隐藏在黑产中的“身份危机”(五)：黄牛党与打包党的“逆行之路”

编者按：近年来，“黄牛党”、“打包党”乱象时有曝光，曝光后，整治就会严起来，乱象也就相应地少一些。然而过段时间，如果整治力度减弱，乱象就“死灰复燃”。“逆水行舟、不进则退”也就成为了黄牛党、打包党的人生箴言，在网络上寻求新“机会”成为了这条灰色链条的行业准则。本文节选了汪德嘉博士《身份危机》一书里黑色产业中网络毒瘤之中的火车票黄牛、医疗黄牛、电商黄牛、二次打包等众多“党派”进行分析，详细解读互联网灰色产业链背后的运行之术。

2007年，英国格拉斯顿伯里音乐节发生了著名的黄牛事件。主办方137500张门票在两个小时之内售罄。黄牛此后利用民众对音乐节的疯狂喜爱，把原价125英镑的门票加价到700英镑出售。

不同于“羊毛党”、“打包党”，“黄牛党”这一词早已有之。

火车票黄牛党

“黄牛党”就是俗称的“票贩子”。旧社会，拉车的都穿黄马甲，一般出行都坐这种车的，因为价钱便宜，所以老百姓都叫“黄牛”车，后来交通发展，但是火车、汽车票都很难买到，拉车的车夫们因为经常在火车站、汽车站跑，和车站工作人员关系好，有的老百姓就找他们帮忙买票，车夫们也得到一定的小费，但不多，后来，一说买票老百姓就说找“黄牛”啊。

为了打击黄牛，解决春运等节假日火车票一票难求问题，铁道部推出火车票实名制。然而黄牛倒票现象屡禁不止，这里面存在多方面原因。

之前由于火车订票系统与公安户籍系统没有联网，只是经过特定的算法验证，因此黄牛屯票时的身份证号都通过工具快速生成的假号码。而且黄牛软件可以绕过12306服务器，自动寻找速度最好的服务器，其刷票速度和频率时候普通抢票软件的几十倍。另外，它不按规定间隔5秒刷票，以毫秒速度实时刷新，相当于一部自动刷票机，还可以多账户挂机。黄牛党利用假身份证注册上千个账号，同时刷票，一次性就可以抢到几百上千张火车票。2014年，12306完成与公安身份证信息验证系统的对接，新的机制对通过身份证算法生成的虚假身份证号增加了窗口验证机制，虚假身份信息将不能在12306注册账号、或被添加为常用联系人，以前的虚假账号也被标注为“您的身份信息未经核验”。

但是，黄牛党依然存在。众所周知，12306抢到票后，会有45分钟支付时间，黄牛可以再这时间内去找到相应的买家。如果有人买的话，黄牛就把抢的票放出来，然后再用真实买家的信息去买这张票。因为黄牛用的抢票软件速度比正常人工操作速度快很多，这一转换在瞬间完成。如果45分钟后没有售完，则自动退订单后又通过抢票软件瞬间抢得车票继续囤积。

对于某些特别热门的车票，黄牛也会面临同行的竞争。自己放出去的车票会被别人抢去。所以黄牛又想到了双面车票的方法。比如小明要从北京去上海，就可以用自己的身份证买一张便宜的北京到天津的车票，再从黄牛的手上买下北京去上海的车票。到乘车那天，用天津的车票进站，再用上海的票上车。

在与黄牛党斗智斗勇中，铁道部还是采用了大量技术，除了火车票实名制，还有缩短常用联系人名单、登录12306网站注册时，需进行收集双向验证、采用图形验证码(见图2-15)。这在某些程度上增加了第三方抢票软件自动验证的难度，但抢票软件通过云端收集图片、复制验证图库等方式完成自动验证。

图2-15 12306登录页面

相关法律不完善，量刑太轻使得黄牛在法律层面得到的监管少之又少，而内部人员参与倒票、监管不力、春运市场火车票供不应求的刚性需求使得黄牛党有忠实的用户群，不管他们是主动投靠还是被逼的。多种原因让黄牛党肆无忌惮，越发猖獗。

医疗黄牛党

相对于那些倒卖商品，购物券等没给人们生活造成太大影响的黄牛党，医院的黄牛就如过街老鼠，人人喊打，严重损害了国家和人民利益。

除了收钱帮人挂号，他们号称可以代开各种看病的报销票据，甚至有人在医院门口支起了摊儿，立上了牌子，打出了“做发票”的广告。

央视记者对票贩子的现象进行了暗访发现（见图2-16），黄牛卖发票，主要面向这样几类“主顾”。一类是真看了病，但看的是门诊的。目前，各地的城镇医保和新型农村合作医疗都规定，如果患者异地就诊，比如到北京看病，必须住过院，才有可能进行报销。而许多外地来北京看病的患者，花了不少钱，但因为看的是门诊，没有住院，就无法报销。于是，就会找到他们帮着开一套住院证明，再回去报销。

还有一类是看了病，住了院想回去多报销点的，黄牛就帮他们把金额改大些。更令人吃惊的是，黄牛还宣称，看没看过病其实都不重要，只要是参保人员，他们给开一套完整材料回去都能报销。这也成为不少人的生财之道。做假票据套取“新农合”基金，是黄牛党的首推业务。

                                                                           图2-16 央视调查医院黄牛党

新农合全称是“新型农村合作医疗”，这是我国保障农民获得基本医疗服务的重要保障制度，目前已经覆盖了我国97%以上的农村居民。近几年，为了减轻农村贫困大病患者的医疗支出负担，新农合报销的比例也逐年攀升。

对很多农村患者而言，新农合的保险金，是真正的“救命钱”。它的报销范围，包括门诊补偿、住院补偿以及大病补偿三部分。新农合异地就诊报销流程是，患者异地就诊住院，先是自行垫付医疗费用，等出院以后，再携带身份证、参加“新农合”的医保本以及就诊住院的各项材料、收费单据，交到自己所属乡镇的卫生院，进行初审和复审。再由县一级的新农合管理中心或者相应医保部门进行终审，审核无误后上报财政进行报销。

北京记者提供了一张四川的身份证， 黄牛第二天就给了报销所需的材料。这20多张材料中，既有诊断证明、住院病历，也有手术记录、详细的用药清单以及印有医院收费专用章的收费票据。只需一张身份证复印件和700块钱，一个连病都没看过的人摇身一变成为了患有腰间盘突出症，经过手术后住院2周，花费近3万元，需要再休息三个月。

新型黄牛党

除了大家熟知的倒卖火车票、演出门票的黄牛，还有“商场黄牛”。“整合”小额购物票　“满100元送50元”这样的返券活动很多，但活动中的商品价格很少能碰到整数，大多都是268元、148元这样的标价。不满100元不送，可多出的零头想凑成整数，就要在商场里大海捞针般地“淘宝”了。消费者一般没有这样的耐心，但黄牛们却乐于整合这样的资源。把这些零头款项合并后，还能兑换一笔可观的赠券。而在寻觅这些小额票据时，有些顾客会提出分成，但也有很多顾客会把没用的票据无偿塞给他们。

“满300元返300元”这样的活动吸引普通顾客，更吸引黄牛党。活动期间，黄牛们一般会在收银台或人气较旺的品牌附近，寻觅刚刚开好小票准备交款的顾客，上前提出交易。比如一个顾客要买2000元的东西，黄牛党可以代为结账，之后再以1200元的价钱卖给顾客。然后，黄牛拿走返券，相当于用800元买到了2000元券。随后，黄牛再寻找其他需要结账的顾客，把券花出去，顾客买券的价钱可能是1200元，那么黄牛就从中挣了400元。

很多顾客参加这样的活动，往往要发愁怎么在限定时间内把返券花出去。黄牛党就利用这种心理，屡屡得手。而为了能及时“消化”返券，黄牛们通常会多人结帮分头行动，返券、用券同时进行。

每逢苹果发售新手机时，就会发生黄牛挤破店门的盛况，黄牛党将批量入手的手机再转卖出去，就能从中赚取差价，同时也炒高了苹果手机的价格。

除了上述黄牛党外，近来，各电商之间的“价格战”又催生了一批新型网络黄牛党，他们趁机以低价买入商品，然后再转手卖出，从而获取差价。

据悉，国美通过IP、送货地址、手机号码等信息进行系统识别，严防黄牛订单，累计取消黄牛订单总金额超10亿元；京东早在2013年就上线运行了自主研发的“京东卫士”系统，以防止黄牛订单；亚马逊中国也相应采取了封号措施。

有业内人士曾对媒体指出这其中的真相，黄牛扫货背后，实际上是有规模的实力商家在趁低价“扫货”，然后再转手给线下和线上的卖家，从中赚取差价。

业内人士还表示，电商打价格战之时，就是电商黄牛党大显身手之际。他们会趁机有目标地吃货，事后逐渐消化。

“在抢购方面，网络黄牛党经验十足，有人还会通过专门软件来下单，普通消费者在速度方面肯定没法比”，一位电商网站市场部员工表示。

而即便是有多种手段来限制黄牛党，比如采取输入验证码、后台监控等手段，但“道高一尺、魔高一丈”，黄牛党很快就会找到新的对策。

在团购网站上，互联网黄牛也十分猖獗。有商家反应，自家低价出售的团购商品，瞬间就被相同IP的几千人抢购一空，其他真实消费者抢购成功的寥寥无几。

不过，由于团购券都是电子券，在被黄牛党二手倒卖后存在一定风险。比如密码无法通过认证，或者该团购券已被重复消费过。

每年一度的双十一购物狂欢节，催生了一个新型黄牛党——代秒族。上了一天班已没有足够精力在半夜守着电脑抢单，但又不想错过这么好的促销机会，怎么办？为满足这些上班族网购达人的需求，电商平台上涌现了一些“代秒族”、“秒杀客”，专为其提供“秒抢”服务。值得注意的是由于淘宝账号、登录密码关联支付宝、信用卡、电话号码、家庭住址等个人隐私信息，商家虽保证消费者的信息安全，但也不排除其利用个人信息进行不正当交易行为的可能性。

当互联网已经深度渗透到人们生活中时，“逆水行舟、不进则退”也成为了黄牛党的人生箴言，在网络上寻求新“机会”成为了这条灰色链条的行业准则。

打包党

做APP开发的张先生讲述了他从一个开发者转变成打包党的亲身经历:2年前,张先生也跟其他开发者一样,想运用自己的创意和技术开发出受欢迎的APP来实现迎娶白富美的梦想。但是,经过一年半时间加班加点开发出的APP上线刚有起色,就被打包党篡改、山寨,让人很是受挫。

后来听朋友说“二次打包”非常容易,只要稍微懂点APP开发技术的人都可以完成,通过将互联网上最热门的应用拆包,然后插入一些自己想要分发的东西再重新拼装、发布即可。而且通过这种方式可以迅速获利。于是,张先生就转行进入了“二次打包”行业。“目前,技术熟练的2-3人打包团队,平均一周内即可打包300-500个应用,盈利10-20万”。张先生如是说。

何谓打包党

广泛意义上的打包党可以分为三类

一、出于商业利益，盗取别人成果。有些人为推广自己的网站，将别人的软件进行篡改，并加入木马病毒，修改软件网络指向。这是我们鄙视的一种。

二、方便用户，比如视频格式有百种之多，我们不可能为每一种格式的视频都安装对应的播放软件，于是就有人将各种解码器打包供用户下载

三、简化安装。有些大型软件安装非常复杂，普通用户难以掌握，有些人将其过程进行模式化设计，方便初学者使用。

而业内通常指的打包党都是第一种，他们的日常工作就是寻找互联网上最热门的应用，破解其APP后，插入自己想要发送的东西，如病毒、广告链、吸费指令等恶意程序，再重新拼装起来，最后把这些二次打包的应用重新发布到市场中去，提供给用户下载，以此牟利。如图2-17所示，应用市场存在一些仿冒应用。

                                                图2-17 2017上半年度Android仿冒应用数量TOP10应用市场

二次打包灰色产业链

一月净赚150万？iOS和安卓两个不同平台上的APP开发小团队经常被描绘成两个相当迥异的存在。

类似的故事近来被一提再提：两个人分头创业做APP开发，1年后，在iOS上做游戏的小伙伴都挣到了买房子的首付；而醉心安卓的开发者还在借钱交房租。

这一切都是因为安卓“打包党”的存在。如今市面的安装包约30%都被“打包党”篡改过。安装率越高的软件被‘二次打包’的可能性越大。”李铁军告诉记者，像保卫萝卜、植物大战僵尸、水果忍者等曾经火爆的APP，都无一例外遭遇过“二次打包”。

在行情“火爆”的背后，是“二次打包”形成的一条灰色产业链。相比以植入木马通过恶意扣费来获取利润的方式，通过嵌入广告方式赚钱的“打包党”在盈利模式上与很多正规安卓APP开发者并无二致。只不过，由于“打包党”是直接破解别人的APP，所以基本上是无本生意。

 一般小开发者会选择弹窗广告联盟的形式合作推广。开发者通过广告收入获取提成。广告有按照展示次数、点击次数、安装激活量等不同的计费形式。以安装激活量的计费形式为例，目前广告联盟开出的一个安卓APP下载包的定价在1~4元左右，开发者提成一般为70%。“其实，开发者能拿到手的远远不到70%，扣除无效量等之后，一般50%已经是不错的。”有安卓APP开发者说。

在暴利的驱使下，“二次打包”的灰色产业链迅速形成并不断壮大。许多热门应用被仿冒并大量下载扩散（见表2-2）。

表2-2 2017上半年度仿冒应用扩散量排名TOP10：

打包党为何疯狂又任性

最主要的原因就是无成本、高收入、低门槛。由于安卓系统的开源性，安卓下的App打包成本极低。相比以植入木马通过恶意扣费来获取利润的方式，通过嵌入广告方式赚钱的“打包党”在盈利模式上与很多正规安卓APP开发者一样。“打包党”是直接破解别人的APP，所以基本上是无本生意。

一般小开发者会选择弹窗广告联盟的形式合作推广，开发者通过广告收入获取提成。广告有按照展示次数、点击次数、安装激活量等不同的计费形式。早前有消息称，一个10人的团队就可以在一个月内靠病毒打包纯赚150万元。因此，在暴利的驱使下，“二次打包”的灰色产业链发展迅速，疯狂又任性。

基本流程大概是这样的，下载应用->反编译->篡改代码->重新打包->发到市场，这个流程很简单，如果是一个熟手，估计十来分钟就能搞定，但是开发一个应用，可能需要几个月的时间。更让广大开发者有苦难言的是，用户在误下载并使用了经过“二次打包”的软件后，一旦遭遇损失，大多数软件开发者或运营者还得为此“背黑锅”。

技术门槛低、市场审核不严、监管不到位、维权成本过高让“二次打包”行为变得越来越猖狂，而普通手机用户由于难以辨别，又带来了较高的安装使用率，更是“滋养”了这片沃土。

打包党的影响

对于用户而言，安装二次打包的APP后，轻则使手机在不知不觉中安装了过多的程序，导致消耗电量、占用内存资源、运行不畅、容易死机等行为。重则，会在不知情的前提下产生上网流量、短信计费和增值服务定制等费用。甚至，还可能窃取用户个人身份、网银等信息，给用户的财产带来损失。更糟糕的是，二次打包APP一般都具有安装容易、删除困难的特征。

除了给普通用户带来了极大的危害，打包党也给安卓App开发者带来了极大的困扰。对于开发者来说，耗费大量的精力和财力才得以脱颖而出的应用被剽窃，不但经济上受损害，品牌形象也可能受损失。一些好的创意跟产品往往尚未焕发光彩就已“胎死腹中” 。

如何应对打包党

为了积极应对APP背后的“二次打包”灰色产业链,最重要的是从APP本身入手,采用复杂、先进的技术对APP进行加密保护,从源头抵挡“二次打包”,保护开发者的心血。“二次打包”催生了移动应用安全检测加固市场，在APP进入应用市场之前，对APK文件进行全方位安全检测，并帮助主动挖掘未知漏洞、发现恶意病毒，准确定位APP弱点，判断是否存在恶意、违规行为，并对APP客户端进行加密、加壳保护，对抗逆向工程、代码注入、二次打包、信息窃取等黑客行为。

结束：黄牛党、打包党手里有成千上万的用户ID，有规模化的猫池，有自动操作的程序脚本，手握这些资源与普通客户比拼，优势是显而易见的，只要他们想抢，那些奖品、优惠、补贴，都逃不过他们的手心。黄牛党、打包党是随着移动互联网的发展而壮大的，在这场没有硝烟的战场中，无论面对同行还是对手，通过技术升级和业务调整，总能找到解决欺诈问题的方法。既然有广阔的市场空间，短时间就很难将其消亡，与他们的战斗，还会一直打下去。 

关于《身份危机》上篇的“黑产战争”章节内容到这里就全部分享完毕，希望分享过的内容对大家有帮助。事实上，网络安全攻防战中对于网络身份认证的探索由来已久，在接下来的章节中，将与大家一起分享身份认证技术的演进过程，探讨新技术的应用前景，敬请期待！

隐藏在黑产中的“身份危机”：普通人难以触及的“暗网”江湖

隐藏在黑产中的“身份危机”(二)：地下社工数据库的欺骗“艺术”

隐藏在黑产中的“身份危机”(三)：是谁在窃取你的个人信息？

隐藏在黑产中的"身份危机"(四)：网络毒瘤“羊毛党”的蜜糖与毒药