快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

一篇小黄文牵出国内最大黑产,你被“上”过吗?

如今这年头,没被运营商“上”过(挟制)都不好意思说本人是中国网民!这照样乌云在2016年2月一句吐槽的话。两年时间过去了,乌云已不在,而中国网民依旧每一日被运营商“上”……

上周有热情的小伙伴向Magiccc反馈,点击“涉猎原文”发现极验挪移官网底部有不可描摹的浮窗广告,点击后跳出一篇小黄文。

这还患了!马上找到“网管”红姐,经过我的描摹,红姐照样一脸懵逼,然则听到我说有小黄文,红姐暧昧一笑,表示这个热情小伙伴可能遭到了“流量挟制”……

1.jpg

运营商流量挟制示意图

啥鸣流量挟制,下面这些场景人人一定会很熟识:

刷微博,阅读消息,下面提示“领取红包”、“真人侍宠”或一些大保健肾亏广告;

下载某应用,无论是手机端照样 PC 端,下载到内陆都会变成了UC、234五、瑞星;

关上的是A网站,稀里糊涂却被跳转至B网站,多为“黑五类广告”。

2.jpg

各类挟制结果图

当然,还包括一些公司本人开发的应用和p页面,一般都被药产品类(壮阳,丰胸,减肥,增高,医疗等产品),黑客工具,卖肉类(毒),菠菜类(赌博),金融类(资金盘),资源类(卖片,卖服务)盘踞。

圈里都知道,闹得最大的照样2017年5月10日晚上,国务院某App遭流量挟制。

然则,因为512的WanaCrypt0r 2.0比特币勒索病毒,这一哄动环球的事故,转移了人人的视线,而这一更大爆点的收集信息安全事故却鲜为人知,或者说关注的人比较少。 该App某p页面被植入色情内容广告,后经排查“基本确定为用户当地运营商http挟制导致p页面被插入广告……”

3.jpg

官方表示遭到运营商挟制

运营商连那啥都不怕,所如下面的这些更是见怪不怪:

4.jpg

WooYun前年反映的问题

2年后的今天不知道后续处置效果怎么样

5.jpg

取笑的是,360阅读器也在为运营商违锅

6.jpg

v2ex上用户声讨运营商挟制广告

7.jpg

掘金网BryanSharp遇到的问题很眼熟

对于运营商流量挟制,网友们表示纷纷中枪:

expkzb:电信也有这问题,尤为是谁人红包广告;

xiaofami:我用的是辽宁联通,家庭光纤宽带和4G收集你说的这些问题都存在;

roist:上面的都算是良心运营商了,老家小城的一个央企宽带,过年先后那几个月,那专打手机的展天盖地的黄色APP广告,屏幕大的手机给你留半边,屏幕小的手机直接全屏盖满热门,一滑就自动弹开下载,症结TMD弹完了照样不能滑动页面,而且不带停的,直接无法用;

k9982874:我们这边是在挪移设备上走访http协定网站底部会有广告横幅,革新后消失,数小时后会再次出现。pc走访没有;

worldtongfb:感觉联通现在真是变本加厉有恃无恐了,工信部也无法管,联通已经如许了,用户净利润都下滑,工信部管得再严点联通都得直接倒闭了,那哪行啊。

暴利之下,民气被腐蚀黑化。

搜索运营商挟制,这种黑产买卖不要太好做:

8.jpg9.jpg

运营商流量挟制已形成黑色产业链

人人可能会问,这群人哪来的资源?

早在客岁的5月中旬,BN探秘组团队(BiaNews)就针对运营商流量挟制话题,做过一期报导。一家名为“沃媒网”的网站,以“运营商精准广告”的名义,地下销售流量挟制营业。下列是那时的报导内容:

根据沃媒网提供的客服联系方式,我们与沃媒网工作人员取患了联系。值得一提的是,这名客服人员的头像为中国电信Logo,且在昵称中明文写有“种种挟制”!

10.jpg

一位“贩卖经理”的QQ号

为了获取更多线索,我们伪装成故意购买流量挟礼服务的广告主身份与沃媒网客服人员进行了沟通。

让我们信赖他们的营业能力,客服人员多次明确表示公司与电信存在合作,并称公司的广告服务为“电信广告”,仅能在电信收集下显示。随后,为先容本人的产品,沃媒网工作人员向我们提供了一份内部的宣扬资料。

11.jpg

在这份宣扬资料中,我们注意到,沃媒网提供的广告服务号称可以笼盖全网99%的网站资源,甚至包括竞品网站;在广告样式上也不受广告位制约,PC端或挪移端的任意广告样式均可发布。此外,沃媒网在宣扬资料中多次夸大,广告内容由运营商直投,不受网站资源制约!

12.jpg

“电信精准广告”宣扬资料

经过一番沟通,我们被请求提供广告落地页面设计稿和公司相干天资证实等资料,交予电信方面考核。很快,沃媒网客服表示,我们提供的购物广告通过了考核,可以上线,并可自由指定推行地区。

而在收费标准方面,沃媒网的CPM(每一千人成本)报价为3.5元,300CPM起投。而与之对比的是,微信同伙圈广告的CPM底价为15元(注:18年上涨至50-150元)。

13.jpg

客服人员先容收费标准

沃媒网工作人员称,电信是“大公司”,合作流程繁琐。要是我们认可他们的服务,在提供下述素材,实现相干流程审批后,就可以最先推行。

我们根据提供的材料发现,沃媒网提供的广告平台产品,甚至具备至关专业的数据阐发功能,与正轨广告平台几乎无异。

14.jpg

客户数据后台,投放结果实时铺示

查到这里,我们已经清晰把握运营商流量挟制这项黑产营业的基本运营模式。然则,这群黑产人员到底是怎么样搞到“运营商资源”,这一点还并不清晰。所以,我们决定与客服聊点深入的内容……

当谈到与电信方面的合作方式,沃媒网的工作人员向我们流露,他们与电信旗下的号百公司有合作关系,电信弹窗推行都是通过这一公司进行投放。

15.jpg

沃媒网客服聊天截图(百号为客服口误,应为号百)

通过企业地下资料显示,号百公司即“号百信息服务有限公司”,是中国电信株式会社旗下的全资子公司,首要负责号码查询服务“号码百事通”的一样平常运营。

16.jpg

国家工商总局企业信用信息查询体系查询内容截屏

显著,号百公司的营业不止于此。我们在其官网(besttone.com.cn)上看到,号百公司还涉足信息定制、精准广告甚至团购营业。

17.jpg

号码百事通官网

其中,针对所谓的精准广告营业的描摹以下:

18.jpg

精准广告官网营业先容

19.jpg

新官网更是爽性将精准广告包装为“大数据应用信息服务”

看完这段描摹,仔细的小伙伴可能会发现很眼熟。没错!在沃媒网的宣扬材料中,对流量挟制广告也有着类似的描摹!也许,这是“大数据”这个词被黑得最惨的一天。 

当然,如许的营业描摹难以被认定为电旗子灯号百公司进行流量挟制的直接证据。

在百度搜索“电旗子灯号百 流量挟制”相干效果中,我们发现,早在14年就有效户指出,电信旗下的号百公司涉嫌进行流量挟制。遭受强制跳转的用户查询了跳转页面的域名信息,发现上述域名均由号百公司备案注册。

20.jpg

21.jpg

用户直指号百参与流量挟制

图中网友提到的“江苏号百信息服务有限公司”,就是中国电信全资子公司。而我们调查的沃媒科技公司一样位于江苏,不知这一情形是否只是偶合。

上述相干证据显示,作为电信集团旗下的全资子公司,号百公司存在着较大的流量挟制怀疑,极有多是流量挟制举动的罪魁祸首!

22.jpg24.jpg


FreeBuf曾报导过,有三名以色列的研究人员发现,中国的互联网服务提供商(中国电信以及中国联通)正在向用户的通讯数据包中注入某些内容。

在他们所发表的文章中,研究人员对互联网服务提供商的这类操作手段以及攻击方式进行了具体的阐发,并且向人人诠释了互联网服务提供商是怎么样监视用户的收集通信信息,并修改数据包的URL目的地址的。

26.jpg

这些互联网服务提供商使用了两种注入手艺,第一项手艺为“Out of Band TCP Injection”,另一项手艺为“HTTPInjection”。即TCP带外数据注入以及HTTP注入。

除此之外,研究人员还网络了大批的证据,并发现了伪造数据包的始作俑者。

他们发现,互联网服务提供商与广告网站之间存在着一种肮脏的利益关系,他们一同合作并创造出了大批的广告收益,然后双方就可以对这些收入进行分摊。

在调查过程中,研究人员还检测到了大批被重定向的通讯数据,而这些均与他们的这类合作伙伴关系有关。

即使这类事情只发生在中国,然则全全国所有的用户都将有可能受到影响。因为,要是你想要走访中国的某个网站,那么你的收集信息就需要流经某国的互联网服务提供商。如许一来,你的通讯数据将有可能被注入广告或者恶意软件。

就当前的情形而言,可以说没法避免。由因而运营商层次的挟制,而并不是网站开发者操作。对于普通的终端用户而言,没法采取手艺手段屏蔽。

普通的用户,只能采取被下手段,投诉!也别嫌麻烦,这个可以说是目前最简单有用的方式……

27.jpg

工信部电信类用户申诉受理中心

而对于企业而言,当前支流的手段,首要有两个:

一、可以选择切换到HTTPS,作为以安全为目标的HTTP通道, HTTPS被认为是HTTP的安全版,即在应用层又加了SSL协定,会对数据进行加密。

当然加密也是有代价的,不同于TCP/IP的三次握手,它需要七次握手,而且加上加密解密等身分,会使页面的加载时间延长近50%,增添10%到20%的耗电,从而造成体系性能下降。

然则,如许也就能基本避免运营商挟制了,毕竟黑产的目的是赢利,流量挟制只是手段!他们也会核算成本!

2、要是无法使用HTTPS,就必须在网页中手动加入代码过滤。详细的思路是网页在阅读器中加载完毕后用JavaScript代码检查所有的外链是否属于白名单。

详细可以参考这个链接:http://www.cnblogs.com/kenkofox/p/4924088.html

写到这里,Magiccc只想向WooYun与BiaNews团队致敬,因为他们面对的不是简单的黑产,而是一个手握利器的伟人……

最后,奉上蓝点网收拾整理的两个测试地址:

测试网页广告:

http://ad.ldstu.com/    

测试安卓应用挟制:

http://tools.ldstu.com/ad/anzhuo.apk

若关上上述页面出现任何广告都说明你被挟制了,若下载的应用超过272KB也说明你被挟制了。

本文内容参考内容源

BiaNews—《敢在太岁头上动土:运营商流量挟制调查》

方老司—《你可能不知道你已经被运营商挟制了》

蓝点网—《简单的测试:测试你的收集是否被运营商挟制》

Freebuf—《国外安全研究员:中国ISP将用户的合法流量挟制至恶意站点》

*

您可能还会对下面的文章感兴趣: