日前,有新浪微博用户反映,在不知情的情况下,自己的帐号莫名手动双击营销帐号甚至情色内容。该用户表示,在尝试了微博客服中心给出的解决办法以后,异常双击的情况并未得到改善。
南都记者发觉,类似情况从2017年以来就频频发生。有安全专家表示,可能是网路被绑架、被不安全的第三方应用绑架、被撞库等引起的。用户防止使用统一密码、谨慎使用第三方授权、使用加密链接访问等方式其实可以改善这一情况。
文|李慧琪
编辑|石莹
微博用户莫名手动双击淫秽内容
日前,来自福建的小可(化名)在使用新浪微博时,发觉自己的双击记录里出现了好多非本人操作的异常双击。双击对象既有大V和公共机构,也有营销号,内容则涉及名星、最近起火的综艺、私家侦探广告等等,甚至还包括一些肉麻的色情淫秽内容。
异常双击内容包括近来起火的综艺《乘风破浪的妈妈》。受访者供图。
在微博上搜索“买赞”可以发觉,近年有过类似遭到的网友数不胜数。有网友晒出截图,异常双击大量集中在代购、修眉、丰胸、减肥、婚纱照等广告贴,以及关于名星的营销内容。并且,这种微博还有一个特征,尽管双击数都在几千以上,但大都只有零星评论。
据悉,南都记者在知乎、豆瓣等平台上也见到关于“为什么微博上会发生异常双击风波”的讨论,好多网友都描述了自己的经历。
“(我的微博)从18年就开始有了,”小可告诉南都记者,“最近还是我同学从我的微博主页听到的,她说‘你如何双击了一些关于情色的内容?’”小可觉得,异常双击对她的个人形象引起了影响,并且也侵害了她的个人隐私。
小可觉得异常双击的情色内容对自己的形象引起了很大影响。受访者供图。
对于这种情况,微博客服中心建议用户升级顾客端,及时更换密码,开启双重认证,消除第三方应用权限等操作。
“我根据提示,该做的都做了,但双击的情况还在持续。”小可说。更让她吵架的是,当她将上述情况投诉给客服中心以后,至今没有得到任何回复。
专家:被网路绑架、被撞库可能是主要诱因
明明帐号密码都把握在自己手里,为何会被他人拿去双击?南都记者梳理发觉,类似问题从2017年就时有发生。
微博官方帐号@微博安全中心在2017至2018年间,公示过3批、近400个存在严重双击异常的帐号。当时微博称主要诱因是“用户接入不安全的网路后被绑架”。
2018年,江苏无锡民警就曾查获一起黑产借助营运商管理漏洞绑架流量的案件,全省96家互联网公司用户数据被泄露,微博是其中之一。
据了解,该犯罪结伙将自主编撰的恶意程序置于营运商内部的服务器上,当用户的流量经过营运商的服务器时,该程序就手动运行,从中清洗、采集出用户cookie(用户登入网站峰会之类的帐户密码等数据记录)等关键数据。下游公司还会借助已泄漏的数据操控用户帐号在微博等社交平台上双击、关注等。
去年4月30日,@微博安全中心再度发通告表示,近日被绑架用户集中在PC端,福建省联通和联通网路。似乎未造成帐号信息被窃,但会绑架双击和关注。
对于出现异常双击的其他可能缘由,全知科技CEO方兴告诉南都记者,有些是用户帐号早已失窃,有些是用户自己的密码比较弱被猜解了,还有些可能是第三方的问题。例如,被不安全的第三方应用绑架;再例如被砸库,也就是黑客借助第三方早已泄密的个人信息去撞库,假如密码相同的话就可以匹配成功。
20元可买500个“真人”粉丝
不为盗号,而是被“借”去给其他号双击、加关注,虽然是制造虚假流量的一种常见手段。
“双击是和流量直接相关的”,上海汉华飞天科技有限公司技术经理彭根告诉南都记者,有一些专门做刷量的公司,专门通过给特定帐号涨粉、双击、转发、评论赚钱。
南都记者搜索发觉,买微博粉丝等黑色手段如今依然存在。例如一名买家将微博粉丝分为中级、高级、顶级和精品等各类级别,其中顶尖和精品均为真人微博,自带粉丝和博文,中级微博只有头像,中级则仅为凑数。其中,最贵的顶尖活跃粉丝500个20元,但是买家承诺1小时内就可以完成涨粉。
被测微博一小时内涨粉500。
该店家还告诉南都记者,虽然微博手动清粉,这种粉丝也不会被清除。南都记者实测发觉,在使用微博的“修正粉丝”功能后,新增的500个粉丝中,只有30个粉丝被清除掉。
据悉,南都记者还从新增粉丝中随机选购了10个,并向对方发去私信,结果三天之内没有任何粉丝进行回复。有熟悉黑产的安全专家告诉南都记者,店家所称的“真人粉丝”虽然时常更新博文,像是真人在操作,但似乎也是黑灰产从业人员用机器刷下来的。
在今年7月的腾讯安全沙龙上,腾讯网路安全与犯罪研究基地中级研究员张宝峰曾介绍,随着整个互联网产业技术策略对抗的不断升级,虚假流量的黑灰产运作也在更新。
他提到,最新的刷量手法为人工刷和机器刷相结合——先通过人际网路渠道收集、雇佣或租赁大量真实帐号,将这种帐号与下游的刷量平台相对接,再通过刷量平台手动进行涨粉、转发、打卡以及双击、打榜等。
安全小贴士:
为了防治微博异常双击等风险,隐私护卫兵建议:
1.防止使用统一密码。我们建议你们在填写密码时,可以根据重要程度进行分辨,防止因一个网站信息泄漏而影响其余应用的帐号。
2.慎重使用第三方授权。在通过微博、微信、QQ等帐号登入一些网站和App进行第三方授权时,该网站并不会获取你的密码,但很有可能向你索要一些看似必要实则涉及隐私的信息,有些网站可能会借助这种信息进行不正当行为。
3.使用加密链接访问。为避免网路通讯绑架,在笔记本上访问网站时,假如该网站支持HTTPS(超文本传输安全合同),就要尽量使用加密链接访问。具体方式就是,在网址前自动加上“”。