有个安全圈内朋友告诉宅宅，最近有一批黑产特大团伙被抓了。据说，在移动网络环境下，如果在手机浏览器中点击培训机构、金融、医院等相关网站，手机号码、手机型号、搜索记录等信息就会被无声无息地抓走，你就成了“精准营销”的对象。

“我要是在浏览器里从来没填过手机号码呢？”

“一样。”

“清空cookie 呢？”

“一样。”

这……宅宅惊呆了，直到今天进了一回局子——没干坏事，就是去了海淀公安分局，参加了上述朋友说的特大黑产案件发布会——海淀分局网安大队队长董立波告诉宅宅，起初他们发现很多网友遭遇这个类型的案例时，也是很惊讶的。

比如，小林用手机搜索“英语学习”，点开了一个培训网站。5秒后，他的手机响了：“您好，请问您在英语学习上是不是遇到了困难，我们这里有XXX培训，有这些套餐，我给您介绍一下……”

这也罢了，万一有难言之隐，好不容易鼓起勇气在某某医院网站搜索下“X 病”，营销电话打过来：“先生你好，听说您身体不太舒服，我们这有最好的男科大夫，您需要吗？”

这就尴尬了……

近4万个网站使用恶意代码，每天500万次用户受影响

董立波与同事梳理案件时，开始有个小小的猜测：是不是公民信息在其他地方泄露，所以才有这种骚扰电话？

但是，后来接到更多举报后，他们发现，事情没有“这么简单”。

宅宅从海淀分局了解到，一名IT 界的“海淀网友”小张搜索到了这样的推广信息“提供手机号抓取服务，详情请添加QQ 好友私聊”。

为了确认这个网站提供“服务”的真实性，小张按照对方 QQ 的提示，注册了该网站的会员，并免费试用该抓取代码三天。小张建立了一个小网站，测试完后，发现真的可以在手机用户浏览过后，抓取到手机号、型号等信息。

警察蜀黍和协助海淀分局办案提供技术支持的百度安全对该网站溯源研究后，发现事情更不简单了！

▲左：董立波 右：百度安全事业部副总经理沈鹏飞

原来，这个“提供特殊服务”的网站仅仅只是整个犯罪过程中的一个环节。

下面，宅宅来揭秘整个庞大的黑产链条。

所谓“提供特殊服务”的网站其实只是数据抓取技术销售代理商，即从一级抓取手机号等数据的技术服务提供者（代码编写者）处购买了源代码，然后转售了一些代码给目标用户，属于二级网站，三级为数据抓取技术使用者。

通过对二级网站源代码进行解析，警方发现，二级网站的整体架构均由一级提供，且非法获取的信息公民信息要先返回一级服务器，后由一级转给二级。

收费方式分为两种：第一种是二级需提前向一级充值，一级按照条数计费，获取一条扣一条钱，扣完服务终止；第二种是直接一次性出售代码。

百度安全研究员表示，随着市场情况的变化，这类黑产还会推出包月和包年的付费方式。

最匪夷所思的是，三级网站也有等级制度，需要在二级网站上注册登录才能看到自己想要的信息。

为了保证这是“活水”，有源源不断的收益，一级网站当然不会这么傻把数据直接给二级网站，他们设置了所有抓取的个人信息会在第一时间发送到一级网站的服务器，再销给二级网站。

背后的利益关系十分复杂，警察蜀黍梳理案件两个月后，发现这是一个大案！于是，他们在7月24日立案，并将次行动定为“滤网行动”。在这个过程中，18 个工作组前往 15 个省 18 个地市开展了侦查工作，发现了这个惊人的黑产网络：一级网站下有 32 家二级网站在正常运营中，27 家二级网站存储了 5000 条以上的公民信息。而且，很多信息是个人极为隐私的信息，比如不孕不育、男科妇科疑难杂症等。

在这个案件里，有几个数字比较可怕：近百个代码开发运营者、约 300 多个代码推广者，近 4 万个网站使用代码，每天约有 500 万次用户受影响。

百度安全事业部副总经理沈鹏飞在发布会现场算了一笔账：仅按照一个网站交一年年费 8000 元来算，这类黑产团伙的年收入能达到 3.2 亿。

经过严密取证后，9月25日，警察蜀黍抓获了 26 家涉案网站多名违法犯罪嫌疑人，截至目前，已有 33 名犯罪嫌疑人经检察院批准逮捕。宅宅了解到，这个数字还在上升中。

 ▲部分嫌犯抓捕现场，图片来源：海淀公安分局

"神秘代码”为何拥有如此魔力

话说回来，这段"神奇”的代码究竟是怎么回事？

据沈鹏飞介绍，用户点击进入窃取数据代码使用者的网站后，网页一边会吭哧吭哧地加载正常的内容，一边开始了小动作——先偷偷隐藏加载窃取数据代码开发者的访客记录代码，然后加载读取手机号码的代码，请求运营商数据接口读取手机号，再将访客手机号、搜索的关键词、URL、访问的时间、访问的IP、搜索引擎等相关信息发送至一级网站的服务器。

一级网站把信息发给二级网站，二级网站再把信息发给三级网站，三级网站客服获得访客手机号后定向营销。

如果被骚扰质疑网站是怎么得到了手机号，客服通常会谎称是网络服务商提供的，让后者“背锅”。

问题来了，为什么这段代码可以请求调用运营商数据接口？原来，黑产找到了运营商接口的漏洞，编写了漏洞利用程序，从接口获取了数据。

百度安全的研究员先后发现了 5 个被黑产利用的接口，并与黑产开展了五轮攻防对抗。与运营商合作封掉这 5 个接口后，居然又发现了两个可被使用的接口……黑产不断变换方式躲避监管，刚刚打掉一波，另一波又冒头了。

如此放任下去，这事就会像割韭菜一样，割了一茬又一茬。

技术手段有时虽可行，但怎样才能对黑产产生巨大的威慑作用？

曾有对抗黑产的安全研究员告诉宅宅，与警察蜀黍合作，立案侦查，抓捕嫌犯，才是震慑黑产的最有效路径。 

安全研究员反馈情况后，警察蜀黍开始“放大招”收网。百度安全的研究员证实，在配合警方打击此类黑产的过程中，他们监测到近 4 万个使用该类代码的网站在数月间消失了 3 万多个，对于剩下的这类网站，他们仍然在持续监测和对抗中。

写在最后

采访该案时，宅宅还发现了几个重要信息：

1.一位媒体同行现场提问：“在这起案件中，公民应该如何保护自己的隐私。”警察蜀黍沉默了一会，建议大家不要点击小网站。事实上，宅宅了解到，这事不是个人用户的锅，也不是搜索引擎的锅。那么，是谁的锅？后续看证据说话。

2.据警察蜀黍介绍，他们刚开始注意到这起案件“并不简单”，是因为有很多人发博文陈述了被骚扰经历并艾特了“平安北京”等官方号。所以，如果下次要举报相关违法行为，你懂的。

3.购买这类代码服务也是违法行为，切记切记！不然，下面这些人会来抓你的。