近期,针对黑灰产业又新增了一种敲诈勒索站长的新手法,并且百度对此也无能为力,暂时没有解决办法,今天我从技术角度曝光一下是如何敲诈勒索站长的。首先,黑灰产业会找到站长,需求各不相同,比如免费的友情链接、免费的广告推广等,如果不答应,就利用手段将站长的网站在百度上移除,以此威胁站长妥协。从技术角度上看,是利用了百度的自动审核机制,手法如下:
- 找一个手机,获取 ROOT 权限,修改手机的 CA 列表,将自己签发的 SSL 证书设置为可信
- 连接到黑客的 Wi-Fi 局域网,DNS也是黑客自己的,将 DNS 解析拦截到自己准备好的服务器 IP 地址上
- 使用被 ROOT 的手机,安装百度 APP,正常搜索,并进入受害者站长的网址
- 由于 DNS 拦截,请求会到黑客的服务器
- 由于 ROOT 权限修改了可信 CA 列表,黑客签发的 SSL 证书会被信任
- 黑客的服务器返回违规的页面内容,然后通过百度 APP 投诉此页面
- 经过多人多设备的投诉,百度 AI 机器人会相信这个违规页面的内容是真实发生的
- 百度封禁受害者站长的网址页面
这种作案手段能够成功,就是因为百度过于相信AI的自动化,并且不会人工审核,没有站长申诉的渠道,站长只能被动受害毫无防御之力。目前这种情况暂时无法解决,只能等待百度更新审核机制。不过,一个谎言说的人多了,就成了真的,百度可能无法在大量投诉面前分清事实还是谎言。站长可能说,百度爬取一下页面不就行了?有的人在 DNS 解析过程中可以专门为百度蜘蛛设置 DNS 解析,或者识别蜘蛛的 UA 信息返回不同的页面,所以百度也不会 100% 相信蜘蛛爬取回来的页面;恰恰相反,百度APP是客户端,是每个真实用户看到的页面,所以百度跟相信APP上报回来的页面内容。网站越来越难做,站长几乎成了保护动物了,还请各位黑客大佬们手下留情,给站长一点存活空间,互联网的内容才能更加丰富。