|
01  02 流量劫持 1、什么是流量劫持 在流量劫持语境下,流量的内涵更接近我们日常生活中常提到的人流量、车流量,指的是用户数量、浏览次数、访问时长、软件下载量等多个方面,属于衡量产品热度、网民关注度的概念。大人流可以给商场带来生意,高关注度同样可以给互联网产品带来巨大的商业利益。 所谓劫持,则是黑客通过各种各样的技术手段强制网民离开原定的访问目的地或访问渠道。例如,网民本想访问A网站,却发现浏览器打开的是B网站;本想直接访问A网站,却发现浏览器弹出了一个额外的页面,然后这个额外的页面又变成了A网站。通过目的地和渠道的改变,黑客可以从金主那里拿到巨额利益。 近几年,随着业内对流量劫持认识的深入,有时会有人把不正当方法引流的行为算作流量劫持。但大多数不正当引流只是通过弹窗、联想词、特殊关键词等方式使网民自主地、临时性地、偶然地改变访问对象,并没有完全控制用户的访问。因此,在我看来,这并不能算作流量劫持。 2、谁动了我的流量  理论上讲,凡是有流量变现渠道的人,都有可能实施流量劫持。但从现实情况看,网络推广、网络游戏、门户网站/app分发等行业是流量劫持的重灾区。这与流量在这些行业的价值最高有关。而从流量劫持的实施者来看,主要来自以下几个群体: (1)竞争对手 最高法院第102号指导案例黄某某破坏计算机信息系统案就是这方面的典型代表性。5W网页导航网站雇佣黑客,将2345网页导航的用户劫持到自己的网站,从而增加自己的用户数量。 (2)来自网盟广告经营者 网盟广告是中国互联网行业免费模式得以延续的重要商业模式,百度网盟、腾讯广点通、阿里妈妈都是其中的优势品牌。除了大厂的网盟广告,很多中小网盟存在经营困难。为了获取更多的利益,他们就会通过劫持大厂流量的方式来增加自身收入。 (3)生态内的一些合作者 除了外部,还有一些内部合作者会实施劫持,这种现象多发生在流量才买渠道。有些流量渠道为了增加自身收入,会通过一些方式将公司的自然流量劫持成渠道流量,给公司额外增加流量采购费用。 (4)中小网站的劫持 一些中小网站为了留住用户或者提升推广效果,也会与黑产勾结,在自有的网站上挂木马,实现将客户留在或者引导至特定落地页的目的。 (5)黑产进行流量倒卖 除了有目的劫持,还有一些黑产如同控制肉鸡一般,实施的是无差别攻击,先控制一定数量的设备,再根据客户需求将流量引导致特定的地方。 3、流量劫持的手法 流量在信息传输高速公路上飞驰,任何一个节点都有可能成为流量劫持黑客的攻击目标。所以如果根据手段进行分类,我们会发现流量劫持的种类无穷无尽。而根据目的的不同,对每个节点的攻击手段也是多种多样的。 根据黑客攻击的环节或者说流量流失的环节,可以分为终端劫持、链路劫持、服务端劫持: (1)所谓终端劫持就是黑客通过攻击运营商DNS服务器或者网民的wifi设备,使网民对特定网站的访问请求被错误解析到其他地址或者使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。 (2)链路劫持则是运营商或者黑客针对传输过程中的数据,通过在用户至服务器之间植入恶意设备或者控制网络设备的手段,监听、篡改用户和服务器之间的数据,达到窃取用户重要数据(包括用户密码,用户身份数据等等)、修改用户访问页内容的目的。 (3)服务端劫持指的是黑客对用户手机、pc或者说浏览器的劫持。常见的是,黑客在网站挂载木马程序,使用户无法正常退出该网站或者推出到家网站。 除了上述分类,从劫持所呈现的效果,可以分为访问劫持、回退劫持和广告劫持: (1)访问劫持:改变了用户的访问目的地或访问路径。 (2)回退劫持:导致用户无法正常返回原始页面或者回退到一个假网站页面,假网站以仿冒搜索引擎为主。 (3)广告劫持:将正常网盟广告替换为自有或者。  03 精准营销黑产 大家可能都或多或少听说过在搜索引擎搜索某个关键词后接到精准营销电话,怀疑个人信息被搜索引擎泄露的事件。但其实,个人隐私数据的价格并没有大家想象中的值钱,与贩卖个人隐私面临的法律风险相比,贩卖隐私对互联网大厂而言完全没有吸引力。那这些事件中的个人隐私又是从哪里泄露出去的呢? 部分广告主图便宜或者希望得到更详细的客户数据。他们就会跟黑客勾结,在自己的网站上挂码。这些非法程序会抓取网民的来路、关键词以及mac码、imei码、手机号等个人敏感信息。然后,黑客再将这些信息卖给广告主,由广告主进行精准营销。这便是所谓搜索引擎泄露个人隐私的实际情况。 通常情况下,黑客的木马只能获取到经过加密的数据,但黑客可以通过某些途径进行揭秘,再结合客户网站服务器访问日志进行还原。 这种精准营销黑产通常与SEO相结合,为广告主提供组合服务,以确保网民在搜索关键词时,广告主的网站能够展现在靠前的位置,从而增加获取网民手机号的概率。  除了上述3类搜索引擎常遇到的黑产外,其实困扰搜索引擎最严重的是黑SEO。黑SEO指的是黑客通过顺应搜索引擎算法,利用垃圾链接、隐藏网页、桥页、关键词堆砌、蜘蛛池、模拟用户点击等技术,将垃圾网页提升至自然搜索结果靠前位置,甚至恶意霸屏,使搜索结果的前几页都充斥着相关信息。这些内容往往涉及黄赌毒、电信诈骗等犯罪活动,严重危害搜索结果质量和普通公众的人身财产安全。 信息的准确和可信赖是搜索引擎赖以生存的基石。黑SEO通过上述技术为黄赌毒、电诈、制假售假等违法犯罪行当提供服务,将劣质信息推送至搜索结果前列,严重影响了自然搜索结果的准确性和正确性,对搜索引擎而言是一种负面优化。但由于搜索引擎生态环境的开放性,黑帽SEO并未真正侵入搜索引擎系统,只是对搜索引擎排序算法的不当利用,很难依据285、286条等计算机犯罪直接定罪量刑,只能通过先打击其服务的下游犯罪行为,再按照帮助犯或者287之一、之二等法条进行定罪,打击和防治难度非常大。 04 打击与治理 虽然对搜索引擎而言,发现和打击黑产存在各种各样的现实困难。但基于运营安全和履行社会责任考虑,必须有所作为。 1、发现打击 恶意点击、流量劫持等黑产诞生于PC时代,经过十余年的发展不仅没有被打绝,反而愈演愈烈。原因在于其非常隐蔽,难以被发现。如前所述,这些黑产大部分发生在搜索引擎企业自有生态之外,黑产的攻击对象从运营商服务器到用户设备,再到第三方网站,唯独很少直接针对搜索引擎企业自己的设备或产品,对搜索引擎的算法等则多以顺势利用为主。在这种情况下,我们可能就需要通过非技术手段来弥补这方面的不足。 一是建立线上巡查体系。线上巡查体系即是保证内容安全、落实平台责任的重要体现,也是及时发现违规内容和违法线索的重要依靠。这支团队应当包含内容风控和前端技术专家,可以对违法犯罪线索进行初步排查分析。像BAT这样的大企业都有自己的安全部,可以从技术层面进行专门巡查监测。 二是构建外部黑产情报网。由于黑产大多来自自有生态以外,搜索引擎公司对外部黑生态的玩法和演化感受并不直观,这就需要从外部寻求信息补充。同时,很多中小企业并不能像上一条所说的大公司那样培养一支专业的安全人才队伍,则也可以通过与一些靠谱的网络安全服务公司合作,使用他们的产品或者情报来及时发现异常并止损,这些公司也可以帮忙做溯源,有利于案件本身的侦查。 三是推动在高危行业开展落地页托管。容易与回退劫持、精准营销、黑SEO勾结的行业相对比较集中,比如医疗、烟酒、保健品、网赚等。有实力的平台可以依托自身优势,对高危行业强制开展落地页托管。即使不是推广客户,也可以以增加自然搜索结果权重为交换,鼓励站长们主动申请托管落地页。 四是运用侦查学、管理会计学等跨学科知识,对内审内控报表进行分析。通过对每月或每季度流量采购费用、广告费用等收入、支出成本的解读及时发现异常情况,并有针对性的开展排查。 五是注重对用户投诉的梳理。流量坚持、电诈等案件虽然在企业端感受不深,但用户端却是极易感知到的,现有的案件很多也都来源于用户投诉。以回退劫持为代表的显性劫持行为在用户段的感知能力是很强的,也很伤用户体验,所以用户会为企业提供很多有益的情报线索。 2、行业共治 既然搜索引擎面对的黑产无法在自有生态内通过技术或制度方式解决,那就只能诉诸于行业治理,在寻找共同利益点的过程中,不断推动各方向共治共享迈进。重点在于从以下几个环节实现安全防护措施的强化: 一是推动https普及。与明文传输协议http不同,HTTPS 依靠证书来验证服务器的身份,并对用户和服务器之间的通信加密,因此能够有效抵御针对网站的流量劫持等攻击。另外,要尽量做到全站HTTPS( 即Always On SSL) 来保证用户机密信息和交易安全,防止攻击和劫持。 二是ICP和ISP服务商合作共赢。从行业现状看,部分基础设施运营者在业绩压力下存在铤而走险的行为,实施劫持等违法行为的情况。对此,内容服务商和基础设施运营者需要找到一条合作共赢的出路,从服务器层面杜绝黑客行为。 三是加强用户终端的防护。用户端防护包括思想意识教育和硬件强化2个层面。从事主调查情况看,虽然大家使用搜索引擎的历史已经很长了,但对于网络信息领域常见的一些犯罪认知十分有限,需要全社会共同进行用户宣教,减少普通网民上当受骗的概率。而在硬件方面,手机发展至今,其算力已经足以支撑更强的防御策略,可以由工信、公安等部委牵头制定手机安防行业标准,将网络攻击预警与线索举报进行贯通,实现流量安防领域的早发现、早处置。IOT设备目前的算力还不足以支撑强大的安防功能,可能更多需要借助云安全系统来加强防护。 |
|
|
来自: 行者无疆8c3m05 > 《刑法》
