'手機訪客營銷' 已形成黑色產業鏈 每天危害數百萬網民的個人隱私
只是用手機看了個網頁, 沒多久自己的手機號碼就成了各種騷擾電話的目標, 這到底是怎麼回事呢? 其實這都是 '手機訪客營銷' 黑色產業鏈在搗鬼, 其利用運營商系統漏洞, 非法獲取公民手機號, 再將資訊轉賣, 用作所謂的 '精準營銷' .
用手機上網看幾條新聞, 下線之後沒過幾分鐘垃圾簡訊, 騷擾電話就不請自來, 網友對此早已不勝其煩. 然而他們並不知道, 就在自己漫不經心刷著手機屏幕的時候, 一條新型販賣個人資訊的黑色產業鏈已經在身邊悄然啟動.
據統計, 2016年到2017年我國有6.88億網民因垃圾簡訊, 詐騙資訊, 個人資訊泄露等造成的經濟損失估算達915億元. 360集團助理總裁姚彤認為, 在網路安全事件頻發的大背景下, 手機詐騙也呈現出犯罪手段心理學化, 專業規模化, 損失巨額化, 資訊販賣產業化等新趨勢, 因此移動安全技術的升級不可或缺.
現狀
用手機看網頁也能泄露個人資訊
昨天, 鄧女士的手機被推送一條新聞, 她好奇點開瀏覽了一番, 隨後就關閉了. 但是很快, 二手車廣告簡訊就率先 '叮' 的一聲飛進了手機, 隨後各種騷擾電話紛至遝來, 銀行貸款, 英語培訓, 推銷海景房, 推銷保健品等等五花八門. '騷擾電話多得都標記不過來, 每天都能接到好幾個! ' 鄧女士抱怨道. 據悉, 從2016年起, 有多位網民在網上爆料手機號碼, QQ號碼等隱私資訊泄漏: '我在手機上搜索, 瀏覽網頁, 很快就接到了網站客服人員的推銷電話, 我沒有註冊也沒有登錄, 對方卻精確地說出了我在什麼時間, 用了什麼關鍵詞, 開啟了哪個網站. '
對此, 大多數推銷員對用戶的回答都是 '手機號碼是搜索網站提供的' . 而實際情況是, 黑產利用運營商系統漏洞, 非法獲取公民手機號, 將資訊轉賣給醫療, 教育培訓, 金融等機構用作所謂的 '精準營銷' .
具體的操作流程是, 這些機構從二級代理手中按月或按年購買此服務後, 將 '手機訪客營銷平台' 提供的惡意代碼嵌入到網頁中, 當用戶點擊網頁時, 他們就可以在後台賬戶上看到用戶的手機號, 手機型號, 搜索的關鍵詞等各種資訊, 並僱傭電話客服, 對訪客進行精準的電話營銷, 從而讓眾多網民不得不承受著這些騷擾.
資料顯示, 2016年到2017年我國有6.88億網民因垃圾簡訊, 詐騙資訊, 個人資訊泄露等造成的經濟損失估算達915億元. 另有數據顯示, 國內 '網路黑產' 從業人員超過150萬, 且有進一步擴大趨勢.
調查
'手機訪客營銷' 團夥年收入上億
今年6月 '海澱網友' 小張在看到網上 '提供手機號抓取服務, 詳情請添加QQ好友私聊' 的資訊. 按照對方QQ的提示, 好奇的小張註冊了該網站的會員, 並免費試用抓取代碼三天. 經過自己之前建的小網站測試, 發現這項 '服務' 能夠在手機用戶瀏覽過後, 抓取到手機號, 型號等資訊.
小張這時才恍然大悟, 原來曾經瀏覽網頁後收到的莫名網路電話, 竟然都是黑產從業人員一手 '策劃' 的. 如果不是好奇心驅動, 小張可能永遠不會發現, 這種手機訪客營銷 '服務' 竟然已經形成了黑產工具製作, 多層級銷售代理, 黑產工具購買者的O2O式的成熟產業鏈, 而背後的利益規模巨大, 按照每個網站年會員費8000元計, 每年黑產團夥的收入就超過3億元.
根據小張的舉報, 海澱分局網安大隊和百度安全技術人員偵查發現, 目前, 抓取訪客手機號已經形成了完整利益鏈條和黑色產業鏈, 黑產從業者分工明確, 覆蓋全國大多數省份, 每天危害數百萬網民的個人隱私.
據介紹, '手機訪客營銷' 黑產有著嚴格的等級分工. 數據泄露源頭為運營商手機號返回介面, 訪客手機號竊取的技術服務提供者根據介面開發出 '手機訪客營銷' 平台, 並將此類平台銷售給一級代理, 一級代理負責將服務平台出售給大量的二級代理, 二級代理進行手機訪客營銷業務的分銷.
打擊
'手機訪客營銷' 黑產窩點被端
百度安全統計發現, 大約4萬個站點存在類似的情況, 涉及數百萬網民的隱私數據. 為此, 百度安全與公安機關聯合展開 '濾網行動' , 組成專案組共同參與偵查此案. 據悉, 專案組曆時2個月深入全國18個地市開展落地核查工作, 破獲了這起國內首例新型侵犯用戶個人隱私黑產團夥—— '手機訪客營銷' 黑產, 初步抓獲了26家涉案網站及多名違法犯罪嫌疑人, 查獲公民資訊100餘萬條. 案件破獲後, 犯罪嫌疑人梁某等33人對 '抓取訪客手機號行為' 供認不諱. 目前他們都被檢察機關依法批准逮捕.
值得一提的是, 百度同步展開專項打擊, 用AI技術圍剿黑產. 百度安全利用機器學習技術進行非法網頁檢測, 先後開展了5次針對性黑產對抗, 3個月內打掉了多個存在這類黑產行為的網站, 網民點擊到惡意網站的數量減少99.33%.
據悉, 除了此次 '濾網行動' , 近兩年百度對黑產重鎚封殺. 2016年7月, 抓獲DDoS攻擊黑產團夥; 2016年8月, 研發 '天網演算法' 針對性打擊竊取用戶隱私黑產; 2016年9月, 抓獲撞庫和撞庫工具製作者, 破獲黑產鏈條; 2017年上半年, 風險詞黑名單攔截有害資訊1.7億次; 2017年上半年, '護苗2017' 清理色情資訊超過2200萬條; 2017年10月, 配合公安機關抓獲偽基站全部產業鏈黑產團夥.
觀點
移動安全保護要向全產業鏈聯動
值得警惕的是, 資訊販賣產業化還為手機詐騙犯罪提供了滋生土壤. 360集團助理總裁姚彤認為, 隨著近年來各類移動產品的爆髮式增長與互聯網熱點事件的層出不窮, 為不法分子提供了眾多行騙的機會, 比如現金貸陷阱, 或者偽造共用單車退款進行詐騙. 對此姚彤認為: '當前詐騙電話與簡訊持續猖狂, 花樣不斷翻新, 在這種情況下, 移動安全的技術升級不可或缺. '
他還指出, 近年來, 以勒索軟體為代表的惡意軟體逐漸呈爆發態勢, 危害巨大. 而類似永恒之藍的事件一旦在手機端爆發, 目前的安全機制無法及時遏制, 其危害程度將遠高於PC端. '面對威脅, 就需要利用大數據和人工智慧技術進行場景分析與精準識別, 結合態勢感知對詐騙進行溯源分析, 進行快速阻斷. ' 姚彤說.
據統計, 我國偽基站簡訊數量非常之大, 已經成為傳播電信詐騙, 虛假廣告的主要手段. 根據《2014年中國手機安全狀況報告》數據顯示, 2014年, 360手機衛士共攔截613億條垃圾簡訊, 平均每天攔截垃圾簡訊1.68億條, 其中攔截各類偽基站簡訊32.7億條, 平均每天攔截偽基站簡訊約1189萬條.
姚彤表示, 網路安全已經進入 '大安全時代' , 移動安全形勢更加複雜多變. 面對挑戰, 產業鏈各方應積極通過技術共用, 資訊聯動, 共同建立立體化的防護體系. 移動安全保護從單一型防禦轉向複合型防禦, 從技術為主轉向技術意識並重, 從各自為戰轉向全產業鏈聯動已是大勢所趨. 在姚彤看來, 系統化地解決反詐騙問題, 僅靠單方力量是遠遠不夠的, 必須要從全產業鏈出發, 需要主管機構, 手機廠商, 運營商, 安全廠商, 科研機構等多方構建一體多位, 全連結的移動網路安全防護體系.
據悉, 360已經與三大運營商合作, 提供騷擾電話識別, 二次號碼加白, 全網彩信簡訊攔截, 黑灰網址攔截與提醒等服務, 業務覆蓋全國各省; 與三星, 華為等手機廠商開展各類技術合作; 配合各地公檢法機關打擊詐騙犯罪等. 文/本報記者 趙新培