流量劫持背后：成本低收益极高 运营商是众矢之的

2016年11月，上海联通金融协会某APP用户投诉，由于应用下的弹出广告，本月24日手机流量突然增至6.2G，初步确定流量是通过转盘抽奖游戏的弹出广告流出的。开发彩联的蓝鲸传媒集团母公司上海简媜文化传播近日向北京市西城区人民法院提起诉讼，称中国联通(6.350，0.04，0.63%)在彩联上强行植入广告劫持优质流量，严重超出法律界限，并要求联通在原告指定的网站上道歉30天。

这件事在网络世界引起了轩然大波。很多人不禁要问，为什么在从PC到移动互联网的时代，“流量劫持”这种看似谩骂的手段依然猖獗？运营商作为网络管道提供商，是否在其中扮演了不光彩的角色？这个案例能否为根除这种癌症带来一线曙光？

■新快报记者郑智慧

一个

大家都经历过“流量劫持”

流量劫持是指使用各种恶意软件修改浏览器、锁定主页或不断弹出新窗口，迫使用户访问某些网站，或植入某些程序内容，这种情况在访问者不知情的情况下发生。正常上网时，数据会在用户的客户端和正确的网站服务器之间传输，这样我们就可以浏览网页、下载歌曲和观看视频。但是，被流量劫持后，你本来想去访问A网站，但是有人偷偷做了什么。我们实际上是打开了B网站，或者被迫观看并点击了一些弹出窗口和广告页面，才可以转到A网站。

事实上，上海市金融协会用户经历的如此明显的流量劫持行为，很可能只是冰山一角，越来越多的秘密“互联网绑架案”，多年来一直隐藏在公众的关注之下。

比如2013年，正在肆虐的“3B战争”，其实就是一场交通劫持战。360标注甚至篡改百度搜索结果，并向用户宣传其浏览器的安装，干扰他人互联网产品或服务的正常运行。法院判决百度赔偿40万元。

此外，去年10月，Phoenix.com宣布起诉今日头条恶意劫持流量，并索赔2000万元。据凤凰网用户反馈，前后通过凤凰新闻客户端入口更新了四次，前三次是今天的头条安装包。凤凰。com还表示，当它登录百度在手机浏览器上查看凤凰新闻时，发现标题是凤凰新闻，一进入就成了今天的头条。

2

“交通劫持”的危险无处不在

蓝鲸传媒声称“该用户使用的运营商网络是中国联通。当弹出问题第一次被发现时，我们就此事给中国联通打了电话。当时客服在电话里承认了此事，但回复说已经做了。技术处理不会再出现。”但是从那以后，用户的流量就被劫持了。综合以上，蓝鲸认为联通没有从根本上解决问题。

但中国联通对媒体的回应仅表示原告提交的证据无法证明是联通干的，公司拒绝置评。

从技术角度来看，联通的回应并非完全没有道理。猎豹移动安全专家李铁军表示，“电信运营商、互联网公司、专业组织甚至个人都可以劫持流量，但不同尺度下采取的劫持行为是不同的。”

具体来说，流量劫持可能发生在流量的各个方面:终端浏览器和客户端软件可以做终端劫持，WiFi AP可以做无线劫持，路由交换等网络设备可以做通道劫持，光分裂设备可以做旁路劫持...电信运营商、网络设备厂商和互联网内容或服务提供商可以劫持自己用户的流量，只是因为运营商的劫持可以覆盖某个区域甚至整个网络的流量，而“杀人的力量”是最恐怖的，它总是成为关注的焦点

比如去年11月，腾讯电脑管家收到山东网友反馈，电脑无法成功锁定浏览器首页。经分析，谷歌浏览器等几个知名软件安装包中的关键文件被劫持替换，受影响用户的地理分布高度集中，80%在山东省，主要在临沂和济南，88%是某运营商的用户。腾讯电脑管家断定这是典型的运营商交通劫持事件。

三

网络绑匪背后:成本极低，收益极高

2015年12月，头条、360、腾讯、美团、微博、小米六家互联网公司发布联合声明，抵制流量劫持等非法活动，呼吁相关运营商严厉打击流量劫持，关注互联网公司被流量劫持可能造成的严重后果，并表示不排除进一步联合行动的可能性。之后呢？走开。

为什么会这样？很多互联网观察人士都表示，自我取证技术和相关机制存在困难，但事实上这些互联网公司也“心知肚明”，3B战争、凤凰网起诉今日头条等事件就证明了这一点。而且，记者前几天向几家互联网公司举报“流量劫持”现象时，均以“不便评论此话题”为由予以婉拒。

其实了解中国互联网发展历史的人都知道，流量为王是互联网经济的商业前提。从流量本身来说，根据接收流量的中介(千IP)，按日计算成本，千IP的市场价是每天35元到70元。如果被黑客劫持的流量为每天10000条IPs，流量购买者一个月内向黑客支付的费用(按数千条IPs的价格35元计算)为10500元(10000/1000x30x35)。

对于个别劫机者，转售流量会收到相应的钱；对于企业来说，他们更关心的是快速增加市场份额，以获得资本层面的青睐，从而获得更大的商业利益。

2015年5月，百度和重庆警方破获一起交通劫持案。两名嫌疑人都是重庆电信的正式员工。他们利用自己的地位，通过技术手段非法劫持交通。不到半年，涉案金额高达150万元。2015年11月，中国首例交通劫持案宣判:两名被告租用多台服务器，使用恶意代码修改互联网用户路由器的DNS设置，使用户在登录“2345.com”等导航网站时跳转到另一个导航网站5w.com。短时间内违法所得高达75.47万元，最终两被告被判处有期徒刑三年，缓刑三年。

“据我们观察，中国每一个互联网用户都经历过流量劫持。频繁的劫持事件背后，其实是交通劫持成本极低，收益很高的现实。”李铁军说。

在Phoenix.com起诉今日头条的案件中，它要求赔偿总计约2000万元的经济损失。相比之下，今天的头条就在打官司前一个月宣布日均用户超过6300万，人均使用时间仅次于微信，甚至宣称一个月内实现收入增加40亿。

四

打击交通劫持不能仅仅依靠法律程序

IT行业法律专家赵占领也指出，即使被侵权方诉诸法律，获得的赔偿金额也相对较低，而侵权方通过交通劫持获得的非法利益远高于赔偿金额，“非法成本低、非法收入高”的特点使得“交通劫持”屡禁不止。

另外，流量劫持通常是隐蔽的，司法机关很难发现，需要网络用户提供线索举报。但目前由于没有意识到流量劫持的潜在巨大危害，很少有网络用户举报，大多依靠网络服务商提供的线索。追踪交通劫持需要专业的、专门的工具来记录、捕捉、存档，形成完整的证据链，如果错过了就很难重现。像这个金融协会起诉联通这样的证据只是对客服电话的私下承认，并不是100%的实质性证据。

赵占领认为，对于交通劫持等不正当竞争行为，仅靠法律程序很难真正起到威慑作用。“与诉讼相比，向工商部门举报，启动行政执法程序，纪律处分效果可能更直接。工商部门既是反不正当竞争的执法机构，又是负责保护消费者权益的监管机构。它有责任和能力对交通劫持进行行政调查和严厉处罚，这比仅仅依靠法律程序更有效。”

“另一方面，从攻击的来源来看，没有买卖就没有伤害。对于购买或预订流量的一方，追究其共同侵权的民事责任是必要的，也是唯一可能的。可惜目前人们比较关注。是交通劫持方的民事、刑事和行政责任。”赵占领说。

实用技巧

如何防止流量被劫持？

中国信息经济协会原主席杨培芳:对于消费者来说，为了更好的保护自己的利益，遇到类似的问题，首先不要贪图暴利，不要只点击广告，尽量关掉弹出广告；另一方面，需要从正规渠道下载应用。

发现被流量劫持了怎么办？

腾讯电脑管理器:常见的流量劫持是本地DNS服务器的域名劫持。如果用户遇到这种情况，可以尝试在网络和互联网设置中查找本地连接属性，然后用公共DNS(114.114.114.114)手动替换互联网协议版本4的DNS服务器。

通信行业人士:如果怀疑自己被运营商流量劫持，比如上网时频繁弹出运营商广告，或者自动跳转到运营商某一页面，可以不断向运营商客服投诉。据说坚决投诉的用户会被运营商列为“重点”用户，以后会被列入过滤名单，不再推送广告。这个列表叫做“弹出白名单”。