HTTPS+HSTS+includeSubDomains+HSTS Preload List+浏览器侧阻止第三方Cookie+Cookie Secure
Cookie Secure(HTTPS和HTTP的Cookie共享,恶意站点引用http://weibo.com/即可拿到Cookie,当配置HSTS后,可以使用不存在的子域名http://feei.weibo.com,并通过DNS污染使其随便指向某个IP,即可获取其Cookie)
运营商劫持案例
你曾经是否发现自己的微博突然多关注了几个人,甚至发布了几条广告微博?QQ突然被加入陌生群组?也许就是因为黑灰产团伙已经控制了你的账户,曾经绍兴警方就成功侦破过一件大案。
一家数百人的黑灰产集团,由近十家公司组成。并且还上市了,年营收达到上千万。该团伙创始人原本在运营商体系工作,后开始创业。由于当时各大网站和App都还是使用HTTP协议,导致在传输层毫无防护能力。
于是该团伙在2011年开始创业,通过和各地运营商建立合作,共建基于运营商流量的广告业务,实现劫持访问站点(插入推广Cookie获得抽成、增加其它站点访问量等)、插入广告、替换原有广告、替换下载的App等行为,通过广告的投放来赚取高额利益。到2016年左右,各大主流站点几乎都将通信协议升级为HTTPS,导致运营商能够劫持的流量不断下降,广告的展示与点击也随之下降,使得公司营收急剧缩水。营收仅187万,净利润2万元。
当年,以微博、公众号、头条号、直播为代表的新媒体开始崛起,于是该公司嗅到其中的机会,发现虽然各大主流互联网公司都实现了HTTPS,但其中还是存在一些非HTTPS的业务,比如一些资源链接、边缘业务、降级HTTP等。通过这些HTTP流量,可以抓取到用户的COOKIE信息。
拿到COOKIE信息,即拥有了该用户的账户权限,从而可以实现操控海量账户,在微博、微信、抖音等新媒体平台来进行精准营销、加粉丝、点赞、刷浏览量等方式盈利。优先为自己运营的新媒体账号加粉、刷量,并售卖加粉、刷量服务。通过该方法创造多个自媒体大V账号,2016年营收3028万元,净利润1053万元,并于2017年底在新三板上市。
虽然盈利颇丰,但其业务模式并不能见光。于是其在内部做了很多安全防护措施,包括使用匿名工具讨论敏感业务和技术问题,核心数据储存在海外,秒波IP池避免被追踪,对大V账号进行加白避免引起舆论,服务拥有应急程序能够自动清除。
