一篇小黄文牵出国内最大黑产
上周有热心的小伙伴向Magiccc反馈,点击“阅读原文”发现极验移动官网底部有不可描述的浮窗广告,点击后跳出一篇小黄文。
这还得了!马上找到“网管”红姐,经过我的描述,红姐还是一脸懵逼,但是听到我说有小黄文,红姐暧昧一笑,表示这个热心小伙伴可能遭到了“流量劫持”......
运营商流量劫持示意图
啥叫流量劫持,下面这些场景大家一定会很熟悉:
刷微博,浏览新闻,下面提示“领取红包”、“真人侍宠”或一些大保健肾亏广告
下载某应用,无论是手机端还是 PC 端,下载到本地都会变成了UC、2345、瑞星
打开的是A网站,莫名其妙却被跳转至B网站,多为“黑五类广告”
各类劫持效果图
当然,还包括一些公司自己开发的应用以及H5页面,一般都被药产品类(壮阳,丰胸,减肥,增高,医疗等产品),卖肉类(毒),菠菜类(赌博),金融类(资金盘),资源类(卖片,卖服务)占据。
1
某国字号App遭遇流量劫持
圈里都知道,闹得最大的还是2017年5月10日晚上,国务院某App遭流量劫持。
但是,因为512的WanaCrypt0r 2.0比特币勒索病毒,这一轰动全球的事件,转移了大家的视线,而这一更大爆点的网络信息安全事件却鲜为人知,或者说关注的人比较少。 该App某H5页面被植入色情内容广告,后经排查“基本确定为用户当地运营商http劫持导致H5页面被插入广告......”
官方表示遭到运营商劫持
运营商连那啥都不怕,所以下面的这些更是见怪不怪:
WooYun前年反映的问题
2年后的今天不知道后续处置结果如何
讽刺的是,360浏览器也在为运营商背锅
v2ex上用户声讨运营商劫持广告
掘金网BryanSharp遇到的问题很眼熟
对于运营商流量劫持,网友们表示纷纷中枪:
expkzb:电信也有这问题,尤其是那个红包广告
xiaofami:我用的是辽宁联通,家庭光纤宽带以及4G网络你说的这些问题都存在
roist:上面的都算是良心运营商了,老家小城的一个央企宽带,过年前后那几个月,那专打手机的铺天盖地的黄色APP广告,屏幕大的手机给你留半边,屏幕小的手机直接全屏盖满热点,一滑就自动弹开下载,关键TMD弹完了还是不能滑动页面,而且不带停的,直接没法用
k9982874:我们这边是在移动设备*问http协议网站底部会有广告横幅,刷新后消失,数小时后会再次出现。pc访问没有
worldtongfb:感觉联通现在真是变本加厉有恃无恐了,工信部也没法管,联通已经这样了,用户净利润都下滑,工信部管得再严点联通都得直接倒闭了,那哪行啊
2
运营商流量劫持服务被公开贩卖
暴利之下,人心被腐蚀黑化
搜索运营商劫持,这类黑产生意不要太好做:
运营商流量劫持已形成黑色产业链
大家可能会问,这群人哪来的资源?
早在去年的5月中旬,BN探秘组团队(BiaNews)就针对运营商流量劫持话题,做过一期报道。一家名为“沃媒网”的网站,以“运营商精准广告”的名义,公开贩卖流量劫持业务。以下是当时的报道内容:
根据沃媒网提供的客服联系方式,我们与沃媒网工作人员取得了联系。值得一提的是,这名客服人员的头像为中国电信Logo,且在昵称中明文写有“各种劫持”!
一位“销售经理”的QQ号
为了获取更多线索,我们伪装成有意购买流量劫持服务的广告主身份与沃媒网客服人员进行了沟通。
让我们相信他们的业务能力,客服人员多次明确表示公司与电信存在合作,并称公司的广告服务为“电信广告”,仅能在电信网络下显示。随后,为介绍自己的产品,沃媒网工作人员向我们提供了一份内部的宣传资料。
在这份宣传资料中,我们注意到,沃媒网提供的广告服务号称可以覆盖全网99%的网站资源,甚至包括竞品网站;在广告样式上也不受广告位限制,PC端或移动端的任意广告样式均可发布。此外,沃媒网在宣传资料中多次强调,广告内容由运营商直投,不受网站资源限制!
“电信精准广告”宣传资料
经过一番沟通,我们被要求提供广告落地页面设计稿以及公司相关资质证明等资料,交予电信方面审核。很快,沃媒网客服表示,我们提供的购物广告通过了审核,可以上线,并可*指定推广区域。
而在收费标准方面,沃媒网的CPM(每千人成本)报价为3.5元,300CPM起投。而与之对比的是,微信朋友圈广告的CPM底价为15元(注:18年上涨至50-150元)。
客服人员介绍收费标准
沃媒网工作人员称,电信是“大公司”,合作流程繁琐。如果我们认可他们的服务,在提供下述素材,完成相关流程审批后,就可以开始推广。
我们根据提供的材料发现,沃媒网提供的广告平台产品,甚至具备相当专业的数据分析功能,与正规广告平台几乎无异。
客户数据后台,投放效果实时展示
查到这里,我们已经清晰掌握运营商流量劫持这项黑产业务的基本运营模式。但是,这群黑产人员到底是如何弄到“运营商资源”,这一点还并不清晰。所以,我们决定与客服聊点深入的内容......
3
盘根错节,网络最大黑产浮出水面
当谈到与电信方面的合作方式,沃媒网的工作人员向我们透露,他们与电信旗下的号百公司有合作关系,电信弹窗推广都是通过这一公司进行投放。
沃媒网客服聊天截图(百号为客服口误,应为号百)
通过企业公开资料显示,号百公司即“号百信息服务有限公司”,是中国电信股份有限公司旗下的全资子公司,主要负责号码查询服务“号码百事通”的日常运营。
国家工商总局企业信用信息查询系统查询内容截屏
显然,号百公司的业务不止于此。我们在其官网(besttone.com.cn)上看到,号百公司还涉足信息定制、精准广告甚至团购业务。
号码百事通官网
其中,针对所谓的精准广告业务的描述如下:
精准广告官网业务介绍
新官网更是干脆将精准广告包装为“大数据应用信息服务”。
看完这段描述,细心的小伙伴可能会发现很眼熟。没错!在沃媒网的宣传材料中,对流量劫持广告也有着类似的描述!也许,这是“大数据”这个词被黑得最惨的一天。
当然,这样的业务描述难以被认定为电信号百公司进行流量劫持的直接证据。
在百度搜索“电信号百 流量劫持”相关结果中,我们发现,早在14年就有用户指出,电信旗下的号百公司涉嫌进行流量劫持。遭遇强制跳转的用户查询了跳转页面的域名信息,发现上述域名均由号百公司备案注册。
用户直指号百参与流量劫持
图中网友提到的“江苏号百信息服务有限公司”,就是中国电信全资子公司。而我们调查的沃媒科技公司同样位于江苏,不知这一情况是否只是巧合。
上述相关证据显示,作为电信集团旗下的全资子公司,号百公司存在着较大的流量劫持嫌疑,极有可能是流量劫持行为的罪魁祸首!
4
三个以色列研究院发现
中国用户正在被运营商劫持
根据Freebuf报道,有三名以色列的研究人员发现,中国的互联网服务提供商(中国电信和中国联通)正在向用户的通信数据包中注入某些内容。
在他们所发表的文章中,研究人员对互联网服务提供商的这种操作手段和攻击方式进行了详细的分析,并且向大家解释了互联网服务提供商是如何监视用户的网络通讯信息,并修改数据包的URL目的地址的。
这些互联网服务提供商使用了两种注入技术,第一项技术为“Out of Band TCP Injection”,另一项技术为“HTTPInjection”。即TCP带外数据注入和HTTP注入。
除此之外,研究人员还收集了大量的证据,并发现了伪造数据包的始作俑者。
他们发现,互联网服务提供商与广告网站之间存在着一种肮脏的利益关系,他们一同合作并创造出了大量的广告收益,然后双方就可以对这些收入进行分摊。
在调查过程中,研究人员还检测到了大量被重定向的通信数据,而这些均与他们的这种合作伙伴关系有关。
即使这种事情只发生在中国,但是全世界所有的用户都将有可能受到影响。因为,如果你想要访问中国的某个网站,那么你的网络信息就需要流经某国的互联网服务提供商。这样一来,你的通信数据将有可能被注入广告或者恶意软件。
5
运营商流量劫持,如何避免?
就当前的情况而言,可以说无法避免。由于是运营商层次的劫持,而并不是网站开发者操作。对于普通的终端用户而言,无法采取技术手段屏蔽。
普通的用户,只能采取被动手段,投诉!也别嫌麻烦,这个可以说是目前最简单有效的方式......
工信部电信类用户申诉受理中心
而对于企业而言,当前主流的手段,主要有两个:
可以选择切换到HTTPS,作为以安全为目标的HTTP通道, HTTPS被认为是HTTP的安全版,即在应用层又加了SSL协议,会对数据进行加密。
当然加密也是有代价的,不同于TCP/IP的三次握手,它需要七次握手,而且加上加密解密等因素,会使页面的加载时间延长近50%,增加10%到20%的耗电,从而造成系统性能下降。
但是,这样也就能基本避免运营商劫持了,毕竟黑产的目的是赚钱,流量劫持只是手段!他们也会核算成本!
如果没法使用HTTPS,就必须在网页中手动加入代码过滤。具体的思路是网页在浏览器中加载完毕后用JavaScript代码检查所有的外链是否属于白名单。
具体可以参考这个链接:http://www.cnblogs.com/kenkofox/p/4924088.html
写到这里,Magiccc只想向WooYun与BiaNews团队致敬,因为他们面对的不是简单的黑产,而是一个手握利器的巨人......
最后,送上蓝点网整理的两个测试地址:
测试网页广告:http://ad.ldstu.com/
测试安卓应用劫持:http://tools.ldstu.com/ad/anzhuo.apk
若打开上述页面出现任何广告都说明你被劫持了,若下载的应用超过272KB也说明你被劫持了。
作者:Magiccc 来源:一本黑