全球黑灰产业升级调研：黑灰产接码模式走向隐蔽

恶意手机号是黑灰产团伙实施网络犯罪的重要作恶物料之一。通过批量获取与使用恶意手机号，黑灰产得以注册并认证大量虚假账户，进而在网络平台上开展多种恶意活动，包括营销活动欺诈、扰乱社区生态、引流诈骗等。

其中，接收验证码短信（简称“接码”）是黑灰产利用恶意手机号完成注册验证的关键环节。威胁猎人团队长期追踪黑灰产渠道中接码模式的演化，发现其正经历从传统“多对多”接码平台，逐步升级为“多对一”的群接码模式，并进一步发展为更具隐蔽性的“一对一”链接接码模式。

相比传统模式，链接接码因具备更强的隐私性与可控性，已成为黑产中的新型工具，并对业务安全构成新的挑战。

本报告将围绕接码模式的演进路径、技术特征与发展趋势，还原当前黑灰产接码生态，并为业务安全团队提供有针对性的对抗策略。

接码平台是黑灰产最早期、也是目前依然广泛使用的接码服务模式，至今仍占据重要地位。

该模式通常由三类核心角色组成：平台主、卡商、攻击者。

然而，随着黑灰产生态持续演进，传统多对多接码平台开始暴露出隐私性与可用性方面的多项短板：

未使用的恶意手机号可被攻击者查看：攻击者筛选“优质号码”，使卡商利益受损；

号码池共享造成资源争抢：多个黑产可能同时争抢同一手机号，导致重复使用；

成果易被截取：恶意手机号关联账户也可能被其他黑产恶意截取，造成养号成果被窃取

此外，由于接码平台需注册账户使用，黑灰产容易被溯源追踪。

这一系列问题促使部分卡商与黑产转向风险更低、交易更私密的接码方式——“群接码”模式

“群接码”是指一位卡商向多个黑灰产提供接码服务的“一对多”模式，其核心是去中心化交易，绕过了传统接码平台的账户体系，从而降低了交易成本、并极大提升了隐私性。

初期阶段，卡商通过社交工具或网页留言板，将短信验证码与加密后的恶意手机号发布在约定好的群内或页面，供约定黑灰产使用，以此方式完成接码服务。

随着接码服务的不断演化，这种方式逐渐被工具化系统所替代，黑产圈发展出了专业工具，可通过网页动态展示对应内容，实现更高效的数据传递。

相对接码平台，群接码有如下的优势：

但群接码仍保留“一对多”的架构，仍存在养号成果被窃取、号码被截用等问题。因此，随着私域交易和专业工具的迭代，黑产进一步优化机制，一种“一对一”的新模式开始在黑产中活跃，即链接接码模式。

3.1 链接接码的特点

“链接接码”的显著特征是其“一对一”的模式，即“一号一链接一项目”的接码模式。

每一条接码链接都只绑定一个手机号与一个项目使用场景，有效防止传统平台或群接码中普遍存在的养号成果窃取与验证码冲突问题。

在该模式中，攻击者可以通过一个独占链接接收特定项目的验证码短信，流程更加便携。

除此之外，当前主流链接接码服务在隐蔽性方面进一步优化升级：

3.2 链接接码的规模

链接接码作为黑灰产的新兴接码策略，凭借其独占性和高隐蔽性，在黑卡卡商的推动下迅速崛起，成为黑灰产的高效工具。其规模、覆盖范围及热度呈现显著增长。

黑产营销欺诈的相关资源和物料不断更新迭代，难以辨别；大幅增加了企业营销欺诈监测和防范难度。

针对黑产滥用黑卡，企业需要及时了解其作恶流程和细节，依托全网多渠道监测黑卡情报数据，从“被动防范”转向“主动防御”。

威胁猎人基于凭借情报领域的专业实力，持续关注黑产生态发展动态，通过情报能力助力客户从黑卡识别、渠道追踪、风控拦截等多个维度，构建更加完整、动态响应的业务安全防护体系。