推广 热搜: 索尼  直播  智能手机  全额罚息  奥迪、  小霸王  网约车  新零售  世界杯  短视频 

网站植入抓取代码 窃取手机访客隐私

   日期:2019-07-08 08:36:58     来源:新京报    浏览:13    评论:0    
核心提示:网站植入抓取代码 窃取手机访客隐私
      仅仅是翻开网页看了几眼,自己的手机号就被泄露了,“黑客”们真能办到吗?近来,新京报记者亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机阅览“做了四肢”的网站,其间2台手机的号码被成功抓取。

这项检验源自今年6月的一次阅历,新京报记者用手机4G网络阅览一个教育项目网站后,接到了该项目招商人员的电话,但记者并未向其透露自己的手机号。面临质疑,招商人员支支吾吾,宣称是从网络服务商处取得。无独有偶,记者查找网页,发现有多位手机用户在阅览网页后,接到相关的推销电话,而他们均未奉告电话号码。

网络安全专家告知记者,用户手机号码泄露或许是访问的网站运用了手机访客抓取技术,这是一种网络黑产,受警方冲击。

记者检索发现,多个博客、论坛有关于抓取技术的售卖网帖。为了验证技术的真实性,记者联络发帖人,获取了一段抓取代码,随后自建网站植入了抓取代码,用自己和搭档的手机号别离检验,发现此类抓取技术的确能在机主不知情的情况下,获取手机号码。

点开网页瞬间抓取手机号码

“2019最新抓取技术,支撑检验,有需求请联络。”

这是来自“我国专业IT社区”论坛的一条留言,新京报记者联络上发布者赵星(化名),他告知记者,现在许多网站用抓取技术,手机点进来的瞬间,后台就能看见手机号码,不需求任何其他操作。

“你可以先检验一下,用4G网络,关掉WiFi,手机阅览器访问这个网址”,赵星见记者有疑惑,主动提出先检验技术,并给记者发来一个检验网址。

按赵星的要求,记者用手机4G网络点开网址,这是一个没有内容的空白网站。一分钟内,赵星就在QQ上一字不差地报出了记者的这台手机的号码。

记者复制了赵星的网站代码,发送给一位从事手机App开发的李先生。李先生看过代码后称,这个网站表面上很简单,是空白网页,但是它会检测你的访问设备,如果发现是手机访问,网站就会跳转,从另一个网站下载代码,获取访客的手机号码等隐私信息,这些进程一般的访问用户无法察觉。

访客手机号码卖1元1条

这些网上售卖的抓取技术论条计费,需求一次性充值1000元起,每抓取一条手机号码,扣除相应的单价。出售抓取技术的周伟(化名)告知记者,抓取自己网站的访客手机号码,价格1元一条,还有抓取别人网站的访客手机号码的技术,5元一条。

“如果抓取别人的网站,只能抓一般‘http’打头的网页访客,不能抓‘https’打头的,因为加密传输的抓不了。除了网页,手机App也能抓取,技术都是相同的”,周伟称。

关于抓取别人网站的访客,赵星则称比较费事,“抓别人网站,抓取系统需求建模,7个工作日才干出数据,7元一条,充值需求1000条起,不支撑检验。”

赵星称,访客抓取有必定成功率,一个网站1000条流量,大约能抓150-200个手机号码,比如手机连WiFi上网就走宽带线路了,无法抓取。除了手机号码,抓取系统后台还可以看见关键词来历、落地页、手机系统、IP、访问时刻等访客信息。

实测四台手机两台被抓取号码

完结网站的访客手机号码抓取,需求在网站上设备一组代码。

为了验证赵星等人的说法,7月1日,新京报记者租借服务器空间、注册域名,建了一个用于检验的网站。随后,赵星给了记者一段抓取代码。记者把这段代码植入网页,上传至检验网站。

记者先后用电脑和联接WiFi的手机访问检验网站,抓取系统后台未有反响。当运用手机4G网络访问检验网站,赵星马上报出了抓取的手机号码,并发来后台抓取到的号码截图,与记者当时运用的手机号码共同。

之后记者运用4台手机别离检验,两个手机号码被抓取,其他两个未被抓取。

赵星表明,为了逃避冲击,抓取系统后台并不直接闪现手机号码。而是有一栏5位数的“设备ID”、和一栏5位数的“编号”,赵星告知记者,把“设备ID”和“编号”连起来,前面加一个“1”,就是11位的手机号码了。

在后台的截图中,记者看到系统还能闪现访客的手机操作系统、访客来历、用户IP和访问时刻。

卖家称地产、教育、医疗工作抓取最多

赵星称,从他这购买抓取系统的客户首要来自房地产出售工作,其他教育练习工作也有十几个客户。

从赵星客户的抓取系统后台,记者看到用户操作的灵敏信息一览无余。有人查找“五年制大专”进入南京一所民办学校的招生网站,被抓取了手机号码;还有人查找“房价走势消息”进入嘉兴一个楼盘出售网站,被抓取手机号码;其他有人查找“亲子儿童早教”进入一个宣称美国品牌的早教网站,被抓取了手机号码。

除了房地产出售、教育练习等工作,周伟告知记者,“最多的就是医疗工作的客户,抓取业务就是从医疗工作的客户开始做起来的”。

赵星提醒他的客户,抓取技术会被网警冲击,要低沉运用。“不要去卖数据,自己网站的访客数据自己看,抓取今后隔半天再打电话。”

■ 事例

网站向专科医院售抓取代码 33人涉案

据新京报此前报道,2017年北京海淀警方查获26个不合法获取公民信息网站,33人涉嫌侵犯公民个人信息罪被批捕。

海淀分局网安大队民警调查发现,有不合法网站向一些“专科医院”、“美容医疗机构”网站出售抓取代码。民警介绍,这些代码只是在该网站代销,编写的还有其人。编写代码者负责制造并收取运用费;网站负责售卖代码,并收取运用代码网站的运用费;而运用者购买这些代码后,要按收到手机号的条数付出运用费。

警方在15省18地市打开侦查,查获不合法获取公民信息的网站26个、手机号等个人信息上百万条,梁某等33人因涉嫌侵犯公民个人信息罪,被检察机关批准逮捕。

办案民警介绍,用户在阅览加装了代码的网站时,就会被抓取手机号码等信息,而网站依据用户查找的关键词等,还可以把握对方医疗等方面的私密信息,然后通过电话精准推销。

■ 专家说法

自家WiFi比移动数据上网相对安全

网络安全专家邵彤称,用户手机访问网页进程中,有几种或许泄露手机号码:你的手机知道你的本机号码(比如SIM卡里写入了本机号码),流氓网页通过阅览器的接口或许缝隙获取了。

其他,邵彤称,阅览器的cookie里包括你的手机号码绑定的第三方网站账号相关信息,第三方网站将其泄露给了流氓网页。如果运用数据联接上网,运营商知道手机号码,流氓网页通过运营商的接口可以取得访问者的手机号码。

邵彤提醒称,一般用户上网,建议电脑上设备闻名杀毒软件,不阅览来历不明的网站;手机用户运用闻名阅览器,不设备来历不明、需求越狱的root或许盗版App;其他,运用家里的WiFi上网比数据联接上网相对安全。 
 
打赏
免责声明: 本条信息网址: https://www.zhunfafa.com/news/show-12596.html本网站内容来源于网友提供和互联网公开资料等,仅供参考。本网站不对网站所有信息的准确性、可靠性或完整性提供任何保证。若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系,我们将在收到通知后第一时间妥善处理。
 
更多>同类新闻资讯
0相关评论

推荐图文
推荐新闻资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  sitemaps  |  网站地图  |  网站留言  |  违规举报