網(wǎng)站植入抓取代碼竊取數(shù)據(jù) 訪客隱私1元1條 教育、醫(yī)療行業(yè)抓取最多

記者用手機訪問了測試網(wǎng)站，手機號立即被系統(tǒng)抓取。

抓取系統(tǒng)后臺，可看到訪客搜索的關(guān)鍵詞、手機號等隱私信息。

僅僅是打開網(wǎng)頁看了幾眼，自己的手機號就被泄露了，“黑客”們真能辦到嗎?近日，新京報記者親測了網(wǎng)絡(luò)售賣的“最新抓取技術(shù)”，用4臺不同號碼的智能手機瀏覽“做了手腳”的網(wǎng)站，其中2臺手機的號碼被成功抓取。

這項測試源自今年6月的一次經(jīng)歷，新京報記者用手機4G網(wǎng)絡(luò)瀏覽一個教育項目網(wǎng)站后，接到了該項目招商人員的電話，但記者并未向其透露自己的手機號。面對質(zhì)疑，招商人員支支吾吾，聲稱是從網(wǎng)絡(luò)服務(wù)商處獲得。無獨有偶，記者搜索網(wǎng)頁，發(fā)現(xiàn)有多位手機用戶在瀏覽網(wǎng)頁后，接到相關(guān)的推銷電話，而他們均未告知電話號碼。

網(wǎng)絡(luò)安全專家告訴記者，用戶手機號碼泄露可能是訪問的網(wǎng)站使用了手機訪客抓取技術(shù)，這是一種網(wǎng)絡(luò)黑產(chǎn)，受警方打擊。

記者檢索發(fā)現(xiàn)，多個博客、論壇有關(guān)于抓取技術(shù)的售賣網(wǎng)帖。為了驗證技術(shù)的真實性，記者聯(lián)系發(fā)帖人，獲取了一段抓取代碼，隨后自建網(wǎng)站植入了抓取代碼，用自己和同事的手機號分別測試，發(fā)現(xiàn)此類抓取技術(shù)確實能在機主不知情的情況下，獲取手機號碼。

點開網(wǎng)頁瞬間抓取手機號碼

“2019最新抓取技術(shù)，支持測試，有需要請聯(lián)系。”

這是來自“中國專業(yè)IT社區(qū)”論壇的一條留言，新京報記者聯(lián)系上發(fā)布者趙星(化名)，他告訴記者，現(xiàn)在很多網(wǎng)站用抓取技術(shù)，手機點進來的瞬間，后臺就能看見手機號碼，不需要任何其他操作。

“你可以先測試一下，用4G網(wǎng)絡(luò)，關(guān)掉WiFi，手機瀏覽器訪問這個網(wǎng)址”，趙星見記者有疑惑，主動提出先測試技術(shù)，并給記者發(fā)來一個測試網(wǎng)址。

按趙星的要求，記者用手機4G網(wǎng)絡(luò)點開網(wǎng)址，這是一個沒有內(nèi)容的空白網(wǎng)站。一分鐘內(nèi)，趙星就在QQ上一字不差地報出了記者的這臺手機的號碼。

記者復(fù)制了趙星的網(wǎng)站代碼，發(fā)送給一位從事手機App開發(fā)的李先生。李先生看過代碼后稱，這個網(wǎng)站表面上很簡單，是空白網(wǎng)頁，但是它會檢測你的訪問設(shè)備，如果發(fā)現(xiàn)是手機訪問，網(wǎng)站就會跳轉(zhuǎn)，從另一個網(wǎng)站下載代碼，獲取訪客的手機號碼等隱私信息，這些過程普通的訪問用戶無法察覺。

訪客手機號碼賣1元1條

這些網(wǎng)上售賣的抓取技術(shù)論條計費，需要一次性充值1000元起，每抓取一條手機號碼，扣除相應(yīng)的單價。出售抓取技術(shù)的周偉(化名)告訴記者，抓取自己網(wǎng)站的訪客手機號碼，售價1元一條，還有抓取他人網(wǎng)站的訪客手機號碼的技術(shù)，5元一條。

“如果抓取別人的網(wǎng)站，只能抓普通‘http’打頭的網(wǎng)頁訪客，不能抓‘https’打頭的，因為加密傳輸?shù)淖ゲ涣?。除了網(wǎng)頁，手機App也能抓取，技術(shù)都是一樣的”，周偉稱。

對于抓取別人網(wǎng)站的訪客，趙星則稱比較麻煩，“抓別人網(wǎng)站，抓取系統(tǒng)需要建模，7個工作日才能出數(shù)據(jù)，7元一條，充值需要1000條起，不支持測試。”

趙星稱，訪客抓取有一定成功率，一個網(wǎng)站1000條流量，大約能抓150-200個手機號碼，比如手機連WiFi上網(wǎng)就走寬帶線路了，無法抓取。除了手機號碼，抓取系統(tǒng)后臺還可以看見關(guān)鍵詞來源、落地頁、手機系統(tǒng)、IP、訪問時間等訪客信息。

實測四臺手機兩臺被抓取號碼

實現(xiàn)網(wǎng)站的訪客手機號碼抓取，需要在網(wǎng)站上安裝一組代碼。

為了驗證趙星等人的說法，7月1日，新京報記者租用服務(wù)器空間、注冊域名，建了一個用于測試的網(wǎng)站。隨后，趙星給了記者一段抓取代碼。記者把這段代碼植入網(wǎng)頁，上傳至測試網(wǎng)站。

記者先后用電腦和連接WiFi的手機訪問測試網(wǎng)站，抓取系統(tǒng)后臺未有反應(yīng)。當(dāng)使用手機4G網(wǎng)絡(luò)訪問測試網(wǎng)站，趙星立刻報出了抓取的手機號碼，并發(fā)來后臺抓取到的號碼截圖，與記者當(dāng)時使用的手機號碼一致。

之后記者使用4臺手機分別測試，兩個手機號碼被抓取，另外兩個未被抓取。

趙星表示，為了規(guī)避打擊，抓取系統(tǒng)后臺并不直接顯示手機號碼。而是有一欄5位數(shù)的“設(shè)備ID”、和一欄5位數(shù)的“編號”，趙星告訴記者，把“設(shè)備ID”和“編號”連起來，前面加一個“1”，就是11位的手機號碼了。

在后臺的截圖中，記者看到系統(tǒng)還能顯示訪客的手機操作系統(tǒng)、訪客來源、用戶IP和訪問時間。

賣家稱地產(chǎn)、教育、醫(yī)療行業(yè)抓取最多

趙星稱，從他這購買抓取系統(tǒng)的客戶主要來自房地產(chǎn)銷售行業(yè)，另外教育培訓(xùn)行業(yè)也有十幾個客戶。

從趙星客戶的抓取系統(tǒng)后臺，記者看到用戶操作的敏感信息一清二楚。有人搜索“五年制大專”進入南京一所民辦學(xué)校的招生網(wǎng)站，被抓取了手機號碼;還有人搜索“房價走勢消息”進入嘉興一個樓盤銷售網(wǎng)站，被抓取手機號碼;另外有人搜索“親子兒童早教”進入一個號稱美國品牌的早教網(wǎng)站，被抓取了手機號碼。

除了房地產(chǎn)銷售、教育培訓(xùn)等行業(yè)，周偉告訴記者，“最多的就是醫(yī)療行業(yè)的客戶，抓取業(yè)務(wù)就是從醫(yī)療行業(yè)的客戶開始做起來的”。

趙星提醒他的客戶，抓取技術(shù)會被網(wǎng)警打擊，要低調(diào)使用。“不要去賣數(shù)據(jù)，自己網(wǎng)站的訪客數(shù)據(jù)自己看，抓取以后隔半天再打電話。”

案例

網(wǎng)站向?qū)？漆t(yī)院售抓取代碼 33人涉案

據(jù)新京報此前報道，2017年北京海淀警方查獲26個非法獲取公民信息網(wǎng)站，33人涉嫌侵犯公民個人信息罪被批捕。

海淀分局網(wǎng)安大隊民警調(diào)查發(fā)現(xiàn)，有非法網(wǎng)站向一些“專科醫(yī)院”、“美容醫(yī)療機構(gòu)”網(wǎng)站出售抓取代碼。民警介紹，這些代碼只是在該網(wǎng)站代銷，編寫的另有其人。編寫代碼者負(fù)責(zé)制作并收取使用費;網(wǎng)站負(fù)責(zé)售賣代碼，并收取使用代碼網(wǎng)站的使用費;而使用者購買這些代碼后，要按收到手機號的條數(shù)支付使用費。

警方在15省18地市展開偵查，查獲非法獲取公民信息的網(wǎng)站26個、手機號等個人信息上百萬條，梁某等33人因涉嫌侵犯公民個人信息罪，被檢察機關(guān)批準(zhǔn)逮捕。

辦案民警介紹，用戶在瀏覽加裝了代碼的網(wǎng)站時，就會被抓取手機號碼等信息，而網(wǎng)站根據(jù)用戶搜索的關(guān)鍵詞等，還可以掌握對方醫(yī)療等方面的私密信息，然后通過電話精準(zhǔn)推銷。

專家說法

自家WiFi比移動數(shù)據(jù)上網(wǎng)相對安全

網(wǎng)絡(luò)安全專家邵彤稱，用戶手機訪問網(wǎng)頁過程中，有幾種可能泄露手機號碼：你的手機知道你的本機號碼(比如SIM卡里寫入了本機號碼)，流氓網(wǎng)頁通過瀏覽器的接口或者漏洞獲取了。

另外，邵彤稱，瀏覽器的Cookie里包含你的手機號碼綁定的第三方網(wǎng)站賬號相關(guān)信息，第三方網(wǎng)站將其泄露給了流氓網(wǎng)頁。如果使用數(shù)據(jù)連接上網(wǎng)，運營商知道手機號碼，流氓網(wǎng)頁通過運營商的接口可以獲得訪問者的手機號碼。

邵彤提醒稱，普通用戶上網(wǎng)，建議電腦上安裝知名殺毒軟件，不瀏覽來歷不明的網(wǎng)站;手機用戶使用知名瀏覽器，不安裝來歷不明、需要越獄的root或者盜版App;另外，使用家里的WiFi上網(wǎng)比數(shù)據(jù)連接上網(wǎng)相對安全。