借和搶這兩條路了。
而那些萬年沒有號主登陸的微博小號們,自然就成了灰產們的首選目標。
這些「真人小號」有兩點優勢,一是成本低,二是隱蔽和真實性都比傳統的殭屍號要好。唯數據論的資本家們雖然是腦癱,但AI不是。
通過帳號個體的活躍度,微博可以大概率識別出一些帳號是否為殭屍號,被識別出後就會對這些帳號給予隱藏或者摺疊。
所以在刷數據時,經常會遇到一些尷尬的翻車現場,比如實際買了4000粉絲,系統只到帳3000,剩下1000去直接被系統「自動過濾」,評論亦是如此,某博主刷了250+的評論,在系統過濾後,最終只留下了3條:
但盜取來的真人號被封禁率就會比較低,因為他們自帶粉絲,頭像,原創微博,本來就是活人。再加上程序每天幫這些真人號定時定點發微博,某種程度上說,這些精品真人號比某些真人還更像個人。
在同時具備成本和安全性兩大優勢後,盜號自然便成為了灰產生產殭屍號時的主要手段,當然,除此之外最重要的一點還有——
盜號本身並不是一件難事,沒外人想的那麼炫酷,灰產不是黑客,更不會帶著V字仇殺隊的面具幹活。
那些吹牛逼說自己能潛入xx伺服器竊取密碼的都是騙子,幾乎每天都有涉世未深的小朋友把零花錢打給所謂黑客,期待他們可以用鍵盤替自己收拾仇人,最後不但被騙一肚子火,還比仇人少了500元:
在盜號這塊,灰產要大氣的多,他們要盜就一次盜成百上千個號,要搞就直接巧取豪奪,絕不整什麼偷雞摸狗。
灰產盜號的主要手段是撞庫,用通俗的解釋,就是灰產手裡可能掌握著你的qq密碼和手機號,在不知道你支付寶密碼的情況下,他會直接用你的手機號+qq密碼登陸你的支付寶。
如果你恰好是一個通用多平臺密碼的倒黴蛋,這樁盜號生意就算是做成了。不僅是微博,這兩年PUBG正火時,那些被盜拿來賣給掛逼的低價Steam吃雞號,也是用撞庫的手段盜的:
圖源公眾號@CSDN
至於灰產用來撞庫的原始數據究竟是哪來的,原因有很多。
最常見的來源,是數據洩漏。國內的一些網站,自身安全係數比較低,遭受攻擊的時候很容易直接洩露網站用戶的帳號密碼,而這些被洩漏的帳號密碼,最終會流向兩處:
被打包直接在黑市進行交易,或被發布在社工庫中成為公開信息。
對數據而言,社工庫本身算作是中立方,灰產可以拿他們幹壞事,但普通人藉助梯子,也可以直接爬去搜索自己的帳號密碼,看看自己是否已經洩露數據:
如果有的話,院辦勸你早點換個密碼,不然你可能就是灰產中的一部分
另一部分數據洩漏的來源則更加複雜,有些是網站內部監守自盜涉嫌違法犯罪,有的則可能是用戶自己無意間洩露導致。
關於數據洩漏導致灰產撞庫如此順利的另一個原因,是國內對民間網絡安全團體實在太不友好。
國內曾有一個叫做「烏雲」的安全平臺,當中一些網絡安全大手被稱作「白帽子」,會在發現某個網站出現數據洩漏及時反饋給網站方,提醒網站方及時修補,這樣就能最大限度規避網絡安全bug帶來的公眾數據洩露。
但白帽子這樣的操作也有風險,畢竟想發現一個網站的bug就得先對網站進行攻擊,好說話的公司或許會對此寬容甚至反過來獎勵白帽子一筆獎金。
但對一些敏感的公司而言,白帽子的行為很容易被解讀為「沒事找事」甚至是「勒索」。17年的時候,烏雲上的dalao袁煒在向某婚戀網站提交42個漏洞訊息後,結果網站方在對漏洞進行修復後,第一時間便以「送禮物」為由,套出地址後逮捕了袁煒:
最終袁煒雖然被釋放回到了家中,但經歷此次風波後,烏雲也隨之關停,從此,中文網際網路中便少了一支防禦用戶數據洩露的精銳部隊。
關於整個事件中究竟誰對誰錯,答案在每個人心中。
但事實便是在大環境對民間網絡安全團體不友好、相關法律不健全的情況下,國內用戶數據洩露已成常態,這既催生了灰產誕生,也便捷了灰產盜號。
如何能阻止灰產對普通人盜號?很難阻止。
因為如今普通用戶的網絡社交平臺被盜號或被大量殭屍號侵佔這事,並不僅是一個技術問題,而是一個需要上至資本價值觀下至網絡安全技術,甚至狗友們一起努力才能解決的問題。
我們每個人都會有去世的那一天,那些被我們注視被盜號的逝者不過是因為意外先行一步,可以遇見的是如果不能改善目前唯數據論的網絡環境,當我們去世那天,恐怕也難逃成為網絡幽靈的宿命。
對於這件事情,憤怒沒有用,需要的是反思與改變。
如果不改變的話,恐怕等不到你去世後帳號被盜成殭屍號的那一天,你就會先成為網際網路殭屍。
前幾天我開玩笑,和狗友說「你知道嗎,在微博裡,那些盜來的真人殭屍號因為天天發微博,人家在抽獎時會被微博直接判定為活躍用戶,中獎率比你高多了。」
之前王思聰搞抽獎時,幾乎沒有一個男性中獎,對此微博官方給出的解釋是「男性發微博少,會被判定為殭屍號」,微博上一度因此產生了男人不如狗的梗
我感慨在唯數據論的判定方式裡,殭屍號越來越真人化,甚至他們寫出的「殭屍詩歌」的文學水平別有一番韻味,比我這種濫俗詩人有想像力多了。
「在殭屍號越來越真人化後,通過批量低成本複製它們就能帶來巨大的經濟收益,到時候真人的存在對網際網路還有意義嗎?我們對網際網路上對內容還有選擇權與話語權嗎?」
當我提出這個問題時,狗友反問我:「你以為如今網絡世界只有殭屍真人化,沒有真人殭屍化麼?」,說完,她給我發來一個關於微信比賽拉票的截圖:
1分1票的微信人工投票真實存在,這些賣家與一些外包網站或者微信群直接對接,面向普通網民直接下達任務,幫忙投票系統自動就會在他們帳戶裡+0.6分錢(扣除佣金),當數額滿20或者10元時就可以提現。
另一邊,微博上也經常有一些「免費看小說還能賺錢」的推送,點進去一看,基本上都是為用戶下達每日的閱讀任務,完成閱讀就可以賺錢,但需要一定金額才能提現且每日收入不得超過1元,變相將真人變成了閱讀殭屍:
在如今這個數據決定價值的網際網路泥潭中,問題核心反而是真人越來越像殭屍怎麼辦?
當真人被逐漸殭屍化時,我們又有什麼立場,還能手持什麼武器,攻擊那些灰產不把人當人看,肆意盜取逝者帳號用於盈利?
對唯數據論的灰產來說,他們根本就不知道自己盜走了逝者的帳號,更不知道自己做了什麼惡。甚至在一些灰產從業者眼裡,自己更像是中文網際網路上撿破爛的「清潔工」,不過是將那些低活躍低價值的「垃圾帳號」殺死後回收,經過包裝後再重新創造商業價值罷了。
只有當灰產盜號到逝者頭上時,被觸及道德底線後,我們才意識到那些被肆意掠奪的帳號本質並非幾行代碼,而是有血有肉,值得被銘記的「人」。
面對灰產時,普通人想不被侵犯,就得時刻憤怒,時刻保持清醒,記住自己是活生生的人,警惕真人殭屍化,維權殭屍真人化。
不然等到2050年再幡然醒悟與灰產抗衡時,等到將不過是一出《植物人大戰殭屍》的黑色喜劇。