中国互联网黑市分析：信封号产业链

2013年中旬，美国一家互联网公司进入中国，在产品落地和市场竞争分析时找到TOMsInsight团队做顾问。这家公司的优势是技术和产品设计，但国内有两家无节操的山寨模仿者。美MIT毕业的年轻帅哥CEO对之极其不屑，而我们团队的首席分析师非常明确直接的告诉他：“你会输给国内的山寨公司，因为对方在APP营销的时候已经开始使用信封号。而你不会用也不能用。”当这位CEO得知什么是信封号营销时候，非常诧异的睁大的眼睛，做出一个C罗进球庆祝似夸张的表情。几个月后，美国公司退出了中国市场。而那个夸张的表情一直留在我脑海中挥之不去就像魔咒一样。

在中国，大多数行业都有一定的门槛，有人喜欢称之为：“黑市门槛”。意思是很多交易是见不得光的，属于潜规则范畴或者是不为人知的行业秘密，有一定的非法性，只能在黑市交易。这种信息只流传在最信任的人脉圈子里。让行业外面的人或者是新人一头雾水，或总是被老鸟们称为：不上道。

而中国的互联网行业，也是如此。

了解“黑市门槛”，最好从黑市入手。而读懂了黑市，看明白了黑市的交易，弄清楚了交易背后隐藏的利益链条和规则、以及见不得光的秘密，也就读懂了所谓的“黑市门槛”。

TOMsInsight继续我们的互联网黑市的分析报告系列，今天的主角是：信封号产业链。

什么是信封号？

信封号，就是被盗的QQ号。信封号产业链，就是QQ号盗取、销赃、并利用获利的产业链。被盗的QQ在黑市上称之为“信封号”。在中国，QQ作为人人必备的IM软件，有8亿以上的用户数，最大2亿以上的同时在线量，对周边生态环境有着不可估量的价值。

可能很多人都有过自己的QQ号被盗的经历。而被盗后的QQ号有什么用处呢？在黑市上怎么流转？我们分成销赃和生产两部分来观察。

信封号的黑市术语和销赃过程

我们先通过黑市术语来分析销赃的过程：

取信：一组QQ用户名和密码称为一个“信”，一个信封就是一万个（或者一千个）被盗的QQ号和密码。通过各种手段盗取QQ号码和密码，以万为单位保存成信息文本。拿到这些信息被称为：“取信”。

洗信：通过一些工具，将信里面有价值的信息（QQ币、有价值的游戏虚拟装备、QQ靓号等)筛选出来的过程称为“洗信”。有专门的“洗信人”或者是“洗信工作室”来完成。

洗信过程：盗取后就没有经过任何清洗的信被称为一手信，一手信的洗信主要就是三步：第一步洗Q币，把信封里面Q币都转移出去，然后在黑市上出售；第二部是游戏虚拟装备，腾讯公司的主要收入就是来自游戏，而被盗取的QQ号中蕴藏的游戏虚拟财富必定不菲，所以洗信人接下来会把游戏装备、游戏积分、游戏账号以及游戏币等凡是能兑换成钱的游戏财物转走，存入固定账号。第三步就是QQ账号，挑QQ靓号（五位数、六位数、或七位数的短号，或者一些含有吉祥数字的号码）来观察是不是有密码保护或者死保（申请了密码保护资料，但是原主人忘记或者丢失了密码保护资料）。

二手信：一手信经过洗信后，称为二手信。二手信一般以更小的单位出售，在二手信的黑市上，一个信封一般只是一千个号。二手信经过洗信人的封装，分成不同的种类，不同的种类有不同的用处，下面是几种比较常见的二手信：

群发信：用来给被盗号的每一个好友发消息，一般发的消息都是特定的广告，例如各种网页游戏，特定的论坛等等，而现在很多APP的广告也开始使用群发信。

广告信：在QQ空间内植入广告，由于大多数人都开通了QQ空间，而一个人的QQ空间又会影响被转载到多人，所以效果明显，而且成本低廉，深受一些网络推广者喜爱。在QQ空间植入广告的信封由于腾讯安全策略，必须是能提取cookies的信封，就是无需验证码直接登录的信封，所以在黑市上也叫cookies信。

（本文开始提到美国公司在国内失败的例子，就是国内的模仿者在APP推广阶段使用了广告信和群发信。）

忽悠信：黑市上的买家登陆被盗的QQ号给好友发一些诈骗消息，一般都是急需钱或者出事了之类的骗术。在忽悠信中还有特定的分类： 海外留学忽悠信、女生忽悠信、18-23岁忽悠信，微信忽悠信等。可以类推这些可耻的骗子的手段。

在这个封装过程中，信封的封装者和黑市上的卖家，充分的发挥了创新能力，出品了各种各样的信封：地区信、八位信、过夜信、90后信、蓝钻信、游戏信、等等，几十上百种，分别在黑市上卖给不同目的买家。

老信： 最后被榨净的QQ号还会卖给黑客用来编写密码词典，或者邮件群发者群发广告。被盗的QQ号码是黑客用来计算用户密码习惯最好的素材。他们进行编译、分析、比对后，从而对网银或者支付宝之类支付工具进行破解。而邮件群发者不在乎用户是否找回密码，只是根据特定的信息，来发放广告。老信还有其他特定用处。

在这个产业链上，每个阶段的工作一般都由不同的“洗信工作室”专攻，而且会非常“守信用”：“洗币”、“洗游戏装备”、“洗靓号”、“做忽悠”、“做广告”等每个部分之间绝不相互侵犯利益。

最夸张的是，由于一般都是在晚上12点开箱子（下文介绍，开箱子只指新鲜的信封被放到市场上），而到了第二天天亮，被盗号的用户都会发现自己的QQ号被盗，从而修改密码或者采取安全保护，让信封中大量的号失效，所以整个销赃的过程都集中在晚上12点早上7点之间。所以看似复杂的过程，在互联网黑市上，只用了7个小时就彻底完成了从头到尾的完整的流水线。每一个信就像一头牛，从剥皮，拆骨，切肉 … … 到了早上7点，只剩一滩血污。

信封号的生产过程

每天，中国互联网黑市上的信封号出售的数量都大概在1000万个左右，TOMsInsight通过一些非常规手段监控2014年5月份一个月内黑市的出售二手信封总数量可以见下图，我们能监控到的样本只占少数所以通过一些算法预估和去重，数据并不非常精确：

而这么多的信封，是如何生产出来的呢？

在信封的生产过程中，最核心的也是整个产业的“老大”一般在黑市上称为“总代理”。总代理首先向木马程序编写者购买或者定制专门的盗号木马（做马），然后委托一些流量商，将木马挂在网页上。用户只要点击该网页，或者是下载了网页上的资源，其计算机就会被植入木马；木马将截取到的QQ号码和密码发往指定的服务器，总代理每天晚上会在11点左右把收到的号码和密码信息整理（开箱子），分给下面的二级代理（二级带来再分给三级，根据信封的数量），开始在黑市上销赃。

这个产业链中。流量商扮演了极其重要的作用，对于总代理来说，拥有一款效果稳定的木马和下级“二级代理”以及“洗信人”只是第一步，他们更需要将木马植入到用户的电脑中，才能真正获得利益。因此掌握着大量网站资源的人被总代理们格外珍视，这些人在行业内被称为“流量商”，即“挂马”人。流量商或者自己是网站的站长，或者与很多网站站长熟识，他们将病毒木马挂在点击率较高的网页上，当用户点击到那些弹出窗口时，木马病毒就“种”到了用户的计算机上。

在目前行业内，流量商根据IP流量对网站进行付费，1万IP大约需要100元到200元人民币，而流量商向总代理收费则是按信收费，一万个信1000元到1500元不等。而一个质量比较好的站，3万左右的流量就可以拿到一万个信。代理人虽然是整个产业链的核心和“老大”，却处处被流量商制约。流量商也在黑市上被称为“做箱子的”，行业内，很多总代理为了讨好流量商，还会对采取分成的合作模式，有的强势的流量商甚至可以拿到比总代理更高的分成。（渠道为王真是在黑市也成立啊）

有人的地方就有江湖，信封号的江湖，精彩纷呈，比之中国香港黑社会电影是有过之而无不及，更多的斗智斗勇，更多的创新颠覆，让这个不合法的产业链越来越精彩。

在这个信封号产业中，每一个细节都有各种复杂模式我们就不一一叙述，有兴趣的读者可以使用我们微信号的服务进行交流。在此我们更多是希望给大家展示出这个产业链的面貌。

对我们的启示

我们团队分析这些，绝不是希望大家成为这个产业链上的一环，更不是希望大家购买各种信成为黑市消费者。相反，整个信封号产业链都是绝对违法的！我们只是希望通过这样的分析，给大家揭示中国互联网的完整的面貌。

当绝大多数人的眼光都盯着BAT等互联网巨头。各种媒体、专家、互联网分析师、观察家们都在讨论着微信的战略、小米的互联网思维、O2O、特斯拉如何重塑行业、等等的时候。岂不知这些都是互联网行业这座冰山浮到外面的风景，而那冰山的巨大的水底世界，却又不为人知。当你熟读了各个互联网巨头的战略，看尽了互联网思维，想出一个颠覆性产品、然后进入到这个行业的时候，其实等待着你的其实就是这些。

在探索出真相之前，问题没有那么简单。