第九期|不是吧，我在社交媒体的照片也会被网络爬虫？

顶象防御云业务安全情报中心监测到，某社交媒体平台遭遇持续性的恶意爬虫盗取。被批量盗取用户信息和原创内容，经分类梳理和初步加工后，被黑灰产转售给竞争对手或直接用于恶意营销。由此不仅给社交媒体平台的数字资产带来直接损失，影响用户对社交媒体平台的信任，更破坏了内容产业的健康发展。

社交媒体是重要的内容平台

中国互联网络信息中心（CNNIC）第46次《中国互联网络发展状况统计报告》显示，截至2020年6月，微信朋友圈使用率为85.0%，QQ空间、微博使用率分别为41.6%、40.4%，较2020年3月分别下降6个百分点、2.1个百分点。

微信朋友圈、微博等主流社交平台长期占据大部分流量，并通过不断丰富的短视频、电商、本地生活等服务，构建完善的流量闭环和服务生态。通过社交平台，网民和企事业组织积极分享图文视频信息，进行各类宣传推广，展示个体形象。例如，2022年北京冬奥会是迄今收视率最高的一届冬奥会，在全球社交媒体上吸引超20亿人关注。

顶象防御云业务安全情报中心第BSI-2022-dpda号情报显示，有黑灰产团伙开发出专门的恶意网络爬虫软件，破解某社交媒体平台的通讯接口和算法，通过篡改IP地址等方式，绕过平台设置的安全防护措施，对该社交媒体进行高频的数据盗取。被盗取的数据包含社交媒体用户信息，以及用户原创的文章、图片、视频等内容。

社交媒体平台的数据是企业的重要数字资产。作为新型的生产要素，不仅是企业核心的竞争力，更是新产品、服务、流程和管理的重要组成部分。恶意爬虫的爬取、盗用行为，不仅造成企业数字资产损失，带来直接的经济损失，消耗了平台服务和带宽资源，严重破坏内容产业的生态秩序。

恶意爬虫肆意盗取社交媒体原创内容

机械工业出版社出版的《攻守道—企业数字业务安全风险与防范》一书中，认为恶意网络爬虫会带来数字资产损失、用户隐私泄露和扰乱业务正常运行等三大危害，并将“恶意网络爬虫”列为十大业务欺诈手段之一。

网络爬虫，又被称为网页蜘蛛，网络机器人，是按照一定的规则，自动地抓取网络信息和数据的程序或者脚本。网络爬虫分为两类，一类是搜索引擎爬虫，为搜索引擎从广域网下载网页，便于搜索检索，后者则是在指定目标下载信息，用于存储或其他用途。另一类是恶意爬虫，是从公开或半公开网络平台抓取商品、服务、文字、图片、用户信息、评价、价格信息以及账户密码、联系方式、身份等隐私信息。

顶象防御云业务安全情报中心分析发现，盗取某社交媒体的恶意爬虫共有两种：第一种恶意爬虫由开发编程能力的人员自主编写，能够根据需要和目的，对规则、逻辑进行自定义；第二种恶意爬虫是直接购买标准化的爬虫工具，简单易用上手快，同时搭售反爬工具。

爬虫开发制作门槛比较低。很多技术论坛社区有关于爬虫开发、研究、使用介绍，市面上也有很多专业的爬虫书籍。只要掌握Python编程语言，按照论坛、社区和书籍上提供的爬虫教程和实操案例，同时根据爬虫技术爱好者分享出来的平台、网站、App的API接口信息，就能够快速搭建出一套专门的爬虫工具。

同时，市面也有很多标准化的爬虫工具。这类工具提供了可视化的操作，不懂编程、没有开发能力也能够使用。只需要简单的配置，就能够对目标进行爬取。不仅爬取的进度和结果是可视化，结果导出也相当便利。并且，这类工具还会提供付费购买的工具，帮助使用者绕过常规的反爬措施。

黑灰产盗取社交媒体数据的目的

黑灰产盗取数据是为了牟利。盗取社交平台的用户信息和原创内容后，黑灰产对数据进行储存、加工，然后行商业化售卖，甚至进行诈骗。顶象防御云业务安全情报中心分析发现，黑灰产盗取社交媒体数据主要是以下三个目的。

第一类，为其他平台导流。有非常多针对社交媒体的数据分析平台。通过对社交平台d用户账号信息、内容、浏览、点赞等数据分类处理后，就可以进行内容分析、榜单排行、数据监控等提供服务，输出为三方舆情服务。或者，提取出用户的关注聚焦点，制作类似聚焦的内容，为其他平台做导流。

第二类，搬运内容为其他账号吸引粉丝。粉丝是社交媒体账号影响力的重要体现之一。由于大多数账号自身创作能力有限，很多账号通过爬虫爬取他人的优质文章、视频，再将内容简单加工后重新发布到自己的账号，由此达到快速吸粉的目的。说白了，就是剽窃他人原创版权。

第三类，制作仿冒账号进行诈骗。通过爬虫爬取社交平台他人的信息、分享的文章、视频等内容，在同个平台或在另一个社交平台建立高仿的虚假账号，骗取粉丝的关注，然后进行各类欺诈。

此外，竞争对手也会利用网络爬虫进行恶性竞争。同行的竞争是赤裸裸的。不少公司会雇佣黑灰产，对目标平台发起数据盗取攻击，从而导致竞品无法正常使用。如果在某个重要的节点，通过恶意爬虫对目标平台进行大流量的访问或盗取，会瞬间过高的并发量，出现DDoS效果，导致大量普通用户无法正常访问该网站，干扰平台的正常运营。

恶意网络爬虫的技术特征

机械工业出版社出版的《攻守道—企业数字业务安全风险与防范》一书中，对恶意网络爬虫有详细的技术特征分析，大体来看，主包含以下几点特征。

1、访问的目标集中。恶意网络爬虫主要是爬取核心信息，因此只浏览访问多个页面，对于非涉及信息数据的页面不做不访问。

2、行为有规律。由于爬虫是程序化操作，按照预先设定的流程进行访问等，因此呈现出有规律、有节奏且统一的特征。

3、同一设备上有规模化的访问和操作。爬虫的目的是最短时间内抓取最多信息，因此同一设备会有大量离散的行为，包括访问、浏览、查询等。

4、访问IP地址异常。爬虫的IP来源地址呈现不同维度上的聚集，而且浏览、查询等操作时不停变换IP地址。并且很多爬虫程序伪装成浏览器进行访问，并且通过购买或者租用的云服务、改造路由器、租用IP代理、频繁变更代理IP等进行访问。

5、操作多集中非业务时间段。爬虫程序运行时间多集中在无人值守阶段。此时系统监控会放松，而且平台的带宽等资源占用少，爬虫密集的批量爬取不会对带宽、接口造成影响。

针对恶意网络爬虫的防控建议

基于恶意网络爬虫的技术特征以及社交媒体平台的特点，顶象防御云业务安全情报中心安全及防控建议如下。

1、安全防护建议

加强平台风险环境监测。社交平台的客户端可集成安全SDK，使其定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、root、越狱等风险能够做到有效监控和拦截。

保障客户端安全。社交分析平台的APP和网页，可以分别部署H5混淆防护及端安全加固，以保障客户端安全。

保障通信传输安全。黑产在业务通信传输的环节，可能会尝试篡改、爬取报文数据。通过对通讯链路的加密，可防止终端安全检测模块的数据被篡改和冒用。

加强业务安全策略防控。针对批量爬虫的风险特征，可将社交媒体中各个业务查询场景的请求接入业务安全风控系统。同时将终端采集的设备指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的安全防控策略，有效地对风险进行识别和拦截。

1）设备终端环境检测。识别客户端（或浏览器）的设备指纹是否合法，是否存在注入、hook、模拟器等风险。通常批量作弊软件大多都存在以上风险特征。

2）行为检测。基于设备行为进行策略布控。针对同设备高频查询，同IP高频查询，相同IP段反复高频查询的请求进行监控。

3）名单库维护。统计基于风控历史数据，对于存在异常行为的账号、IP段进行标注，沉淀到相应的名单库。对于名单表内的数据在做策略时进行分层，适当加严管控。

4）外部数据服务。考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务，对于风险进行有效识别和拦截。

2、处置及防控措施

顶象防御云业务安全情报中心建议，对识别为风险的请求进行实时拦截，直接反馈查询失败等，或在发现异常后通过弹出验证码的方式要求进行人机识别。

第五代智能验证码。验证码能够阻挡恶意爬虫盗用、盗取数据行为，防止个人信息、平台数据泄露。当某一设备或账户访问次数过多后，就自动让请求跳转到一个验证码页面，只有在输入正确的验证码之后才能继续访问网站。但是设置复杂的验证码会影响用户操作，带来负面的体验感受。

设备指纹+风控引擎+智能模型平台。设备指纹及时识别注入、hook、模拟器等风险，风控引擎对注册、登录、领取等操作进行风险实时识别判定；智能模型平台帮助社交媒体构建专属风控模型，由此构建多维度防御体系，有效拦截各种恶意爬虫风险，且不影响正常用户体验

现在关注【LIKE.TG出海指南频道】、【LIKE.TG大客户服务频道】,即可免费领取【WhatsApp、LINE、Telegram、Twitter、ZALO云控】等获客工具试用、【住宅IP、号段筛选】等免费资源，机会难得，快来解锁更多资源，助力您的业务飞速成长！点击【联系客服】