如今这年头,没被运营商“上”过(劫持)都不好意思说自己是中国网民!
据《中国互联网络发展状况统计报告》统计称,截止2017年12月,中国互联网用户数已达 7.53 亿,有97.1%的网民通过手机上网。这是什么概念?相当于每两个中国人中,就有一个人给宽带运营商付费并使用其提供的上网服务,而且几乎每人都使用移动终端。
巨大的商机下暗流涌动,怎可能收个宽带费就满足?!所以,网络流量劫持也成了中国互联网成长过程中撇不清的话题。如利用DNS污染、JS投毒、特定请求重定向等手段对搜索结果、广告、网页内容甚至下载文件进行劫持。轻则对正常网络体验造成影响,重则对网络信息真实性甚至我们账号安全隐私造成风险
其实,你看到的这些广告都是中途被别人暗地里加的,这个别人就是中国特色的合法的黑客-运营商
运营商劫持主要分两种:
一种叫DNS劫持,DNS劫持简单粗暴,会把你重新定位到其它网站,比如比如假设你想访问中国银行,正常的DNS 解析IP应该是中国银行的IP地址(假设是10.1.2.3),但是中间者修改这个DNS解析结果,返回用户一个非中国网银行的IP(假设是10.2.3.4),那么用户就会和这个非中国银行的网站建立连接并产生网络传输。钓鱼网站就是这么干的,钓鱼网站是一个仿冒网站,当你输入用户名、密码它会记住你网上银行的用户名、密码,并用于非法的勾当。你本来想存钱,但钱存到了贼的手里,因为这个违法性实在太大,所以监管会比较严,现在已经不多见了。
DNS劫持的主要预防方法是使用固定的DNS地址,比如8.8.8.8 114.114.114.114,比较简单
另外一种就是HTTP劫持了,一旦运营商发现你的是HTTP请求,就会在里面插入广告,由于国内监管困难,所以我们经常会看到那么多辣眼睛的广告,恶心的让人想吐,而且不仅是成人,小朋友的网站也无法避免,我们的下一代就在充斥着色情暴力的环境中成长。
运营商劫持图
图中小明本来想上coding.com网站的,经过运营商的时候发现小明发起了一个HTTP请求,大家知道HTTP请求是在网络中是明文传输,而且必须经过运营商,于是运营商就能往里买塞任何东西了。常见的塞JS代码,我们经常看到屏幕上方或者下方的广告就是这样的了;另外一种是它把正常网页的内容全部塞到一个iframe里面,这样广告屏蔽软件就无效了,一旦屏蔽会导致全站都被屏蔽,整个网站都不能活了。不仅给你插广告,而且插的你毫无办法,你胆敢屏蔽我么?难道你不想上网了!
以下是腾讯的某个网站的检测报告:
总体1500万pv的业务,一天竟然有200万的劫持上报,7.5个用户中,就接近有1个用户出现被劫持的情况。
可见,各种运营商(尤其是移动联通)的心是有多黑!胆子是有多大!
近日,某国字号App遭遇流量劫持的传闻在业界流传。有消息称,该App某H5页面被植入色情内容广告,初步判断为遭遇地方运营商流量劫持所致。
这一消息传出后,流量劫持这个古老而又常新的名次再一次成为互联网圈关注的焦点。在以往,这个一直存在于互联网灰色产业链条中的服务往往极为隐蔽,不为外界所知。但在最近,这一产业链似乎已经走上台面,开始堂而皇之地进行公开宣传。
1 调查
运营商流量劫持服务被公开贩卖
近日,Bianews探员接到爆料,一家名为「沃媒网」的网站,以「运营商精准广告」的名义,公开贩卖流量劫持业务。
根据沃媒网提供的客服联系方式,Bianews探员与沃媒网工作人员取得了联系。值得一提的是,这名客服人员的头像为中国电信Logo,且在昵称中明文写有「各种劫持」。
Bianews探员以有意购买流量劫持服务的广告主身份与沃媒网客服人员进行了沟通。在此期间,沃媒网客服明确表示自己与电信存在合作,并称自己的广告服务为「电信广告」,仅能在电信网络下显示。随后,为介绍自己的产品,沃媒网工作人员向Bianews提供了一份宣传资料。
在这份宣传资料中,探员注意到,沃媒提供的广告服务号称可以覆盖全网99%的网站资源,甚至包括竞品网站;在广告样式上也不受广告位限制,PC端或移动端的任意广告样式均可发布。此外,沃媒网在宣传资料中多次强调,广告内容由运营商直投,不受网站资源限制。
这样的广告投放方式也符合流量劫持的典型情况。目前业界常见的流量劫持方式主要有DNS劫持与http劫持两种形式,前者会导致用户的页面被强行跳转至其他网站,而后者则会使用户浏览的正常页面被植入各种广告。
沃媒网提供的客户合作案例
某OTA网站通过流量劫持将广告投放到竞品网站首页
沃媒网提供的流量接触服务显然属于后者,由于用户浏览内容完全由劫持者控制,理论上来说劫持者可以任意控制用户能浏览到的网页内容。这也意味着劫持者可以在用户打开的任一页面上投放广告素材(https加密页面除外)。
除此之外,流量劫持的另一个恐怖之处也在沃媒的宣传材料中有所体现。流量劫持者可以掌握用户所有的浏览记录,并通过分析用户的个人信息为广告主提供精准化的广告推送服务。而这一切,都是在用户毫不知情的情况下发生的。
在与沃媒网工作人员沟通的过程中,Bianews探员被要求提供广告落地页面与公司营业执照等资料交予电信方面审核。很快,沃媒网客服表示,Bianews探员提供的某购物广告通过了审核,可以上线,并可自由指定推广区域。
而在推广价格方面,沃媒的CPM(每千人成本)报价为3.5元,300 CPM起投。与之对比的是,微信朋友圈广告的CPM底价为15元。
沃媒网工作人员称,电信算「大公司」,合作流程繁琐。如果探员认可他们的服务,在提供下述素材,完成相关流程后,就可以开始推广。沃媒提供的广告平台产品,甚至具备相当丰富的统计功能,与正规广告平台几乎无异。
2 内鬼?
电信旗下「号码百事通」存疑
谈到与电信方面的合作方式,沃媒网的工作人员向Bianews探员透露,他们与电信旗下的号百公司有合作关系。电信弹窗推广都是通过这一公司进行投放。
沃媒网客服与探员对话截图(百号为客服口误,应为号百)
公开资料显示,号百公司即「号百信息服务有限公司」,是中国电信集团旗下的全资子公司,主要负责号码查询服务「号码百事通」的日常运营。
但目前号百公司的业务显然不止于此,其官网(besttone.com.cn)显示,号百公司还涉足信息定制、精准广告甚至团购业务。
其中,精准广告业务的描述如下:
看完这段描述,聪明的读者似乎觉得似曾相识。没错,在沃媒网的宣传材料中,对流量劫持广告也有着类似的描述。也许,这是「大数据」这个词被黑得最惨的一天。
当然,这样的业务描述难以被认定为电信号百公司进行流量劫持的直接证据。在百度「电信号百+流量劫持」内容后,探员发现,早在多年前,就有用户指出,电信旗下的号百公司涉嫌进行流量劫持。遭遇强制跳转的用户查询了跳转页面的域名信息,发现上述域名均由号百公司备案注册。
上图中网友提到的「江苏号百信息服务有限公司」,是中国电信全资子公司。而Bianews探员调查的沃媒科技公司同样位于江苏,不知这一情况是否只是巧合。
上述证据显示,作为电信集团旗下的全资子公司,号百公司存在着较大的流量劫持嫌疑,极有可能是流量劫持行为的罪魁祸首。
3 千夫所指?
但助纣为虐者仍逍遥法外
多年以来,流量劫持一直是中国互联网的业界毒瘤。流量劫持的受害者不仅仅有普通用户,一些大型互联网公司也不堪其扰。
出于对用户体验与商业价值观的考量,一些网站不会在自己的页面中加入广告,或严格甄选广告主以避免出现低俗内容。但一些不法分子通过流量劫持等方式植入的广告,在内容上大多涉及低俗信息与欺诈内容。有些广告甚至涉及保健品、博彩信息等,广告法早有规定,上述广告内容严禁刊登于大众媒体上。
除此之外,流量劫持广告大多不顾及用户体验,在广告样式上经常采用大面积横幅、遮罩、浮动等形式。一些不明真相的用户会误认为上述广告为站长自行设置,因此不再使用上述网站。这也给站长、互联网企业们带来了一定伤害。
某站点遭流量劫持后被植入色情擦边球广告
今年年初,财联社因旗下App遭遇运营商流量劫持、强插广告,向北京市西城区人民法院提起诉讼,正式起诉中国联通。
而在此之前的2015年12月,今日头条、美团点评、360、腾讯、微博、小米科技六家互联网公司也曾发布声明,联合抵制流量劫持。上述公司称,流量劫持不仅令不法分子牟利,也严重影响了普通用户的使用体验,呼吁有关运营商严格打击流量劫持问题。
近年来,也有部分网站采用https传输协议,通过技术手段来避免运营商进行流量劫持。但流量劫持造成的恶果不应该由互联网企业与用户来承担,一直以来,流量劫持似乎成为了法律监管的真空地带,鲜有流量劫持发起者受到法律制裁。
4 流量劫持涉嫌犯罪
上海法院早有判例:获刑三年
在两年前,上海法院曾公开审理一起流量劫持案件,两名被告获刑。这也标志着,在司法层面,流量劫持已经被视为犯罪行为。
2015年11月,上海市浦东新区人民法院通报一起流量劫持案件,两名被告付某、黄某,通过租用服务器使用恶意代码修改用户路由器DNS设置,使部分用户访问2345导航站时会被强制跳转至5w导航。2345导航站报案后,两名犯罪嫌疑人被警方抓获。在不到一年的时间内,两名犯罪嫌疑人非法获利75.47万元。
随后,付某、黄某两被告被法院宣判,构成破坏计算机信息系统罪,参考量刑五年以上。但因二人均存在自首行为,被改判有期徒刑三年,缓刑三年。
上述判例显示,流量劫持已经在司法层面被认定为一种刑事犯罪。流量劫持发起者应按破坏计算机信息系统罪处理。
当Bianews探员向沃媒网负责人询问流量劫持存在的潜在法律风险时,沃媒网负责人十分干脆地表示:
我们是直接跟电信网络合作的,能有什么风险,现在做的人太多了。
有风险的话,中国电信早就不在了。
5 如何避免
无法避免,由于是运营商层次的劫持,并不是网站开发者放的,所以,终端用户无法采取技术手段屏蔽。只有一个法子,投诉,注意哦,你投诉的不是你访问的网站,而是你的网络提供者,是当地的移动、联通电信。
对于企业用户而言,其实也完全不必感到愤怒,因为不止是你的网站,包括BAT, QQ都无法逃脱运营商的魔掌
而对于企业而言,当前主流的手段,主要有两个:
1.可以选择切换到HTTPS,作为以安全为目标的HTTP通道, HTTPS被认为是HTTP的安全版,即在应用层又加了SSL协议,会对数据进行加密。
当然加密也是有代价的,不同于TCP/IP的三次握手,它需要七次握手,而且加上加密解密等因素,会使页面的加载时间延长近50%,增加10%到20%的耗电,从而造成系统性能下降。
但是,这样也就能基本避免运营商劫持了,毕竟黑产的目的是赚钱,流量劫持只是手段!他们也会核算成本!
2.如果没法使用HTTPS,就必须在网页中手动加入代码过滤。具体的思路是网页在浏览器中加载完毕后用JavaScript代码检查所有的外链是否属于白名单。
官方 