不是钓鱼，胜似钓鱼——揭秘“画皮”的第三方查询网站

不是钓鱼，胜似钓鱼——揭秘“画皮”的第三方查询网站 – 作者:FYosint

你知道什么是钓鱼网站？你知道该如何防范吗？本世纪初到现在，近20年的时间，数不清的钓鱼网站在给网络环境造成巨大破坏的同时，也让自身走到了全社会的聚光灯下。在政府监管、厂商围剿和大众网络安全意识提高的三重作用下，把坏人两个字写在脑门上的钓鱼网站已远没有十年前那般猖狂，取而代之的是一批“画皮妖精”，它们披着精致的人皮，却只为了得到“人心”——你的重要个人信息。

当年的“钓鱼”网站

钓鱼网站的主要牟利手段是通过骗取用户输入敏感信息（比如网银账号，密码）直接盗取个人财产，正如前文所说钓鱼网站把坏人写在脑门上，这种非法牟利方式和现实世界中的盗窃没有区别。钓鱼网站的幕后黑手从出现那天起，就不是游走在法律红线上的人，而是结结实实的罪犯。事实上，我们从众多的司法判例中也能看到，钓鱼网站的制作者最终会以盗窃或诈骗等罪名而被起诉。

数据源：官司自助通也不知什么时候开始，不法之徒发现了个人敏感信息除了可以“自用”还可以“买卖”。于是，近几年就出现了“没把坏人俩字写脑门上”的一批网站，它们收集个人信息，然后贩卖。在多数人的传统意识里，贩卖个人隐私似乎是走在法律边缘的行为，这种观念更是让这些网站肆无忌惮。这些第三方网站与钓鱼网站的明显区别在于它们确实为用户提供服务，例如查询信息等。且因为页面设计美观、用户体验良好、搜索排名靠前等原因可能备受人们喜爱。但就是这些第三方网站，或许正在收集你的隐私——在它们眼里，这些信息都是白花花的银子。

重现画皮过程

从技术上讲，只要你的信息提交给一个网站（或者说是服务器），基本可以说就没有秘密可言了。这里福韵君可以自己写个网站登录功能举个例子。简单说说原理，作为浏览器/服务器架构程序开发的基石之一，Servlet技术通过xml配置信息形成登录页面到后台Java程序的映射。从而在服务器端取得用户提交的数据。具体如下图所示：代码截图其他开发的技术细节这里不再赘述，当我们把前后台都编写好，并做好映射后，前台登录页面如下：前台登录页面当用户输入了用户名和密码并点击登录后，服务器端事实上可以看到用户提交信息的全部明文。如下图所示。服务器端设想一下，按照以上实例的逻辑，如果在真实环境中，你习惯用第三方网站为手机充值，只要对方愿意，你的真实手机号就会被第三方网站知道。再比如，你用第三方网站去查询社保信息，那么，你的身份ID，工作单位，等等更为隐私的信息都可能被第三方网站知道。是不是细思极恐？

类似的真实案例不是没有发生过，今年的央视315晚会就曝光了某第三方社保查询APP获取用户隐私的事件。节目中提及使用该APP会泄露个人的姓名，ID，社保密码等信息。

数据源：CCTV

事实上，通过第三方网站查询信息是一个代理的过程，即用户把自己的登录信息发送给第三方，第三方拿到这些信息后去真正的官方数据源服务器查询。此时，数据源服务器会认为第三方服务器是合法用户，将查询结果返回给第三方，第三方再将结果返回给用户。这样，第三方无疑就拿到了用户要查询的全部个人信息。

福韵君觉得，用画皮来形容这些第三方网站还是很恰当的。这些网站利用精美的、仿照官方数据源网站的页面获取用户信任，同时又免费满足了客户的实际查询需求。背地里却完整记录了用户大量隐私信息。这像极了一只披着完美人皮的妖精，表面美丽动人，实则是却想要挖取“人心”——窃取本应藏在用户心中属于自己的隐私。