網站植入抓取代碼 竊取手機訪客隱私

      僅僅是翻開網頁看了幾眼，自己的手機號就被泄露了，“黑客”們真能辦到嗎？近來，新京報記者親測了網絡售賣的“最新抓取技術”，用4臺不同號碼的智能手機閱覽“做了四肢”的網站，其間2臺手機的號碼被成功抓取。

這項檢驗源自今年6月的一次閱歷，新京報記者用手機4G網絡閱覽一個教育項目網站后，接到了該項目招商人員的電話，但記者并未向其透露自己的手機號。面臨質疑，招商人員支支吾吾，宣稱是從網絡服務商處取得。無獨有偶，記者查找網頁，發(fā)現有多位手機用戶在閱覽網頁后，接到相關的推銷電話，而他們均未奉告電話號碼。

網絡安全專家告知記者，用戶手機號碼泄露或許是訪問的網站運用了手機訪客抓取技術，這是一種網絡黑產，受警方沖擊。

記者檢索發(fā)現，多個博客、論壇有關于抓取技術的售賣網帖。為了驗證技術的真實性，記者聯(lián)絡發(fā)帖人，獲取了一段抓取代碼，隨后自建網站植入了抓取代碼，用自己和搭檔的手機號別離檢驗，發(fā)現此類抓取技術的確能在機主不知情的情況下，獲取手機號碼。

點開網頁瞬間抓取手機號碼

“2019最新抓取技術，支撐檢驗，有需求請聯(lián)絡。”

這是來自“我國專業(yè)IT社區(qū)”論壇的一條留言，新京報記者聯(lián)絡上發(fā)布者趙星（化名），他告知記者，現在許多網站用抓取技術，手機點進來的瞬間，后臺就能看見手機號碼，不需求任何其他操作。

“你可以先檢驗一下，用4G網絡，關掉WiFi，手機閱覽器訪問這個網址”，趙星見記者有疑惑，主動提出先檢驗技術，并給記者發(fā)來一個檢驗網址。

按趙星的要求，記者用手機4G網絡點開網址，這是一個沒有內容的空白網站。一分鐘內，趙星就在QQ上一字不差地報出了記者的這臺手機的號碼。

記者復制了趙星的網站代碼，發(fā)送給一位從事手機App開發(fā)的李先生。李先生看過代碼后稱，這個網站表面上很簡單，是空白網頁，但是它會檢測你的訪問設備，如果發(fā)現是手機訪問，網站就會跳轉，從另一個網站下載代碼，獲取訪客的手機號碼等隱私信息，這些進程一般的訪問用戶無法察覺。

訪客手機號碼賣1元1條

這些網上售賣的抓取技術論條計費，需求一次性充值1000元起，每抓取一條手機號碼，扣除相應的單價。出售抓取技術的周偉（化名）告知記者，抓取自己網站的訪客手機號碼，價格1元一條，還有抓取別人網站的訪客手機號碼的技術，5元一條。

“如果抓取別人的網站，只能抓一般‘http’打頭的網頁訪客，不能抓‘https’打頭的，因為加密傳輸的抓不了。除了網頁，手機App也能抓取，技術都是相同的”，周偉稱。

關于抓取別人網站的訪客，趙星則稱比較費事，“抓別人網站，抓取系統(tǒng)需求建模，7個工作日才干出數據，7元一條，充值需求1000條起，不支撐檢驗。”

趙星稱，訪客抓取有必定成功率，一個網站1000條流量，大約能抓150-200個手機號碼，比如手機連WiFi上網就走寬帶線路了，無法抓取。除了手機號碼，抓取系統(tǒng)后臺還可以看見關鍵詞來歷、落地頁、手機系統(tǒng)、IP、訪問時刻等訪客信息。

實測四臺手機兩臺被抓取號碼

完結網站的訪客手機號碼抓取，需求在網站上設備一組代碼。

為了驗證趙星等人的說法，7月1日，新京報記者租借服務器空間、注冊域名，建了一個用于檢驗的網站。隨后，趙星給了記者一段抓取代碼。記者把這段代碼植入網頁，上傳至檢驗網站。

記者先后用電腦和聯(lián)接WiFi的手機訪問檢驗網站，抓取系統(tǒng)后臺未有反響。當運用手機4G網絡訪問檢驗網站，趙星馬上報出了抓取的手機號碼，并發(fā)來后臺抓取到的號碼截圖，與記者當時運用的手機號碼共同。

之后記者運用4臺手機別離檢驗，兩個手機號碼被抓取，其他兩個未被抓取。

趙星表明，為了逃避沖擊，抓取系統(tǒng)后臺并不直接閃現手機號碼。而是有一欄5位數的“設備ID”、和一欄5位數的“編號”，趙星告知記者，把“設備ID”和“編號”連起來，前面加一個“1”，就是11位的手機號碼了。

在后臺的截圖中，記者看到系統(tǒng)還能閃現訪客的手機操作系統(tǒng)、訪客來歷、用戶IP和訪問時刻。

賣家稱地產、教育、醫(yī)療工作抓取最多

趙星稱，從他這購買抓取系統(tǒng)的客戶首要來自房地產出售工作，其他教育練習工作也有十幾個客戶。

從趙星客戶的抓取系統(tǒng)后臺，記者看到用戶操作的靈敏信息一覽無余。有人查找“五年制大專”進入南京一所民辦學校的招生網站，被抓取了手機號碼；還有人查找“房價走勢消息”進入嘉興一個樓盤出售網站，被抓取手機號碼；其他有人查找“親子兒童早教”進入一個宣稱美國品牌的早教網站，被抓取了手機號碼。

除了房地產出售、教育練習等工作，周偉告知記者，“最多的就是醫(yī)療工作的客戶，抓取業(yè)務就是從醫(yī)療工作的客戶開始做起來的”。

趙星提醒他的客戶，抓取技術會被網警沖擊，要低沉運用。“不要去賣數據，自己網站的訪客數據自己看，抓取今后隔半天再打電話。”

■ 事例

網站向?？漆t(yī)院售抓取代碼 33人涉案

據新京報此前報道，2017年北京海淀警方查獲26個不合法獲取公民信息網站，33人涉嫌侵犯公民個人信息罪被批捕。

海淀分局網安大隊民警調查發(fā)現，有不合法網站向一些“?？漆t(yī)院”、“美容醫(yī)療機構”網站出售抓取代碼。民警介紹，這些代碼只是在該網站代銷，編寫的還有其人。編寫代碼者負責制造并收取運用費；網站負責售賣代碼，并收取運用代碼網站的運用費；而運用者購買這些代碼后，要按收到手機號的條數付出運用費。

警方在15省18地市打開偵查，查獲不合法獲取公民信息的網站26個、手機號等個人信息上百萬條，梁某等33人因涉嫌侵犯公民個人信息罪，被檢察機關批準逮捕。

辦案民警介紹，用戶在閱覽加裝了代碼的網站時，就會被抓取手機號碼等信息，而網站依據用戶查找的關鍵詞等，還可以把握對方醫(yī)療等方面的私密信息，然后通過電話精準推銷。

■ 專家說法

自家WiFi比移動數據上網相對安全

網絡安全專家邵彤稱，用戶手機訪問網頁進程中，有幾種或許泄露手機號碼：你的手機知道你的本機號碼（比如SIM卡里寫入了本機號碼），流氓網頁通過閱覽器的接口或許縫隙獲取了。

其他，邵彤稱，閱覽器的cookie里包括你的手機號碼綁定的第三方網站賬號相關信息，第三方網站將其泄露給了流氓網頁。如果運用數據聯(lián)接上網，運營商知道手機號碼，流氓網頁通過運營商的接口可以取得訪問者的手機號碼。

邵彤提醒稱，一般用戶上網，建議電腦上設備聞名殺毒軟件，不閱覽來歷不明的網站；手機用戶運用聞名閱覽器，不設備來歷不明、需求越獄的root或許盜版App；其他，運用家里的WiFi上網比數據聯(lián)接上網相對安全。