有人搜索“五年制大專”進入南京一所民辦學校的招生網站,被抓取了手機號碼;還有人搜索“房價走勢消息”進入嘉興一個樓盤銷售網站,被抓取手機號碼。
全文3190字,閱讀約需要6分鐘
僅僅是打開網頁看了幾眼,自己的手機號就被泄露了,“黑客”們真能辦到嗎?近日,記者親測了網絡售賣的“最新抓取技術”,用4臺不同號碼的智能手機瀏覽“做了手腳”的網站,其中2臺手機的號碼被成功抓取。
這項測試源自今年6月的一次經歷,記者用手機4G網絡瀏覽一個教育項目網站后,接到了該項目招商人員的電話,但記者并未向其透露自己的手機號。面對質疑,招商人員支支吾吾,聲稱是從網絡服務商處獲得。無獨有偶,記者搜索網頁,發現有多位手機用戶在瀏覽網頁后,接到相關的推銷電話,而他們均未告知電話號碼。
記者用手機訪問了測試網站,手機號立即被系統抓取。
網絡安全專家告訴記者,用戶手機號碼泄露可能是訪問的網站使用了手機訪客抓取技術,這是一種網絡黑產,受警方打擊。
記者檢索發現,多個博客、論壇有關于抓取技術的售賣網帖。為了驗證技術的真實性,記者聯系發帖人,獲取了一段抓取代碼,隨后自建網站植入了抓取代碼,用自己和同事的手機號分別測試,發現此類抓取技術確實能在機主不知情的情況下,獲取手機號碼。
━━━━━
賣家稱地產、教育、醫療行業抓取最多
趙鑫稱,從他這購買抓取系統的客戶主要來自房地產銷售行業,另外教育培訓行業也有十幾個客戶。
從趙鑫客戶的抓取系統后臺,記者看到用戶操作的敏感信息一清二楚。有人搜索“五年制大專”進入南京一所民辦學校的招生網站,被抓取了手機號碼;還有人搜索“房價走勢消息”進入嘉興一個樓盤銷售網站,被抓取手機號碼;另外有人搜索“親子兒童早教”進入一個號稱美國品牌的早教網站,被抓取了手機號碼。
除了房地產銷售、教育培訓等行業,周偉告訴記者,“最多的就是醫療行業的客戶,抓取業務就是從醫療行業的客戶開始做起來的”。
趙鑫提醒他的客戶,抓取技術會被網警打擊,要低調使用。“不要去賣數據,自己網站的訪客數據自己看,抓取以后隔半天再打電話。”
━━━━━
案例
網站向專科醫院售抓取代碼 33人涉案
據此前報道,2017年北京海淀警方查獲26個非法獲取公民信息網站,33人涉嫌侵犯公民個人信息罪被批捕。
海淀分局網安大隊民警調查發現,有非法網站向一些“專科醫院”、“美容醫療機構”網站出售抓取代碼。民警介紹,這些代碼只是在該網站代銷,編寫的另有其人。編寫代碼者負責制作并收取使用費;網站負責售賣代碼,并收取使用代碼網站的使用費;而使用者購買這些代碼后,要按收到手機號的條數支付使用費。
警方在15省18地市展開偵查,查獲非法獲取公民信息的網站26個、手機號等個人信息上百萬條,梁某等33人因涉嫌侵犯公民個人信息罪,被檢察機關批準逮捕。
辦案民警介紹,用戶在瀏覽加裝了代碼的網站時,就會被抓取手機號碼等信息,而網站根據用戶搜索的關鍵詞等,還可以掌握對方醫療等方面的私密信息,然后通過電話精準推銷。
━━━━━
專家說法
自家WiFi比移動數據上網相對安全
網絡安全專家邵彤稱,用戶手機訪問網頁過程中,有幾種可能泄露手機號碼:你的手機知道你的本機號碼(比如SIM卡里寫入了本機號碼),流氓網頁通過瀏覽器的接口或者漏洞獲取了。
另外,邵彤稱,瀏覽器的Cookie里包含你的手機號碼綁定的第三方網站賬號相關信息,第三方網站將其泄露給了流氓網頁。如果使用數據連接上網,運營商知道手機號碼,流氓網頁通過運營商的接口可以獲得訪問者的手機號碼。
邵彤提醒稱,普通用戶上網,建議電腦上安裝知名殺毒軟件,不瀏覽來歷不明的網站;手機用戶使用知名瀏覽器,不安裝來歷不明、需要越獄的root或者盜版App;另外,使用家里的WiFi上網比數據連接上網相對安全。
