码工在线 黑产大数据——在线视频流量欺诈黑灰产研究报告

本报告由威胁猎人圭谷实验室独家撰写和发布，报告涉及的数据取自威胁猎人TH-Karma商业情报监控平台和互联网公共数据。受数据来源、采样方法、分析方法等因素的限制，本报告可能与实际情况存在一定误差。

本报告版权归威胁猎人所有，受法律保护。未经允许，不得转载、修改或以其他方式使用报告文字或意见。如需转载，请联系威胁猎人授权。

1.报告概述

1.1.内容介绍

一部影视剧不受欢迎，收视率和播出量似乎是最直观的指标。太多的网络视频，不管受欢迎与否，都能轻松播放过亿。影视团队经常在宣传发布上花费超过1亿元甚至100亿元，似乎说明网络影视剧的播放量已经进入了100亿元的时代。

在网络视频和电影行业蓬勃发展的背后，美丽的数据背后到底有哪些真假，虚假的数据能带来哪些不好的影响，值得深思。

对于视频平台来说，刷量带来的最直接影响就是内容版权分配和有偿增值服务资金的流失。其次，在线视频行业逐渐从传统的免费模式转变为用户付费模式。只有引入优质内容，打造品牌口碑，才能抢占付费会员的位置。虚假数据背后，直接干扰平台推出优质内容，影响用户体验，导致平台付费用户流失。

对于广告主来说，虚假的播放量会导致IP估值偏离现实，给广告主和投资者的项目评价浇上一盆冷水。不仅广告资金的流失达不到预期的转化效果，从长远来看，还必然导致商业模式的扭曲和市场的不健康。

对于生产者来说，作为表面上的受益者，他们不是。哪怕你一时获得了耀眼的成就，也只是一种自我安慰和麻醉。当制作人不知道哪种内容是真正被用户喜欢的时候，就会给整个影视行业带来恶性循环。

不可否认，网络视频的虚假播放已经成为整个行业的痛点。

本报告的重点是网络视频的黑灰行业，而短视频、直播等其他视频形式相关的黑灰制作不在本报告的重点范围内。本报告以威胁猎杀者的黑产品大数据为基础，期望以客观详实的数据反映网络视频流量欺诈的现状，并深入挖掘其背后隐藏的黑产业链，从分工内容与模式、刷成本与收益、刷方式与方法、帮派特征等多个维度进行阐述与分析。

1.2.报告的要点

刷量主要活跃在头部的在线视频平台。从刷量流量占比来看，排名前三的分别是腾讯视频、爱奇艺和优酷。

从刷量的视频类型数据来看，电视剧集数多，刷总量大，所以刷量占比最大，达到72.69%；对于电影来说，更重要的是通过刷上映前后预告片、宣传片或者电影的数量来提高电影的曝光度，而不是直接刷电影的数量。

从流量来源IP来看，99.95%以上的流量来源于国内IP，覆盖全国各省、市、自治区，但有明显的区域聚合趋势，江苏省和北京所属IP数量超过50%。视频刷流量源IP约有四分之一属于各地IDC机房，大部分是腾讯云主机和百度云主机。

据推测，从事网络视频刷的员工有几十万人，年产值几十亿元。刷工主要集中在90后，占60%以上，集中在我国东部地区。大部分刷机以工作室的形式存在，业务种类多，技术更新快。而且刷视频的方式多种多样，各有特点和优缺点。数据诈骗的流行已经从早期的电视收视率诈骗转变为网络视频回放诈骗，网络视频刷屏的流行正在向短视频和直播行业转移。

已经有网络视频平台率先不断积极对抗视频刷黑灰制作，效果显著。但少数平台的主动对抗并不能严重损害视频刷屏的整体黑灰制作，整个行业需要相互配合。

2.黑灰制作行业在线视频流量欺诈现状

2.1.黑灰产业现状概述

艾瑞预测，2020年中国在线视频行业的市场规模预计将达到2129.7亿元，预计2016年至2020年的复合年增长率为34.98%。巨大的工业市场产值不仅吸引了众多视频内容创作者的加入，也吸引了那些刷黑刷灰的人的目光。此外，法律和监管制度有待完善，短时间内刷屏的犯罪成本低，回报高，吸引了大量的人投资视频刷屏的黑灰色行业。据推测，从事视频刷屏的员工有几十万人，年产值几十亿元。

虽然少数视频平台对虚假播放量做出了积极的应对措施，比如爱奇艺加强了防刷措施，并宣布关闭前端播放量显示，挑战了“只播放量”的理论，一定程度上减少了播放量造假，但并没有对整个视频刷量黑灰行业造成太大影响。

威胁猎人TH-Karma商业智能监控平台长期捕捉到的视频刷机数据显示，刷机平台主要集中在腾讯视频、爱奇艺、优酷、搜狐视频、bilibili等占据较大市场份额的头像平台，如下图所示:

原因是这些头像平台的视频分享机制比较完善，刷量不仅能获得更多的视频分享，还能达到更好的推广效果。

从刷量的视频类型数据来看，电视剧集数多，刷总量大，所以刷量占比最大，达到72.69%；对于电影来说，提高电影的曝光度，更重要的是在上映前后刷预告片、宣传片或者电影的数量，而不是直接刷电影的数量。有关详细信息，请参见下图:

黑灰色产品的攻击行为会模仿真实用户的行为，使得厂商识别异常流量更加困难。无论是黑灰视频刷屏，广告点击诈骗，虚假文章阅读等。，刷机流量会尽可能满足真实用户的访问习惯。下图是24小时内视频刷机流量的时间分布。刷牙高峰时间为晚上19:00-23:00，黄金时间20: 00达到最高值:

从视频流量来源IP来看，99.95%以上的流量来源于国内IP，覆盖全国各省、市、自治区，但存在明显的区域聚合。视频流量的源IP中，属于江苏省和北京的IP数超过50%。视频刷源IP大概有四分之一是各地IDC机房的，大部分是腾讯云主机和百度云主机。视频刷源IP所属十大省市统计如下图:

此外，威胁猎人最近监测到，2018年12月27日在某视频平台播出的电视剧《风刀》由一批人气高的流量学生出演。播出后一个月内就有上亿的假刷；泰国电影《投降的手段* *》于2019年1月16日上映。一个泰语翻译字幕组，作为幕后推手，想通过每天制作几千万的假宣传视频来提高电影的曝光率。

2.2.黑灰行业存在的原因

2.2.1.市场急功近利，供不应求

网络视频虚假播放量背后牵扯了很多利益，远远大于供给的刷需求，这是视频播放量造假屡禁不止的主要原因。在线视频行业主要涉及三大角色，即视频平台、广告投资人和制作人。

制作方是视频播放需求最大的一方。最直观的目的是从视频网站获得更多的流量和视频分享。高播放量可以提升排名，吸引更多用户观看，自然获得更多流量。至于视频分享，主要包括广告期分享、内容分享、会员付费期分享，有效播放量是结算的重要指标。

其次，一些电影人与广告主签订了赌博协议，既可以避免赌博失败的风险，又可以让虚增的数据成为后续招商的重要资本。

现在IP为王，刷的量不仅可以辅助电影人打造一部“爆炸性”的影视剧，还能赢得导演和明星的关注，高热的IP流量也能带来巨大的附加值和资源。

刷可以说是最简单有效的贴金手段。对于那些没有大牌明星和优秀团队的人来说，很多时候，网络电影电视剧的制作人连宣传的人力物力都没有。相对于其他昂贵的营销推广方案，从几元到几十元覆盖一万次访问可以说是简单高效的，但是点击分享或者补丁广告换取的价值却远在溢价。在这种急功近利的模式下，不难理解为什么刷牙的现象被反复禁止。

2.2.2.高回报低风险

在我们的调查研究过程中，接触到一个P2P挂机刷平台的用户A。用户A向我们介绍了他是如何通过挂机刷机一天赚几千块钱的。用户A告诉我们，他在大量机器上部署了3000多个挂机客户端，平均每天挂机收入过百万分。平台虽然不支持挂机点直接提现，但可以通过转账给其他用户间接实现。按照平台充值10元钱= 10000点的规则，用户A一天可以轻松赚到1000元。下图显示了用户a最近向我们展示的挂机积分收入:

用户A只是巨大刷力的一个小缩影。对于刷从业者来说，敢于冒险刷手，可以快速获取暴利，另一方面违法成本低。这个产业链的每一个环节基本上都是暴利，上游卡商月入超过10万甚至上百万，刷屏工作室号称每天至少能刷1000万个节目，非法获利也相当可观。但是目前关于视频刷的法律并不完善。在国内首例针对刷牙的起诉案中，一家刷牙公司造成爱奇艺网站至少9.5亿次虚假访问。公司还承接了其他主流视频平台的刷机业务，保守估计非法获利100多万，但最终只判给50万赔偿。

2.3.刷黑刷灰产业链概述

2.3.1.成员模式和访问者模式

目前主流的视频回放分为两种模式，一种是会员登录回放，一种是访客模式。两种播出模式下也诞生了两种不同的分工明确的刷量产业链。

对于刷产业链的成员模式，整个产业链可以分为上、中、下游三个模块，如下图所示:

要在会员模式下完成视频刷机，必须先注册大量平台账号。上游账户注册环节的详细分析如下:

角色和资源

a)卡商:通常是打着正常业务的幌子，通过各种渠道从运营商或代理商那里获取手机卡资源，然后加价卖给下游卡商、收码平台、下游号码商赚取差价。手机卡可分为虚拟卡/真实卡、语音卡/短信卡、海外卡/国内卡、流量卡/登记卡。

b)收码平台:负责将卡商与有手机验证码需求的群体联系起来，提供软件支持、业务结算等平台服务，通过业务共享盈利。

c)编码平台:主要用于识别图片验证码的平台。注册视频网站账号时，我们通常会使用各种形式的验证码，防止机器批量注册，编码平台可以打破这种限制。编码平台可以用软件机器编码，也可以雇佣“编码员”手工编码。

d)代理IP:代理IP平台提供了大量的代理IP资源，可以以代理IP为跳板隐藏自己的真实IP。通过不断切换IP，可以绕过视频平台在IP维度的风险控制策略。

e)二次拨号:二次拨号可以理解为拨号VPS，即动态拨号虚拟机，可以通过宽带拨号切换IP。相对于代理IP，二拨机拨打的IP才是真正的宽带拨号IP，对于视频平台来说更难检测和控制。

成本和利润分析

a)卡商:每个手机卡的价格根据手机卡的类型不同而不同，部分卡类的平均价格如下:

卡商将黑卡连接到代码接收平台，并提供接收手机验证码的服务。根据注册项目不同，每个手机验证码可以赚取0.01元到3元不等的收入。

b)密码接入平台:除了平台本身的手机卡密码接入的利润外，收入的另一部分是接入卡提供商在接收和发送验证码中的收入份额，一般在30%左右。

c)编码平台:编码价格根据验证码的类型和复杂程度而有所不同。下面是一个编码平台价格的例子:

刷工作室将向软件开发商购买爱奇艺、优酷、腾讯视频等视频平台批量注册的注册机床，结合收码平台和编码平台，快速批量注册平台账号。一些工作室还会直接从号码提供商那里购买大量平台会员账号。最后，视频可以播放、赞、评论等。通过协议破解刷工具、群控或手动刷。

访客模式刷屏产业链和会员模式产业链最大的区别就是不需要登录账号就能完成视频刷屏。在访客模式下，对于黑灰帮，刷机过程中的账号成本降低，但是对于视频平台，缺少用户ID的检测维度，提高了刷机行为的检测难度。通过对刷帮的调查分析，访客模式是目前的主流刷帮模式，具体刷帮手段详见2.4节。

2.3.2.刷价

刷价与平台大小和台风控制规则有关。我们整合了不同刷帮的报价，统计了各大视频平台的平均刷价，如下图:

刷量业务和刷量价格会随着平台控风对抗强度和有效性的变化而调整，具有较强的时效性。比如2018年7月爱奇艺加强了反刷单措施，部分刷单团伙暂停相关业务，直到部分卖家声称拥有独家非刷单技术，但刷单价格猛涨至100元/万次。2018年9月3日，爱奇艺宣布关闭前台展示后，很多工作室表示不再承接相关业务。

2.4.刷法详解

2.4.1.协议破解:高效快速的交付

协议破解，即黑灰色产品通过破解客户端和服务器端通信中的通信协议和算法，伪造相应的请求和参数，直接访问通信接口。

以我们2018年4月拍摄的最新版本工具“天龙刷视频软件”为例，支持优酷、腾讯视频、爱奇艺、芒果电视、乐视视频等多个视频平台的刷屏。如下图，软件内部为芒果电视构建的URL和HTTP请求头:

为了避免单个IP多次访问，这类工具还内置拨号功能和代理IP网站接口。如下图所示，该工具可以通过内置的消息代理接口批量获取代理IP，因此这种刷机行为无法单独从IP维度进行识别:

这类工具主要是通过用户购买卡密充值的方式盈利，但由于工具可以从外部获取，可以通过逆向调试分析其核心逻辑，有人破解发布免费版本，导致这类工具基本上不再销售。目前“天龙刷视频软件”这类工具已经被Brush Studio收购作为内部工具使用。

2.4.2.群控:群控升级，降低黑灰生产运行成本

目前很多黑灰制作工作室都在使用一种新型的群控，我们称之为箱式群控。箱式群控是传统群控的升级变种。与传统群控相比，箱式群控不再需要外置手机设备，而是直接将多个手机芯片封装在一个机箱内，通过网络将手机屏幕显示在安装在控制计算机上的客户端，降低了手机电池和屏幕的硬件成本，节省了空的占地面积，箱式群控的体积仅为普通台式电脑机箱的四分之一。下图显示了盒组控件的内部结构:

箱式群控软硬件成套销售。箱式群控软件在稳定性、软硬件兼容性、功能完善性等方面明显优于传统群控软件。通过虚拟划分手机芯片的内存可以实现多开，每个手机芯片可以拆分成十个“手机”，每个“多开手机”可以伪造不同的设备信息，比如IMEI、手机定位、本地号码、网络信息等。还可以批量安装应用，设置代理IP，通过电脑客户端操作修改手机设备信息。箱式群控与传统群控的优缺点如下:

总之，箱式群控大大降低了黑灰制作工作室的人工操作成本，同时解决了传统群控配置复杂、操作繁琐、电池损耗的问题。

在一定程度上，通过使用刷牙的分组控制，解决了协议破解困难和人工刷牙慢的问题。使用自动化脚本进行批量注册和刷机的一般操作流程如下:

多部手机同时注册账号:

l使用换机软件伪造设备指纹，打开App点击注册；

l调用收码平台API，接收并输入手机号码，点击收集验证码，等待收码平台返回验证码后输入完成注册；

l将换机工具的账号、密码、设备信息记录成文本文件，返回第一步进行下一轮注册。

多部手机同时刷机:

l伪造设备指纹，打开视频App；

l搜索需要刷的视频，打开视频，根据回放设置开始刷，完成后返回第一步进行下一轮刷。视频播放设置包括设置播放时长、设置音量、是否连续播放、选择清晰度、自动刷新、自动清空缓存等。

2.4.3.流量中断:流量来自全国各地的真实用户IP

流量挂机是根据P2P原理实现流量优化、视频刷机、刷机排名等功能的数据诈骗模式。由挂机用户和流量需求用户两部分角色完成。

一、大量挂机用户下载并运行挂机软件，填写账号或挂机号，并保持在线。根据挂机时间和完成任务数，可以赚取平台积分，最终实现。流量用户是有推广需求的用户，可以在流量平台发布任务。服务器将收到的任务请求分发给挂机用户，自动完成刷机任务，流量数据来自全国各地的真实电脑用户。

挂机用户挂机赚取积分:某挂机软件界面如下。下载并登录挂机软件后，选择赢取积分模式，点击开始赢取积分，即可自动开始获取任务并自动执行任务。任务执行成功后，您将获得相应的积分:

交通需求用户发布任务:以某交通工具为例，介绍任务发布的基本设置:

l视频链接:填写需要优化播放音量的视频链接地址；

l视频名称:填写视频链接后会自动识别，不需要手工填写；

l计划播放量:填写视频预刷日播放量；

l流量时间控制:有两种模式，即平滑模式和高速模式:

n平滑模式:系统自动分配0-23分之间的预刷量，一般推荐默认，适合短时间内不急需大量回放的客户；

n高速模式:用户设定的预刷量可以在最短的时间内完成，一般预计在1-6小时内完成。适合迫切需要在短时间内提高播放音量的用户。

l设置好所有设置后，保存任务，点击开始，立即优化任务。

下图为视频刷任务设置界面:

成本和价格

对于挂机用户来说，一般单个客户端挂机24小时就能盈利几毛钱到几块钱不等。挂机收益与多种因素有关，包括但不限于计算机配置、网络状况、计算机系统的空闲率空、服务器分配的任务数量、服务器分配的任务类型、软件上的优化速度设置、软件上线时间等。

对于有流量需求的用户来说，视频刷屏的成本根据他们刷的视频平台而有所不同。除了播放量的基本费用，根据设定的IP号和刷机方式，在基本流量费用的基础上收取额外费用。以下是一些视频平台对流量挂机平台的收费标准:

2.4.4.多重开放模式:最低技术门槛

多开模式主要是通过视频窗口多开来达到刷机的目的。这种模式技术难度和成本相对较低。主要有两种方式:多浏览器和多模拟器。

用浏览器看视频，需要清理浏览记录和历史数据，然后打开无缝窗口用Flash播放器观看。目前UC浏览器和360浏览器比较稳定有效，具体刷机流程如下:

打开浏览器，下载自动刷新插件；

打开视频网站，搜索需要刷的视频；

设置自动刷新时间必须大于广告时间，一般2-3分钟为宜；

自动刷新插件必须勾选自动清除缓存，设置成功后点击启动；

浏览器可以根据电脑的性能同时打开更多窗口和画笔，窗口需要作为独立的窗口口拖出，不能最小化窗口；

视频播放不能静音。

通过浏览器打开更多的笔刷，无需登录视频平台会员账号，使用其他工具就可以完成的笔刷数量可以说是零成本。据估计，浏览器每3分钟多打开25个窗口，每台电脑每小时可以完成500刷。

模拟器多开是浏览器多开的优化版。通过伪造模拟器参数，结合代理IP，可以在多个模拟器上实现同时刷机。

为了解决单IP ban的问题，一个代理客户端内置了老Chrome浏览器，可以打开更多的浏览器，为每个浏览器分配不同的代理IP，如下图所示:

2.4.5.手动刷洗:流速真实有效，难以检测

当具体要求的视频刷机任务比较困难或困难时，可以通过人工刷机完成，分为付费任务调度和免费平台互刷。

刷任务分配是指通过QQ群、贴吧等渠道给真实用户打电话，使用自己的账号对特定视频进行观看、赞评。一个会员每链接算一个玩法金额，按链接数结算后每链接可获得0.1-0.5元不等的现金奖励。

平台互刷是分享互刷群中需要刷的视频链接。小组成员按要求互相点击，一般要求看完整视频。

手动刷机模式是真实用户的真实操作，技术上无法检测。方法简单，没有技术壁垒，但是刷的成本比较高。从目前监控的信息来看，这种模式在视频刷机中应用并不广泛。有的画室声称自己的刷屏方式是纯手工刷屏，但是报价远低于成本，可能只是画室的一种宣传手段，最后刷屏会通过其他低成本的方式来完成。

2.5.笔刷模式的优缺点比较

以上五种刷牙方式各有利弊，我们进行对比分析:

2.6.刷量特征和反欺诈策略

根据主流视频平台与刷帮的攻防对抗，我们总结出以下刷特点:

视频平台与黑灰制作的攻防对抗一直存在。以下是威胁猎人建议的反欺诈策略:

3.网络视频流量诈骗黑灰制作团伙分析

3.1.刷黑灰生产者人口数据

3.1.1.规模和大小

威胁猎人通过长期监控视频刷屏的黑灰制作业务，联系了视频刷屏的相关群体，并积极接洽了几家大型刷屏团伙和工作室，了解到一家大型工作室维护服务器和囤账的月成本高达百万，但很快就能回笼。据推测，目前从事视频刷屏的黑灰制作员工有几十万人，年产值几十亿元。

3.1.2.年龄层次

从年龄分布来看，刷工主要集中在90后，占从业人员的60%以上。90后不仅是当代消费的主力军，也是当代黑灰色产业的主力军。作为80年代初接触互联网的人之一，他们也占到了黑灰产量的近20%。详情如下图所示:

3.1.3.地理分布

下图是刷员工的地理分布。可以发现，刷工集中在我国东部地区，其中北京、广东、河北、浙江、山西占据地理分布榜前五位，基本符合经济发展水平和人口密度分布。可见，经济越发达的地区，网络犯罪越频繁。相对来说，在经济不发达地区，网络犯罪还没有形成规模。详情如下图所示:

3.2.大多是工作室的形式

毛笔行业的从业人员大多以工作室的形式存在。工作室成员分工明确，有自己的技术团队、运营团队和销售团队。工作室成员的数量根据公司的业务范围从几十人到数百人不等。

让我们以一个工作室为例，它详细展示了自己的团队成员结构:

3.3.业务类型多样化

从事网络视频刷屏的工作室帮派，往往不仅仅是从事单一业务，还涉及多个业务领域，如微博、新闻网站、微信官方账号、客户、小红书、颤音等推广业务，甚至可以承接国外市场推广。经营范围明显盈利。现在热门的短视频和直播行业，美容化妆品App等。是黑灰工作室推广的主要业务。以下是一个工作室团队可以承担的业务示例:

P2P流量暂停平台可以提供的服务示例:

3.4.快速技术更新

专业刷单从业者可以说对视频网站的风险控制细节了如指掌，比如一个视频平台一周会调整多少次参数，多久重置一次数据等。除了平台安全团队本身，刷帮可能是最关心平台风险控制策略的群体。刷黑刷灰的工作人员通常是团队工作，有自主开发的技术和平台，能够及时响应平台更新的风险控制策略，开发出新的刷算法。

根据一个视频平台的注册机床，该工具已经迭代更新，更新频率可以达到一天五个版本。每次更新都意味着黑灰制作和平台的对抗游戏:

3.5.走在灰色地带

与电信诈骗、非法出售公民信息等犯罪不同，刷量一直徘徊在法律的灰色边缘地带。一些从事广告推广、营销、公关活动等正常业务的工作室也会承担刷屏业务，刷屏业务打包成所谓的视频数据维护业务，工作室有正式的注册信息和网站，部分工作室还可以提供合同和正式发票。比如下图是官网某视频刷工作室的业务范围和介绍:

其中，数字营销业务涉及视频刷等灰色业务:

4.写在最后

交通大战中，视频刷动了谁的奶酪？

报道一开始就指出，从长远来看，无论是视频平台，还是广告主和制作人，都是受害者。在整个视频流量游戏中，刷黑灰制作的从业者可能是唯一的受益者。但现阶段，由于各种原因，一些群体想要对抗黑灰色生产，却受到资源和能力的限制，显得“无能为力”；另一方面，一些群体为了短期私利破坏市场竞争环境，对刷单行为视而不见，甚至在幕后推波助澜。

幸运的是，一个在线视频平台率先不断地直面视频的黑灰制作，效果显著。下图是爱奇艺2018年下半年遭受视频刷攻击的趋势图。随着2018年9月平台上线，包括关闭前端播放音量显示的新策略，刷袭一度如坠悬崖:

但少数平台的主动对抗并不能严重破坏视频的黑灰制作，需要全行业联手，共同净化市场环境。

从整个互联网内容行业来看，刷屏是一只必须被淘汰的害群之马。互联网内容产业如何健康可持续发展，有赖于内容展示平台、内容提供商、广告主、用户等利益相关者之间的长期相互关注和信任。威胁猎人作为一家专业的黑灰制作第三方信息研究机构，将继续关注画笔产业链的发展变化，与各方共同努力，为互联网内容行业营造健康、清洁的市场环境。