网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

但情况真如此吗？为了检查和了解潜在用户加入此类程序可能面临的风险，我们记录并分析了来自几个不同网络带宽共享服务的大量出口节点(出口节点是安装了这些网络带宽共享服务的计算机)的网络流量。

从2022年1月至9月，我们记录了来自这些被动收入公司的出口节点的流量，并检查了通过出口节点输送的流量的性质。

首先，我们发现，来自其他应用程序合作伙伴的流量被输送到我们的出口节点，并且大部分流量是合法的。我们看到了正常的流量，例如浏览新闻网站、收听新闻流，甚至浏览在线购物网站。然而，我们也发现了一些可疑的联系。这些联系表明，一些用户在某些国家从事可疑或可能非法的活动。

可疑活动的摘要如下表所示。我们根据相似性来组织这些活动，并指出我们观察到这些活动的代理网络。

在大多数情况下，应用程序发布者可能不会对使用其代理服务的第三方的可疑或恶意活动承担法律责任。然而，那些安装了“网络带宽共享”应用程序的人无法控制甚至监控通过其出口节点的流量类型。因此，这些网络共享应用程序被归类为风险程序应用程序，我们称之为proxyware。

proxyware的可疑活动

上表概述了我们观察到的恶意和可疑活动，本节将进一步详细介绍这些活动。

我们观察到多个自动访问第三方SMS PVA提供商的实例。什么是SMS PVA服务？我们写了一篇关于SMS PVA服务以及它们经常被错误使用的博客。SMS PVA 服务是基于遍布各个国家的数千部被入侵的智能手机。有了这项服务,SMS PVA 用户可以精确地注册国家一级的账户,因此可以使用假装来自目标国家的虚假账户发起活动。简而言之，这些服务通常用于在线服务中的批量注册帐户。为什么人们经常将它们与代理结合使用？这些帐户通常绑定到特定的地理位置或地区，并且该位置或地区必须与注册过程中使用的电话号码相匹配。因此，SMS PVA服务的用户希望他们的出口IP地址与号码的位置相匹配，并且有时使用特定的服务（在服务仅在特定区域可访问的情况下）。

这些大量注册的账户（由住宅代理和SMS PVA服务提供帮助）通常被用于各种可疑的操作：针对个人用户的社会工程和欺诈，以及滥用各种在线业务的注册和促销活动，可能导致数千美元的经济损失。

潜在的点击欺诈是我们从这些网络中观察到的另一种类型的活动。做点击欺诈或静默广告网站，就是利用装有“被动收入”程序的电脑作为出口节点，在后台“点击”广告。广告商必须为无效点击付费(没有人真正看到广告)，网络流量看起来几乎与普通用户在家点击广告相同。

SQL注入是一种常见的安全扫描，它试图利用用户输入验证漏洞来转储、删除或修改数据库内容。有许多工具可以自动执行此任务。然而，在许多国家，未经适当授权进行安全扫描和未经网站所有者书面许可进行SQL注入扫描都是犯罪活动，可能会被起诉。我们观察到许多试图从许多“被动收入”程序中探测SQL注入漏洞的尝试。这种流量是有风险的，分享他们的连接的用户可能会被卷入法律调查。

我们观察到的另一组具有类似风险的类似活动是工具扫描。这些扫描试图利用各种漏洞访问/etc/passwd文件，如果成功，则表明系统易受任意文件暴露的攻击，并允许攻击者获取服务器上的密码文件。黑客利用此类程序漏洞从易受攻击的网站检索任意文件。不用说，在没有服务器所有者的书面许可的情况下进行此类活动是非法的。

爬取政府网站可能根本不违法，通常存在一些合理使用条款，要求用户不要同时提出过多的查询，许多网站通过使用验证码服务来使用技术手段来防止大量爬行。我们观察到使用反验证码工具的自动化工具在试图访问政府网站时绕过这些限制。我们也见过从律师事务所和法院网站抓取法律文件的爬虫程序。

对个人身份信息（PII）的抓取在所有国家都可能是非法的，但这种行为值得怀疑，因为我们不知道这些信息后来会被滥用。在研究中，我们看到一个可疑的爬虫大量下载巴西公民的信息。这些信息包括姓名、出生日期、性别和CPF（相当于国家SSN）。显然，如果对此类活动进行调查，“被动收入”程序用户将是第一个接触点，因为登录这些网站的将是他们的IP地址。