有個安全圈朋友告訴雷鋒網，最近有一批黑產特大團伙被抓了。據說，在移動網絡環(huán)境下，如果在手機瀏覽器中點擊培訓機構、金融、醫(yī)院等相關網站，手機號碼、手機型號、搜索記錄等信息就會被無聲無息地抓走，你就成了“精準營銷”的對象。

“我要是在瀏覽器里從來沒填過手機號碼呢？”

“一樣。”

“清空cookie 呢？”

“一樣。”

這……雷鋒網驚呆了，直到今天進了一回局子——沒干壞事，就是去了海淀公安分局，參加了上述朋友說的特大黑產案件發(fā)布會——海淀分局網安大隊副大隊長董立波告訴雷鋒網，起初他們發(fā)現(xiàn)很多網友遭遇這個類型的案例時，也是很驚訝的。

比如，小林用手機搜索“英語學習”，點開了一個培訓網站。5秒后，他的手機響了：“您好，請問您在英語學習上是不是遇到了困難，我們這里有XXX培訓，有這些套餐，我給您介紹一下……”

這也罷了，萬一有難言之隱，好不容易鼓起勇氣在某某醫(yī)院網站搜索下“X 病”，營銷電話打過來：“先生你好，聽說您身體不太舒服，我們這有最好的男科大夫，您需要嗎？”

這就尷尬了……

近4萬個網站使用代碼，每天500萬次用戶受影響

董立波與同事梳理案件時，開始有個小小的猜測：“是不是公民信息在其他地方泄露，所以才有這種騷擾電話？”

但是，后來接到更多舉報后，他們發(fā)現(xiàn)，事情沒有“這么簡單”。

雷鋒網從海淀分局了解到，一名IT 界的“海淀網友”小張搜索到了這樣的推廣信息“提供手機號抓取服務，詳情請?zhí)砑観Q 好友私聊”。

為了確認這個網站提供“服務”的真實性，小張按照對方 QQ 的提示，注冊了該網站的會員，并免費試用該抓取代碼三天。小張建立了一個小網站，測試完后，發(fā)現(xiàn)真的可以在手機用戶瀏覽過后，抓取到手機號、型號等信息。

警察蜀黍和協(xié)助海淀分局辦案提供技術支持的百度安全對該網站溯源研究后，發(fā)現(xiàn)事情更不簡單了！

【左：董立波 右：百度安全事業(yè)部副總經理沈鵬飛】

原來，這個“提供特殊服務”的網站僅僅只是整個犯罪過程中的一個環(huán)節(jié)。

下面，雷鋒網來揭秘整個龐大的黑產鏈條。

所謂“提供特殊服務”的網站其實只是數據抓取技術銷售代理商，即從一級抓取手機號等數據的技術服務提供者（代碼編寫者）處購買了源代碼，然后轉售了一些代碼給目標用戶，屬于二級網站，三級為數據抓取技術使用者。

通過對二級網站源代碼進行解析，警方發(fā)現(xiàn)，二級網站的整體架構均由一級提供，且非法獲取的信息公民信息要先返回一級服務器，后由一級轉給二級。

收費方式分為兩種：第一種是二級需提前向一級充值，一級按照條數計費，獲取一條扣一條錢，扣完服務終止；第二種是直接一次性出售代碼。

隨著市場情況的變化，這類黑產還會推出包月和包年的付費方式。

最匪夷所思的是，三級網站也有等級制度，需要在二級網站上注冊登錄才能看到自己想要的信息。

為了保證這是“活水”，有源源不斷的收益，一級網站設置了所有抓取的個人信息會在第一時間發(fā)送到一級網站的服務器，再銷給二級網站。

背后的利益關系十分復雜，警察蜀黍梳理案件兩個月后，發(fā)現(xiàn)這是一個大案！

于是，他們在 7 月 24 日立案，并將次行動定為“濾網行動”。在這個過程中，18 個工作組前往 15 個省 18 個地市開展了偵查工作，發(fā)現(xiàn)了這個驚人的黑產網絡：一級網站下有 32 家二級網站在正常運營中，27 家二級網站存儲了 5000 條以上的公民信息。而且，有些信息是個人極為隱私的信息，比如不孕不育、男科婦科疑難雜癥等。

在這個案件里，有幾個數字比較可怕：近百個代碼開發(fā)運營者、約 300 多個代碼推廣者，近 4 萬個網站使用代碼，每天約有 500 萬次用戶受影響。

百度安全事業(yè)部副總經理沈鵬飛在發(fā)布會現(xiàn)場算了一筆賬：僅按照一個網站交一年年費 8000 元來算，這類黑產團伙的年收入能達到 3.2 億。

經過嚴密取證后，9月25日，警察蜀黍抓獲了 26 家涉案網站多名違法犯罪嫌疑人，截至目前，已有 33 名犯罪嫌疑人經檢察院批準逮捕。雷鋒網了解到，這個數字還在上升中。

【部分嫌犯抓捕現(xiàn)場】

"神秘代碼”為何擁有如此魔力

話說回來，這段"神奇”的代碼究竟是怎么回事？

據沈鵬飛介紹，用戶點擊進入竊取數據代碼使用者的網站后，網頁一邊會吭哧吭哧地加載正常的內容，一邊開始了小動作——先偷偷隱藏加載竊取數據代碼開發(fā)者的訪客記錄代碼，然后加載讀取手機號碼的代碼，請求運營商數據接口讀取手機號，再將訪客手機號、搜索的關鍵詞、URL、訪問的時間、訪問的IP、搜索引擎等相關信息發(fā)送至一級網站的服務器。

一級網站把信息發(fā)給二級網站，二級網站再把信息發(fā)給三級網站，三級網站客服獲得訪客手機號后定向營銷。

如果被騷擾質疑網站是怎么得到了手機號，客服通常會謊稱是網絡服務商提供的，讓后者“背鍋”。

問題來了，為什么這段代碼可以請求調用運營商數據接口？原來，黑產找到了運營商接口的漏洞，編寫了漏洞利用程序，從接口獲取了數據。

百度安全的研究員先后發(fā)現(xiàn)了 5 個被黑產利用的接口，并與黑產開展了五輪攻防對抗。與運營商合作封掉這 5 個接口后，居然又發(fā)現(xiàn)了兩個可被使用的接口……黑產不斷變換方式躲避監(jiān)管，剛剛打掉一波，另一波又冒頭了。

如此放任下去，這事就會像割韭菜一樣，割了一茬又一茬。怎樣才能對黑產產生巨大的威懾作用？

曾有對抗黑產的安全研究員告訴雷鋒網，與警察蜀黍合作，立案偵查，抓捕嫌犯，才是震懾黑產的最有效路徑。安全研究員反饋情況后，警察蜀黍開始“放大招”收網。

百度安全的研究員證實，在配合警方打擊此類黑產的過程中，他們監(jiān)測到 4 萬個使用該類代碼的網站在數月間消失了 3 萬多個，對于剩下的這類網站，他們仍然在持續(xù)監(jiān)測和對抗中。

寫在最后

采訪該案時，雷鋒網還發(fā)現(xiàn)了幾個重要信息：

1.一位媒體同行現(xiàn)場提問：“在這起案件中，公民應該如何保護自己的隱私?！本焓袷虺聊艘粫?，建議大家不要點擊小網站。事實上，雷鋒網了解到，這事不是個人用戶的鍋，也不是搜索引擎的鍋。那么，是誰的鍋？后續(xù)看證據說話。

2.據警察蜀黍介紹，他們剛開始注意到這起案件“并不簡單”，是因為有很多人發(fā)博文陳述了被騷擾經歷并艾特了“平安北京”等官方號。所以，如果下次要舉報相關違法行為，你懂的。

3.購買這類代碼服務也是違法行為，切記切記！不然，下面這些人會來抓你的。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。