文章插图
采访人员用手机访问了测试网站,手机号立即被系统抓取 。
文章插图
抓取系统后台,可看到访客搜索的关键词、手机号等隐私信息 。
网站植入抓取代码窃取手机访客隐私,网上售卖抓取技术形成网络黑产;采访人员亲测4个手机号被抓取2个
仅仅是打开网页看了几眼,自己的手机号就被泄露了,“黑客”们真能办到吗?近日,新京报采访人员亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机浏览“做了手脚”的网站,其中2台手机的号码被成功抓取 。
这项测试源自今年6月的一次经历,新京报采访人员用手机4G网络浏览一个教育项目网站后,接到了该项目招商人员的电话,但采访人员并未向其透露自己的手机号 。面对质疑,招商人员支支吾吾,声称是从网络服务商处获得 。无独有偶,采访人员搜索网页,发现有多位手机用户在浏览网页后,接到相关的推销电话,而他们均未告知电话号码 。
网络安全专家告诉采访人员,用户手机号码泄露可能是访问的网站使用了手机访客抓取技术,这是一种网络黑产,受警方打击 。
采访人员检索发现,多个博客、论坛有关于抓取技术的售卖网帖 。为了验证技术的真实性,采访人员联系发帖人,获取了一段抓取代码,随后自建网站植入了抓取代码,用自己和同事的手机号分别测试,发现此类抓取技术确实能在机主不知情的情况下,获取手机号码 。
点开网页瞬间抓取手机号码
“2019最新抓取技术,支持测试,有需要请联系 。”
这是来自“中国专业IT社区”论坛的一条留言,新京报采访人员联系上发布者赵星(化名),他告诉采访人员,现在很多网站用抓取技术,手机点进来的瞬间,后台就能看见手机号码,不需要任何其他操作 。
“你可以先测试一下,用4G网络,关掉WiFi,手机浏览器访问这个网址”,赵星见采访人员有疑惑,主动提出先测试技术,并给采访人员发来一个测试网址 。
按赵星的要求,采访人员用手机4G网络点开网址,这是一个没有内容的空白网站 。一分钟内,赵星就在QQ上一字不差地报出了采访人员的这台手机的号码 。
采访人员复制了赵星的网站代码,发送给一位从事手机App开发的李先生 。李先生看过代码后称,这个网站表面上很简单,是空白网页,但是它会检测你的访问设备,如果发现是手机访问,网站就会跳转,从另一个网站下载代码,获取访客的手机号码等隐私信息,这些过程普通的访问用户无法察觉 。
访客手机号码卖1元1条
这些网上售卖的抓取技术论条计费,需要一次性充值1000元起,每抓取一条手机号码,扣除相应的单价 。出售抓取技术的周伟(化名)告诉采访人员,抓取自己网站的访客手机号码,售价1元一条,还有抓取他人网站的访客手机号码的技术,5元一条 。
“如果抓取别人的网站,只能抓普通‘http’打头的网页访客,不能抓‘https’打头的,因为加密传输的抓不了 。除了网页,手机App也能抓取,技术都是一样的”,周伟称 。
对于抓取别人网站的访客,赵星则称比较麻烦,“抓别人网站,抓取系统需要建模,7个工作日才能出数据,7元一条,充值需要1000条起,不支持测试 。”
赵星称,访客抓取有一定成功率,一个网站1000条流量,大约能抓150-200个手机号码,比如手机连WiFi上网就走宽带线路了,无法抓取 。除了手机号码,抓取系统后台还可以看见关键词来源、落地页、手机系统、IP、访问时间等访客信息 。
实测四台手机两台被抓取号码
实现网站的访客手机号码抓取,需要在网站上安装一组代码 。
为了验证赵星等人的说法,7月1日,新京报采访人员租用服务器空间、注册域名,建了一个用于测试的网站 。随后,赵星给了采访人员一段抓取代码 。采访人员把这段代码植入网页,上传至测试网站 。
采访人员先后用电脑和连接WiFi的手机访问测试网站,抓取系统后台未有反应 。当使用手机4G网络访问测试网站,赵星立刻报出了抓取的手机号码,并发来后台抓取到的号码截图,与采访人员当时使用的手机号码一致 。
之后采访人员使用4台手机分别测试,两个手机号码被抓取,另外两个未被抓取 。
赵星表示,为了规避打击,抓取系统后台并不直接显示手机号码 。而是有一栏5位数的“设备ID”、和一栏5位数的“编号”,赵星告诉采访人员,把“设备ID”和“编号”连起来,前面加一个“1”,就是11位的手机号码了 。
推荐阅读
- 云服务器适合哪些网站
- 如何为云服务器选择带宽?
- 阿里云被植入挖矿木马事件
- 收藏这三个网站,你可以和外国人聊天 与外国人聊天的网站
- 如何提高移动端网站关键词排名
- 记一次服务器被植入挖矿木马cpu飙升200%解决过程
- 网站关键词库建立步骤及其必要性
- 要想网站排名靠前,robots.txt文件必须写好!详解robots文件
- 要怎么做网站内链优化才不违规
- 你的手机号都注册或绑定了那些app和网站?这里教你几个查询方法