骗子在面试时会向你各种展示公司的实力,让你感觉今生如果不在此地工作,人生就充满了遗憾。然后话锋一转,需要你提交工作押金、高额体检费用等等。
当你被升职加薪出任总经理迎娶白富美的美好幻觉猪油蒙心的时候,很可能就会乖乖掏腰包,把今天中午的饭钱都掏给骗子。
你还对他说:谢谢啊!
你的求职信息,在发出后的一瞬间就到了骗子手上,这不是危言耸听,这是事实。这就是黑产中盛行的一类“58同城信息采集器”的神奇作用。
【某“58同城信息采集器”截图/图片由白帽汇提供】
这个神器可以做到什么呢?
为了搞清这类“58信息采集器”究竟是何方神圣,雷锋网宅客频道找到了安全公司白帽汇,他们对其中一款进行了测试,白帽汇 CEO 赵武告诉宅客频道:
这个软件利用了58系统的一些不算高危的漏洞组合,可以把求职者的全部信息爬下来,这其中包括用户的姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间等等。根据我们的测试,这类软件可以一直不停地爬网站数据,直到把网站的所有求职者数据都爬下来。
实际上,你在58同城上提交的求职信息,当然是可以被用人单位查看的,但是58同城的标准做法是向58购买简历套餐,每份简历约合14.5元-20元。但是在黑市中购买“58信息采集器”,却只需要700块左右。
也就是说,如果骗子买到了这个“58同城信息采集器”,就可以用非常低的成本获得他想要的信息,从而有针对性地拨出诈骗电话。
根据赵武的介绍,从技术上来说,这类工具可以按照用户的“解密ID”来排列用户信息,也就是说,越是最新发布的求职消息,越会最先被这类软件获得。
【泄露的信息截图】
这种对58的盗窃已经泛滥到什么程度了呢?
对于这种“信息采集器”,各个灰色产业有几种利用方法:
1、爬下招聘信息直接出售
根据另一位知情人士提供的信息,在地下产业中,有专门的组织利用这类“58信息采集器”大批量地拖58同城的数据,然后形成自己的“信息库”,转手卖给有招工需求的公司或者“有招工需求”的骗子。
宅客频道看到,根据《21世纪经济报道》的调查,在淘宝上批发“58同城简历数据”,“一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”这类软件可采集全国430多个城市,464个职业的简历数据。
【通过采集器可以获取的信息】
2、直接用“58信息采集器”爬到最新鲜的求职信息
实际上,如果你能找到渠道都买一个这类采集器,它可以根据你的限定条件来实时搜索你要的求职者信息。例如:你可以选定北京,再选定想找编程工作的求职者,那么所有的信息都会按照时间顺序由新到旧排列下去,任君选择。
根据上述知情人士的透露,这类软件的泛滥程度令人发指,很多正规公司都购买这样的软件,直接绕过58的付费系统来进行招聘。这其中甚至有超出你想象的大企业和公司。
白帽汇 CEO 赵武告诉雷锋网宅客频道,
我们调查了其中一个软件,发现它已经相当成熟,例如软件可以做到和机器绑定,每天只允许最多切换十台机器登陆。一旦我换机器登陆,还会提示我扣除一定时间的使用时长。
我们还查看了它的更新文档,发现它有相当长的更新历史,从1.0到2.0到3.0,在文档中我们还发现,招聘信息盗取有可能只是他们的一个小业务,因为其中还涉及到车管所、游戏账户等等服务。这很可能是一个大的产业链的一部分。
【破解论坛上流传的各种58同城数据采集器】
这种信息盗取究竟如何实现的?
赵武为雷锋网(公众号:雷锋网)宅客频道简单分析了一下这种盗取的技术:
1、利用58同城在移动端的一个接口,通过这个借口可以批量获取用户的简历ID以及加密不严谨的用户ID信息
2、利用另一个接口导致用户包括姓名等真实信息泄漏。
3、通过58的微店程序能够通过用户ID最终获取用户的电话号码。
其实这几个漏洞任何一个都算不上是高危漏洞,甚至可以算是正常的接口功能。但是结合在一起就会造成这样的泄露。
赵武同时告诉宅客频道,根据他们的调查,目前58同城的求职信息没有发生大规模地公开泄露,但是根据这类软件的成熟程度来推测,很可能这类软件已经被大规模传播,用户信息被一些组织非法盗取进行“私用”。
目测随着更多媒体关注这个事件,也会有更多的骗子和黑产集团盯上这种方法。如果你刚刚投递了简历,一定要小心,仔细甄别电话那头的“老板”是不是骗子。也请你赶快把这类骗术告诉你的朋友,避免他们上当。
相信58同城也会在第一时间进行技术上的升级。
