很多刚接触 Facebook 账号交易的人,拿到一串像 c_user=61581247528965;xs=20:-ZDH5u930PiGaQ... 这样的数据时,整个人都是懵的。这串乱码一样的字符到底是什么?为什么卖家强调 "Cookie 和 Token 齐全 " 的账号更贵?说白了,这两个东西就是 Facebook 识别 " 你是谁 " 的两把钥匙,只是开门的方式完全不同。
Cookie:浏览器里的身份铭牌
Cookie 本质上就是一小段文本文件,存在你的浏览器里。当你第一次输密码登录 Facebook,服务器会往你的浏览器塞几个 " 小纸条 "——c_user记录你的用户 ID,xs是会话密钥,fr和 datr 则用来追踪设备指纹和防止欺诈。下次你打开 facebook.com,浏览器会自动把这些纸条递过去,服务器一看:" 哦,是 61581247528965,上次验证过密码了,直接进。"
这也是为什么 " 导入 Cookie 就能登录 "——你直接把别人的纸条塞自己浏览器里,Facebook 服务器认纸条不认人。不过这东西有保质期,xs通常几周后就会失效,而且换设备、换 IP、清缓存都会让它报废。
Token:程序世界的永久通行证
如果说 Cookie 是临时门禁卡,Token 更像一把配好的钥匙。那串以 EAAAA 开头的长字符串,是 Facebook 给第三方应用或 API 调用颁发的 OAuth 凭证。拿到它,程序可以直接以该用户身份发帖子、拉数据、操作广告账户,根本不需要过登录页面。
Token 的可怕之处在于隐蔽性。普通用户被盗 Cookie,至少还能在 " 登录设备 " 里看到陌生浏览器;Token 被盗?你的账号可能在毫不知情的情况下,被某个境外服务器操控了数月。2018 年 Cambridge Analytica 事件就是典型——8700 万用户的 Token 被违规获取,用于政治画像分析。
为什么黑产偏爱 "Cookie+Token" 套餐?
看原文那个发货格式就懂了:uid| 密码 |2fa| 邮箱 |cookie|token。密码和二次验证只是入门门槛,真正有变现价值的是后两者。Cookie 用于快速 " 养号 "——批量导入浏览器伪造真实用户行为;Token 则对接自动化工具,实现发帖、点赞、广告投放的流水线作业。一个带有效 Token 的 FB 老号,在特定市场上能卖到普通账号的 3 - 5 倍。
更值得警惕的是,Token 往往比 Cookie 活得久。即使用户改了密码、清了 Cookie,某些长期授权的业务 Token 可能仍在生效——这也是 Facebook 近年强制缩短 Token 有效期、推行细粒度权限审核的原因。
当你下次再见到那串 EAAAA 开头的字符,至少要知道:它不只是乱码,而是一把能替你发言、替你消费、替你承担法律责任的数字签名。
