頂象防禦雲業務安全情報中心監測到，某社交媒體平臺遭遇持續性的惡意爬蟲盜取。被批次盜取使用者資訊和原創內容，經分類梳理和初步加工後，被黑灰產轉售給競爭對手或直接用於惡意營銷。由此不僅給社交媒體平臺的數字資產帶來直接損失，影響使用者對社交媒體平臺的信任，更破壞了內容產業的健康發展。

社交媒體是重要的內容平臺

中國網際網路絡資訊中心（CNNIC）第46次《中國網際網路絡發展狀況統計報告》顯示，截至2020年6月，微信朋友圈使用率為85.0%，QQ空間、微博使用率分別為41.6%、40.4%，較2020年3月分別下降6個百分點、2.1個百分點。

微信朋友圈、微博等主流社交平臺長期佔據大部分流量，並透過不斷豐富的短影片、電商、本地生活等服務，構建完善的流量閉環和服務生態。透過社交平臺，網民和企事業組織積極分享圖文影片資訊，進行各類宣傳推廣，展示個體形象。例如，2022年北京冬奧會是迄今收視率最高的一屆冬奧會，在全球社交媒體上吸引超20億人關注。

頂象防禦雲業務安全情報中心第BSI-2022-dpda號情報顯示，有黑灰產團伙開發出專門的惡意網路爬蟲軟體，破解某社交媒體平臺的通訊介面和演算法，透過篡改IP地址等方式，繞過平臺設定的安全防護措施，對該社交媒體進行高頻的資料盜取。被盜取的資料包含社交媒體使用者資訊，以及使用者原創的文章、圖片、影片等內容。

社交媒體平臺的資料是企業的重要數字資產。作為新型的生產要素，不僅是企業核心的競爭力，更是新產品、服務、流程和管理的重要組成部分。惡意爬蟲的爬取、盜用行為，不僅造成企業數字資產損失，帶來直接的經濟損失，消耗了平臺服務和頻寬資源，嚴重破壞內容產業的生態秩序。

惡意爬蟲肆意盜取社交媒體原創內容

機械工業出版社出版的《攻守道—企業數字業務安全風險與防範》一書中，認為惡意網路爬蟲會帶來數字資產損失、使用者隱私洩露和擾亂業務正常執行等三大危害，並將“惡意網路爬蟲”列為十大業務欺詐手段之一。

網路爬蟲，又被稱為網頁蜘蛛，網路機器人，是按照一定的規則，自動地抓取網路資訊和資料的程式或者指令碼。網路爬蟲分為兩類，一類是搜尋引擎爬蟲，為搜尋引擎從廣域網下載網頁，便於搜尋檢索，後者則是在指定目標下載資訊，用於儲存或其他用途。另一類是惡意爬蟲，是從公開或半公開網路平臺抓取商品、服務、文字、圖片、使用者資訊、評價、價格資訊以及賬戶密碼、聯絡方式、身份等隱私資訊。

頂象防禦雲業務安全情報中心分析發現，盜取某社交媒體的惡意爬蟲共有兩種：第一種惡意爬蟲由開發程式設計能力的人員自主編寫，能夠根據需要和目的，對規則、邏輯進行自定義；第二種惡意爬蟲是直接購買標準化的爬蟲工具，簡單易用上手快，同時搭售反爬工具。

爬蟲開發製作門檻比較低。很多技術論壇社群有關於爬蟲開發、研究、使用介紹，市面上也有很多專業的爬蟲書籍。只要掌握Python程式語言，按照論壇、社群和書籍上提供的爬蟲教程和實操案例，同時根據爬蟲技術愛好者分享出來的平臺、網站、App的API介面資訊，就能夠快速搭建出一套專門的爬蟲工具。

同時，市面也有很多標準化的爬蟲工具。這類工具提供了視覺化的操作，不懂程式設計、沒有開發能力也能夠使用。只需要簡單的配置，就能夠對目標進行爬取。不僅爬取的進度和結果是視覺化，結果匯出也相當便利。並且，這類工具還會提供付費購買的工具，幫助使用者繞過常規的反爬措施。

黑灰產盜取社交媒體資料的目的

黑灰產盜取資料是為了牟利。盜取社交平臺的使用者資訊和原創內容後，黑灰產對資料進行儲存、加工，然後行商業化售賣，甚至進行詐騙。頂象防禦雲業務安全情報中心分析發現，黑灰產盜取社交媒體資料主要是以下三個目的。

第一類，為其他平臺導流。有非常多針對社交媒體的資料分析平臺。透過對社交平臺d使用者賬號資訊、內容、瀏覽、點贊等資料分類處理後，就可以進行內容分析、榜單排行、資料監控等提供服務，輸出為三方輿情服務。或者，提取出使用者的關注聚焦點，製作類似聚焦的內容，為其他平臺做導流。

第二類，搬運內容為其他賬號吸引粉絲。粉絲是社交媒體賬號影響力的重要體現之一。由於大多數賬號自身創作能力有限，很多賬號透過爬蟲爬取他人的優質文章、影片，再將內容簡單加工後重新發布到自己的賬號，由此達到快速吸粉的目的。說白了，就是剽竊他人原創版權。

第三類，製作仿冒賬號進行詐騙。透過爬蟲爬取社交平臺他人的資訊、分享的文章、影片等內容，在同個平臺或在另一個社交平臺建立高仿的虛假賬號，騙取粉絲的關注，然後進行各類欺詐。

此外，競爭對手也會利用網路爬蟲進行惡性競爭。同行的競爭是赤裸裸的。不少公司會僱傭黑灰產，對目標平臺發起資料盜取攻擊，從而導致競品無法正常使用。如果在某個重要的節點，透過惡意爬蟲對目標平臺進行大流量的訪問或盜取，會瞬間過高的併發量，出現DDoS效果，導致大量普通使用者無法正常訪問該網站，干擾平臺的正常運營。

惡意網路爬蟲的技術特徵

機械工業出版社出版的《攻守道—企業數字業務安全風險與防範》一書中，對惡意網路爬蟲有詳細的技術特徵分析，大體來看，主包含以下幾點特徵。

1、訪問的目標集中。惡意網路爬蟲主要是爬取核心資訊，因此只瀏覽訪問多個頁面，對於非涉及資訊資料的頁面不做不訪問。

2、行為有規律。由於爬蟲是程式化操作，按照預先設定的流程進行訪問等，因此呈現出有規律、有節奏且統一的特徵。

3、同一裝置上有規模化的訪問和操作。爬蟲的目的是最短時間內抓取最多資訊，因此同一裝置會有大量離散的行為，包括訪問、瀏覽、查詢等。

4、訪問IP地址異常。爬蟲的IP來源地址呈現不同維度上的聚集，而且瀏覽、查詢等操作時不停變換IP地址。並且很多爬蟲程式偽裝成瀏覽器進行訪問，並且透過購買或者租用的雲服務、改造路由器、租用IP代理、頻繁變更代理IP等進行訪問。

5、操作多集中非業務時間段。爬蟲程式執行時間多集中在無人值守階段。此時系統監控會放鬆，而且平臺的頻寬等資源佔用少，爬蟲密集的批次爬取不會對頻寬、介面造成影響。

針對惡意網路爬蟲的防控建議

基於惡意網路爬蟲的技術特徵以及社交媒體平臺的特點，頂象防禦雲業務安全情報中心安全及防控建議如下。

1、安全防護建議

加強平臺風險環境監測。社交平臺的客戶端可整合安全SDK，使其定期對App的執行環境進行檢測，對於存在程式碼注入、hook、模擬器、雲手機、root、越獄等風險能夠做到有效監控和攔截。

保障客戶端安全。社交分析平臺的APP和網頁，可以分別部署H5混淆防護及端安全加固，以保障客戶端安全。

保障通訊傳輸安全。黑產在業務通訊傳輸的環節，可能會嘗試篡改、爬取報文資料。透過對通訊鏈路的加密，可防止終端安全檢測模組的資料被篡改和冒用。

加強業務安全策略防控。針對批次爬蟲的風險特徵，可將社交媒體中各個業務查詢場景的請求接入業務安全風控系統。同時將終端採集的裝置指紋資訊、使用者行為資料等傳輸給風控系統，透過在風控系統配置相應的安全防控策略，有效地對風險進行識別和攔截。

1）裝置終端環境檢測。識別客戶端（或瀏覽器）的裝置指紋是否合法，是否存在注入、hook、模擬器等風險。通常批次作弊軟體大多都存在以上風險特徵。

2）行為檢測。基於裝置行為進行策略布控。針對同裝置高頻查詢，同IP高頻查詢，相同IP段反覆高頻查詢的請求進行監控。

3）名單庫維護。統計基於風控歷史資料，對於存在異常行為的賬號、IP段進行標註，沉澱到相應的名單庫。對於名單表內的資料在做策略時進行分層，適當加嚴管控。

4）外部資料服務。考慮對接手機號風險評分、IP風險庫、代理郵箱檢測等資料服務，對於風險進行有效識別和攔截。

2、處置及防控措施

頂象防禦雲業務安全情報中心建議，對識別為風險的請求進行實時攔截，直接反饋查詢失敗等，或在發現異常後透過彈出驗證碼的方式要求進行人機識別。

第五代智慧驗證碼。驗證碼能夠阻擋惡意爬蟲盜用、盜取資料行為，防止個人資訊、平臺資料洩露。當某一裝置或賬戶訪問次數過多後，就自動讓請求跳轉到一個驗證碼頁面，只有在輸入正確的驗證碼之後才能繼續訪問網站。但是設定複雜的驗證碼會影響使用者操作，帶來負面的體驗感受。

裝置指紋+風控引擎+智慧模型平臺。裝置指紋及時識別注入、hook、模擬器等風險，風控引擎對註冊、登入、領取等操作進行風險實時識別判定；智慧模型平臺幫助社交媒體構建專屬風控模型，由此構建多維度防禦體系，有效攔截各種惡意爬蟲風險，且不影響正常使用者體驗。

——————

業務安全產品：免費試用