家里老人的老年机突然收不到短信？孩子的儿童手表总弹出陌生登录提醒？

你可能没意识到 —— 你的手机号正在被黑产 “远程劫持短信” 。

【赌狗吧-老哥交流社区】基于对黑产动态监测数据显示：近期针对老人机、儿童手表等低端设备的 “验证码短信劫持” 攻击持续蔓延，黑产通过在设备里预装后门，偷偷拿走你手机里的所有短信（包括验证码），用来批量注册 APP、套取优惠券，甚至直接盗走你的账户。

更可怕的是，这些被劫持的号码全是真人在用的 “正常号” ，企业无法基于常规的号码特征识别风险，普通人也很难察觉。

本文基于对该攻击的研究，拆解此类黑产作恶流程，对比与传统接码手机号差异，客观呈现企业营销成本流失、用户画像失真和账户盗用等高危风险，为用户及企业的风险防范策略提供参考意见。

这些被劫持的正常用户号码，黑产一般被称之为“拦截卡”。监测情报发现，黑产作恶的主要手机号资源有两种类型：

猫池卡：手机卡掌握在黑产手中，并插在特殊设备“猫池”上收发短信验证码，属于传统接码手机号。

拦截卡：手机卡插在正常人持有的设备上，设备存在后门导致短信验证码被黑产拦截。本文所讲的“短信劫持攻击”指的就是这类拦截卡攻击。

一、短信劫持攻击介绍

1.1 黑产作恶手法分析

简单讲，短信劫持的核心是 “控制你的设备，偷你的短信” 。黑产勾结无良设备生产厂家植入病毒后门，或者通过钓鱼链接诱导用户安装恶意软件，导致短信接收权限被窃取。

黑产可自由获取插入设备的手机卡接收到的所有短信，包括验证码短信。而使用此类设备的往往是家里老人、孩子在用，他们对于 “手机突然收不到短信” 没概念，防范意识较弱。

低端设备验证码短信劫持是号卡实体由普通人持有，但用户所用设备被黑产或设备生产厂家植入病毒或后门，导致短信接收权限被窃取，进而使验证码短信遭劫持。此类设备多为老人机、儿童手表等低端设备，其核心特征在于卡本身属于正常用户持有，但被黑产非法操控。

1.2 验证码短信劫持对企业造成的风险

监控发现，自2025 年9月份以来，已有 13 个行业、超 28 家头部企业 遭遇过短信劫持攻击，核心风险集中在以下 3 类：

1）营销欺诈风险

被劫持号码在营销欺诈的场景下，与传统接码手机号使用逻辑一致，通过批量注册平台账户，抢占优惠资格并消耗企业营销费用。

2）社交平台引流风险

【赌狗吧】国内多个主流社交 APP 均出现了大量劫持短信攻击，这类攻击属于黑产批量注册社交账号，进而实施营销引流、诈骗等社交领域作恶；

运营团队 10 月初捕获的数据显示，在短信劫持类攻击场景下，国内不同社交平台近期正遭遇严峻的安全攻击挑战。

如下图所示，除平台 A 外，其余社交平台的攻击成功率均达到 50% 以上。

大量攻击行为得以突破现有防御，成功完成非法注册。

3）用户账户被盗用风险

比起新账号注册，老用户的账号被盗更可怕。因为黑产能获取到正常用户的短信，所以黑产在批量注册账户的同时，会对账户状态进行检测分类。

若号码持有人已注册目标应用，便窃取其真实账户用于作恶，黑产称此为 “扫老” 或 “老号” 操作。

二、黑产为何选择劫持真人手机号

2.1 劫持接码手机号对传统接码手机号的优劣势对比

【赌狗吧】劫持接码手机号凭借 “真人持卡” 的核心特征，黑产在多个行业的作恶活动中，逐步放弃使用传统接码手机号，转而使用被劫持手机号进行作恶。

其与传统接码手机号的差异如下图所示：

由上述对比可见，劫持手机号具备隐蔽度高，和真人用户相仿，企业风控难度大的的特点，使得黑产作恶成功率大幅提高，部分黑产致力于寻求高质量的劫持手机号接码平台用于作恶攻击。

2.2 劫持接码手机号的防范难点

2.2.1 窃取真人号卡：风险边界模糊

运营团队分析发现，涉及号码具备两大典型特征：

1. 从归属情况来看，涉及号码归属运营商与地区分布呈现分布广泛的特征。

2025 年以来，捕获新增被劫持号码近200万张。归属国内三大运营商号码占比高达 99.91%，其他运营商占比仅 0.09%；

【赌狗吧】劫持号码分布广泛，覆盖全国多个省份。

其中活跃度较高的省份包括广东、山东、四川、河南等地；其中，劫持号码进一步分布至各地级市，包括广东省21个地市、四川省21个地市、河南省19个地市。

2.从号码的在网情况进行分析

被劫持手机号在网时长普遍超过 2 年，长期处于正常在用状态；而号卡关联真实用户日常行为（如通话、消费），完全符合 “正常用户” 的基础画像。

以上原因导致企业基于手机号维度特征的风控策略难以生效，如果仅从手机号维度调整风控规则，极易误伤其他正常用户，进一步增加风控策略制定难度。

2.2.2 黑产转移迅速：源头难断

【赌狗吧-老哥交流社区】长期监测发现：操控此类物料的黑产长期隐匿于私域渠道，难以定位接触，且自身警惕性极高。

2024 年以来，相关黑产呈现 “打击 - 收缩 - 反弹” 的循环态势 —— 遭受打击后会迅速隐匿，待打击力度减弱后，便快速重启作恶链路，导致该类黑产行为难以从源头根治。

三、短信劫持黑产平台的发展趋势

3.1 “短信劫持” 类黑卡讨论热度变化趋势

【赌狗吧-老哥交流社区】运营团队深入追踪发现，2025 年初，黑产对 “短信劫持” 类黑卡的讨论频率相对较低，至 5 月其讨论热度开始持续上升。

进一步监测显示，黑产对此类话题的讨论热度与其实际作恶活跃度高度契合。热度暴涨的背后，是 黑产的 “作恶需求” 爆发 —— 越来越多的企业加强了传统接码手机号的风控，黑产只能转向 “更真” 的劫持号。

3.2 交易门槛越来越低，卡密交易兴起

发现一类新的劫持手机号交易模式正在兴起，即使用发卡平台卡密进行交易。卡密交易的出现降低黑产获取作恶资源的门槛。

一般交易方式：需要联络黑产平台开设账户，约定量级，使用加密货币交易；接码时间受平台运营限制，黑产平台后台监控管理用户取号行为；

卡密交易方式：购买发卡平台卡密即可使用，可使用常见交易方式（支付宝、微信支付），无需开设账户提前约定量级，随买随用。

四、防范指南

4.1 普通人防范措施

调查劫持类型手机卡的来源发现，基本都来源于老人机、儿童手表等低端设备：

一方面，低端设备行业部分企业运营不规范，难以保障供应链安全，甚至勾结不法团伙在生产环节预装后门，低价设备销往全国形成风险源头；

另一方面，老年人、儿童对智能设备认知有限、安全意识薄弱，加剧受害风险。

对此，建议：

1、设备选购：优先从正规渠道选有安全认证、口碑好的产品，避免无品牌、无资质、无实体的 “三无产品”；

2、日常核查：定期排查短信（重点关注验证码、账户通知类信息）及关联账户（如支付、社交和出行账号）登录 / 操作记录，发现信息缺失或陌生操作，立即冻结账户并联系平台核查。

4.1 企业防范措施

黑产依托老人机、儿童手表等低端设备持续作恶，以 “真人持卡” 绕过企业常规风控，加大企业监测防范难度。

针对其用于营销欺诈、外部引流、账户盗用等问题，企业需及时摸清黑产作恶手段，依托关联情报，从 “被动防范” 转向 “主动防御”：提取黑产物料资源的核心特征，结合自身注册、营销、账户安全等业务场景建立更精准的风控规则，进行针对性防御。

 “手机号画像服务” 以全面情报监测体系为支撑，深入追踪黑产动态、全面覆盖各类黑卡资源；实时追踪黑产关键话题热度变化，提供作恶趋势预判、风险等级划分等情报。

目前已精准捕捉此类黑卡资源核心特征，标注为 “拦截卡” 标签（风险等级 risk7）。为企业在注册、营销、账户安全等场景提供前置防御建议，助力企业提前布控，规避营销费用损耗、社区环境污染、用户账户被盗等风险。

• 短信劫持
• 真人手机号
• 黑产攻击
• 远程劫持短信
• 儿童手表
• 老人机
• 窃取验证码短信
• 猫池卡
• 拦截卡
• 恶意软件