手機訪客營銷”已形成黑色產業鏈 每天危害數百萬網民的個人隱私 只是用手機看了個網頁,沒多久自己的手機號碼就成了各種騷擾電話的目標,這到底是怎麼回事呢?
看個網頁就能洩漏手機號?
“手機訪客營銷”已形成黑色產業鏈 每天危害數百萬網民的個人隱私
只是用手機看了個網頁,沒多久自己的手機號碼就成了各種騷擾電話的目標,這到底是怎麼回事呢?
其實這都是“手機訪客營銷”黑色產業鏈在搗鬼,其利用運營商系統漏洞,非法獲取公民手機號,再將信息轉賣,用作所謂的“精準營銷”。
用手機上網看幾條新聞,下線之後沒過幾分鐘垃圾短信、騷擾電話就不請自來,網友對此早已不勝其煩。
然而他們並不知道,就在自己漫不經心刷著手機屏幕的時候,一條新型販賣個人信息的黑色產業鏈已經在身邊悄然啟動。
據統計,2016年到2017年我國有6.88億網民因垃圾短信、詐騙信息、個人信息洩露等造成的經濟損失估算達915億元。
在網絡安全事件頻發的大背景下,手機詐騙也呈現出犯罪手段心理學化、專業規模化、損失鉅額化、信息販賣產業化等新趨勢,因此移動安全技術的升級不可或缺。
現狀:用手機看網頁也能洩露個人信息
鄧女士的手機被推送一條新聞,她好奇點開瀏覽了一番,隨後就關閉了。
但是很快,二手車廣告短信就率先“叮”的一聲飛進了手機,隨後各種騷擾電話紛至沓來,銀行貸款、英語培訓、推銷海景房、推銷保健品等等五花八門。“騷擾電話多得都標記不過來,每天都能接到好幾個!”鄧女士抱怨道。
據悉,從2016年起,有多位網民在網上爆料手機號碼、QQ號碼等隱私信息洩漏:“我在手機上搜索、瀏覽網頁,很快就接到了網站客服人員的推銷電話,我沒有註冊也沒有登錄,對方卻精確地說出了我在什麼時間、用了什麼關鍵詞、打開了哪個網站。”
對此,大多數推銷員對用戶的回答都是“手機號碼是搜索網站提供的”。而實際情況是,黑產利用運營商系統漏洞,非法獲取公民手機號,將信息轉賣給醫療、教育培訓、金融等機構用作所謂的“精準營銷”。
具體的操作流程是,這些機構從二級代理手中按月或按年購買此服務後,將“手機訪客營銷平臺”提供的惡意代碼嵌入到網頁中,當用戶點擊網頁時,他們就可以在後臺賬戶上看到用戶的手機號、手機型號、搜索的關鍵詞等各種信息,並僱傭電話客服,對訪客進行精準的電話營銷,從而讓眾多網民不得不承受著這些騷擾。
資料顯示,2016年到2017年我國有6.88億網民因垃圾短信、詐騙信息、個人信息洩露等造成的經濟損失估算達915億元。另有數據顯示,國內“網絡黑產”從業人員超過150萬,且有進一步擴大趨勢。
調查:“手機訪客營銷”團伙年收入上億
今年6月“海淀網友”小張在看到網上“提供手機號抓取服務,詳情請添加QQ好友私聊”的信息。按照對方QQ的提示,好奇的小張註冊了該網站的會員,並免費試用抓取代碼三天。經過自己之前建的小網站測試,發現這項“服務”能夠在手機用戶瀏覽過後,抓取到手機號、型號等信息。
小張這時才恍然大悟,原來曾經瀏覽網頁後收到的莫名網絡電話,竟然都是黑產從業人員一手“策劃”的。如果不是好奇心驅動,小張可能永遠不會發現,這種手機訪客營銷 “服務”竟然已經形成了黑產工具製作、多層級銷售代理、黑產工具購買者的O2O式的成熟產業鏈,而背後的利益規模巨大,按照每個網站年會員費8000元計,每年黑產團伙的收入就超過3億元。
根據小張的舉報,海淀分局網安大隊和百度安全技術人員偵查發現,目前,抓取訪客手機號已經形成了完整利益鏈條和黑色產業鏈,黑產從業者分工明確,覆蓋全國大多數省份,每天危害數百萬網民的個人隱私。
據介紹,“手機訪客營銷”黑產有著嚴格的等級分工。數據洩露源頭為運營商手機號返回接口,訪客手機號竊取的技術服務提供者根據接口開發出“手機訪客營銷”平臺,並將此類平臺銷售給一級代理,一級代理負責將服務平臺出售給大量的二級代理,二級代理進行手機訪客營銷業務的分銷。
打擊:“手機訪客營銷”黑產窩點被端
統計發現,大約4萬個站點存在類似的情況,涉及數百萬網民的隱私數據。為此,百度安全與公安機關聯合展開 “濾網行動”,組成專案組共同參與偵查此案。
據悉,專案組歷時2個月深入全國18個地市開展落地核查工作,破獲了這起國內首例新型侵犯用戶個人隱私黑產團伙——“手機訪客營銷”黑產,初步抓獲了26家涉案網站及多名違法犯罪嫌疑人,查獲公民信息100餘萬條。案件破獲後,犯罪嫌疑人樑某等33人對“抓取訪客手機號行為”供認不諱。目前他們都被檢察機關依法批准逮捕。
據悉,除了此次“濾網行動”,近兩年百度對黑產重錘封殺。2016年7月,抓獲DDoS攻擊黑產團伙;2016年8月,研發“天網算法”針對性打擊竊取用戶隱私黑產;2016年9月,抓獲撞庫和撞庫工具製作者,破獲黑產鏈條;2017年上半年,風險詞黑名單攔截有害信息1.7億次;2017年上半年,“護苗2017”清理色情信息超過2200萬條;2017年10月,配合公安機關抓獲偽基站全部產業鏈黑產團伙。
移動安全保護要向全產業鏈聯動
值得警惕的是,信息販賣產業化還為手機詐騙犯罪提供了滋生土壤。
隨著近年來各類移動產品的爆發式增長與互聯網熱點事件的層出不窮,為不法分子提供了眾多行騙的機會,比如現金貸陷阱,或者偽造共享單車退款進行詐騙。
當前詐騙電話與短信持續猖狂,花樣不斷翻新,在這種情況下,移動安全的技術升級不可或缺。近年來,以勒索軟件為代表的惡意軟件逐漸呈爆發態勢,危害巨大。而類似永恆之藍的事件一旦在手機端爆發,目前的安全機制無法及時遏制,其危害程度將遠高於PC端。
面對威脅,就需要利用大數據和人工智能技術進行場景分析與精準識別,結合態勢感知對詐騙進行溯源分析,進行快速阻斷。
據統計,我國偽基站短信數量非常之大,已經成為傳播電信詐騙、虛假廣告的主要手段。
根據《2014年中國手機安全狀況報告》數據顯示,2014年,360手機衛士共攔截613億條垃圾短信,平均每天攔截垃圾短信1.68億條,其中攔截各類偽基站短信32.7億條,平均每天攔截偽基站短信約1189萬條。
網絡安全已經進入“大安全時代”,移動安全形勢更加複雜多變。
面對挑戰,產業鏈各方應積極通過技術共享、信息聯動、共同建立立體化的防護體系。
移動安全保護從單一型防禦轉向複合型防禦、從技術為主轉向技術意識並重、從各自為戰轉向全產業鏈聯動已是大勢所趨。系統化地解決反詐騙問題,僅靠單方力量是遠遠不夠的,必須要從全產業鏈出發,需要主管機構、手機廠商、運營商、安全廠商、科研機構等多方構建一體多位、全鏈接的移動網絡安全防護體系。
有幾個辨別釣魚網站的辦法:
1、 就是在進入網站之後,可以先輸入一個錯誤的賬號密碼,如果是真正的官網,一定會第一時間提示賬號密碼錯誤,而如果是釣魚網站,並不會有這樣的提示。
2、 善於使用安全的瀏覽器。現在的瀏覽器安全性能都比較高,如果是正規網站,在瀏覽器的地址欄上都會顯示出相關的備案信息。查看地址欄時, 如果發現沒有網站的備案信息,就應當格外小心。
3、 在登陸正軌銀行或金錢交易網站時,瀏覽器上有一個綠鎖的標誌,甚至有的網站會顯示企業名稱信息等。
源頭杜絕隱私洩露
1.不下載不明應用
官方提供的軟件大都經過了嚴格的測試,安全性比較有保障,可以最大程度減少應用被篡改或植入木馬程序的可能性。通常正軌的APP都經過了代碼簽名證書,下載時可以查看到開發者的信息,如沒有部署代碼簽名證書的APP建議不要下載使用。
2.不連陌生WiFi
在陌生環境中,要保持警惕心理。不要接入安全性未知或陌生的WiFi網絡,避免落入不法分子的陷阱。
3.不要隨意打開未知連接
我們經常都能收到彩信,或一些不知名的連接,如不確定連接安全性情況下請不要打開地址欄開頭非HTTPS的連接。
如今,數據正成為數字化世界中的強大經濟引擎。這時如何確保數據保護和數據安全,尤其涉及到敏感的隱私信息,都是擺在我們面前的重要挑戰。可以說,一旦做好了個人數據的防護,不僅能夠有效避免數據洩露的危害,還能夠大幅消除用戶對於個人隱私洩露的疑慮。