有个安全圈朋友告诉我们,最近有一批黑产特大团伙被抓了。据说,在移动网络环境下,如果在手机浏览器中点击培训机构、金融、医院等相关网站,手机号码、手机型号、搜索记录等信息就会被无声无息地抓走,你就成了“精准营销”的对象。
“我要是在浏览器里从来没填过手机号码呢?”
“一样。”
“清空cookie 呢?”
“一样。”
这……小编惊呆了,直到今天进了一回局子——没干坏事,就是去了海淀公安分局,参加了上述朋友说的特大黑产案件发布会——海淀分局网安大队副大队长董立波告表示,起初他们发现很多网友遭遇这个类型的案例时,也是很惊讶的。
比如,小林用手机搜索“英语学习”,点开了一个培训网站。 5 秒后,他的手机响了:“您好,请问您在英语学习上是不是遇到了困难,我们这里有XXX培训,有这些套餐,我给您介绍一下……”
这也罢了,万一有难言之隐,好不容易鼓起勇气在某某医院网站搜索下“X 病”,营销电话打过来:“先生你好,听说您身体不太舒服,我们这有最好的男科大夫,您需要吗?”
这就尴尬了……
近 4 万个网站使用代码,每天 500 万次用户受影响
董立波与同事梳理案件时,开始有个小小的猜测:“是不是公民信息在其他地方泄露,所以才有这种骚扰电话?”
但是,后来接到更多举报后,他们发现,事情没有“这么简单”。
我们从海淀分局了解到,一名IT 界的“海淀网友”小张搜索到了这样的推广信息“提供手机号抓取服务,详情请添加QQ 好友私聊”。
为了确认这个网站提供“服务”的真实性,小张按照对方 QQ 的提示,注册了该网站的会员,并免费试用该抓取代码三天。小张建立了一个小网站,测试完后,发现真的可以在手机用户浏览过后,抓取到手机号、型号等信息。
警察蜀黍和协助海淀分局办案提供技术支持的百度安全对该网站溯源研究后,发现事情更不简单了!
【左:董立波 右:百度安全事业部副总经理沈鹏飞】
原来,这个“提供特殊服务”的网站仅仅只是整个犯罪过程中的一个环节。
下面来揭秘整个庞大的黑产链条。
所谓“提供特殊服务”的网站其实只是数据抓取技术销售代理商,即从一级抓取手机号等数据的技术服务提供者(代码编写者)处购买了源代码,然后转售了一些代码给目标用户,属于二级网站,三级为数据抓取技术使用者。
通过对二级网站源代码进行解析,警方发现,二级网站的整体架构均由一级提供,且非法获取的信息公民信息要先返回一级服务器,后由一级转给二级。
收费方式分为两种:
第一种是二级需提前向一级充值,一级按照条数计费,获取一条扣一条钱,扣完服务终止;
第二种是直接一次性出售代码。
随着市场情况的变化,这类黑产还会推出包月和包年的付费方式。