“支撑‘小叁工作室’运行的基础，是大面积流窜的手机黑卡”，白浪告诉记者：“目前，手里有十万张卡以上的卡商，几乎都做过刷单注册。而且，小叁平台每天都会有几万张卡上线，三家平台，每个月需要几百万的卡。”

卡商，是围绕三大运营商、虚拟运营商生存的养卡产业链。在电信行业，多数运营商员工为了完成每个月的开卡KPI任务不得不“批量开卡”、“养卡”。起初，由于实名制管理不严格，员工可以轻易批开成千上万的手机卡。此类手机卡一度是电信诈骗的主要号码来源。

2014年开始，工信部、公安部启动打击黑卡行动，对运营商严格要求实名制，运营商对各营业厅、渠道不断改进实名制流程，实名制过程先后经过了远程扫描、营业厅终端扫身份证等过程。2017年1月1日，三大运营商开始陆续在营业厅、渠道安装高拍仪，对实名认证启动了人脸识别。

但遗憾的是，运营商每一次启动的实名制监管程序都难免有漏洞。以中国电信为例，2017年1月6日，中国电信集团签发《关于二代身份证阅读器控件升级及秘钥控制功能上线的通知》，但在秘钥上线的同时就有破解团队称“已获取秘钥”;中国联通部署的高拍仪识别系统也被破解，有渠道商在激活手机卡时上传了多个宠物图片，依然能通过审核。

虽然目前所有手机号都已经进行实名认证，但由于漏洞存在，卡商依然可以通过目前网上泄露的身份证信息批量开卡、激活。卡商、运营商员工滥用公民身份信息的同时，依然给电信诈骗留有通道。当然，绝大部分手机卡都被用于各类App的虚假注册、绑定等任务，成为“羊毛党”的弹药库。

同时，在卡商与“羊毛党”之间，还存在“接码平台”——大批量注册时，人工读取验证码效率极低，卡商普遍通过软件平台来批量提取短信验证码、语音验证码，这类平台被称为接码平台，目前市场上现存数十个接码平台。

以去年上线的“玉米”接码平台为例，21世纪经济报道记者在该平台发现，有430多个卡商提供平安金管家注册卡号，每个卡商都会对接20多个刷单手。除了平安金管家之外，京东商城、陌陌科技、携程、百度糯米均有数百卡商对接。当然，除了此类公开平台之外，记者还接触到多个储存了几十万、数百万黑卡的私人平台。2016年11月，警方曾破获一个拥有700万张手机卡的团队。