腾讯安全专家揭秘网络黄牛如何攻击预约挂号系统

2018-10-08 12:58:17
近日,《新京报》就以《黄牛转战APP:加价数百倒卖专家号》为标题做了报道,文中提到一款名为“北京挂号网”的APP,该APP的图标是一个红色醒目的“京”字,打开后医院、科室、医生等信息详尽,很容易让人误解为是一款官方APP。那么该平台另一端的黄牛们又有什么“神通”可以抢到这些优质医疗号源呢?

1、引言

       优质医疗资源比较集中的北京,黄牛倒号加剧了“挂号难”的问题。为打击线下黄牛,北京卫生部门推出了“非急诊全面预约”挂号就诊,患者可通过“京医通”微信公众号、自动挂号机、电话等多种渠道,实名预约7天以内的号源。这在一定程度缓解了黄牛倒号导致患者挂号难的问题。

       然而在利益的驱使下,一些基于“互联网+炒号”的挂号APP平台随之产生,促使了黄牛们从线下转战到了线上,摇身转变为“就医助理“。通过挂号APP平台 ,患者预约挂号,平台的另一头,黄牛接单响应,然后黄牛和挂号APP平台平分暴利。

       一些原本挂号费用在20元到100元左右的号源,往往被黄牛炒到数百甚至上千元。一方面普通患者挂不到号,另一方面黄牛手中却有大量的号,甚至声称“一小时之内保证百分之百能挂上,就像一位挂号黄牛所说:你们若是都能挂到了,那号贩子是不存在的,只有你们挂不上的号,我们能挂上,所以我们是号贩子。黄牛们正是通过”占坑屯号“的方式恶意抢占优质医疗号源,导致普通患者无法通过正常的渠道挂号。


1_1 与黄牛(号贩子)的对话(一)


1_2 与黄牛(号贩子)的对话(二)

与以往不同,黄牛们”占坑屯号“不再通过现场人工排队或者内部关系取号,而是通过恶意抢号软件提前抢占大量的号源,导致普通患者无法通过正常方式挂号。

       近日,《新京报》就以《黄牛转战APP:加价数百倒卖专家号》为标题做了报道,文中提到一款名为“北京挂号网”的APP,该APP的图标是一个红色醒目的“京”字,打开后医院、科室、医生等信息详尽,很容易让人误解为是一款官方APP。那么该平台另一端的黄牛们又有什么“神通”可以抢到这些优质医疗号源呢?

2、网络黄牛“抢号“黑产分析

腾讯智慧安全发现,在优质医疗资源紧张的区域存在大量针对医疗相关平台网站的恶意请求。其中北京预约挂号统一平台每天至少存在100万次以上的恶意请求。

我们了解到北京预约挂号统一平台作为医疗互联网便民服务网站,为全北京161家医院提供线上预约挂号服务。患者通过身份证号、手机号实名认证注册之后,可以提前预约7天内的北京各大知名医院的挂号号源。

基于分析我们验证了这些恶意请求的主要目的就是为了抢占优质的医疗号源,背后是刷号团伙针对北京预约挂号统一平台进行的挂号爬虫攻击。

网络黄牛

         黄牛通过网络、电商平台以及手机APP等“挂号平台”或者通过线下与患者建立联络,将患者的挂号需求提交给刷号团伙;然后刷号团伙通过抢号程序给付费的“客户”抢号或者“退号再抢号”(退掉事前抢占的号源,然后再利用患者的信息抢到退掉的号源)。

其专业抢号工具和运作流程,导致了刷号团伙手上屯有大量号源,而真正的患者通过正常的网络渠道很难抢到号源。


2_1 黄牛运作示意图

1、 首先网站和电商平台是黄牛引流的常见手段,仅仅是北京挂号,就有数十家相关的黄牛网站,而电商平台上的代挂号黄牛更是数不胜数,有些黄牛甚至还编写了自己的手机APP。通过网站、电商平台和手机APP,黄牛实现了对患者的引流。

2、 患者通过正常的网络挂号渠道很难抢到优质的挂号资源,于是就会通过各种网络平台的引流与黄牛建立联络(或直接线下与黄牛建立联络),而黄牛往往会要求患者提供个人信息,并指定医院科室、医生、时间。这些黄牛代理手上并没有号,真正挂号是由背后的刷号团伙通过恶意爬虫团队来完成的。

3、 刷号团伙通过自动化抢号平台,使用大批账号登录挂号平台,持续监控号源信息:

a)  官方医疗平台一旦放号,刷号团伙就通过其抢号程序并利用第三方接码平台提供的手机号等帐号登录平台抢号屯积;

b)  如果有患者购买相关的号源,刷号团伙就退掉号源之后再立刻利用患者信息挂到该号源;

c)   如果没有患者购买号源,在号源到期后,刷号团伙就会取消挂号。

刷号团伙

普通患者正常的网络挂号操作与刷号团伙通过自动化平台批量抢号相比毫无优势。

刷号团伙使用的挂号爬虫采用分布式的架构,使用多个帐号进行高频次的登录和挂号查询,以此达到号源监控和抢夺号源的目的。


2_2 刷号团伙运作示意图

挂号平台需要提供身份信息进行实名认证,并通过手机号进行注册和登录,而这些手机号很多都是来自接码平台,专门用于从事一些黑灰产项目。


2_3 刷号团伙利用的手机黑卡的恶意注册行为

另外一些正常患者的账号也会被滥用。患者找黄牛代挂号,黄牛需要患者提供其在官方平台的帐号信息和身份认证信息,在此过程中患者不仅需要付出高昂的服务费,还极有可能导致自己的医疗平台账号被滥用及个人身份隐私信息的泄露。

3、结语

医疗信息化在提升服务质量、挖掘医疗潜能、合理调配医疗资源以及保障医疗安全方面具有重要的意义。值得一提的是,虽然网络预约挂号在一定程度可以缓解黄牛党抢号的问题,但同时也给黄牛党提供了新的抢号倒号的利用方式。

随着互联网+医疗的发展,第三方医疗服务平台逐渐兴起。第三方平台往往会在同一个平台或者同一个代码框架下,汇集众多医疗机构的资源,必然会受到有心人的觊觎,同时囿于第三方医疗服务平台服务商对安全的重视程度及条件的限制,第三方服务平台出现的信息泄露漏洞等安全问题也给了黑客或其他不法之客可乘之机。比如,第三方服务平台存在的未授权访问、平行越权等问题,不但会导致大量患者的姓名、手机号、身份证、以及就诊记录、化验检验报告等多项敏感信息泄漏,还可能成为网络黄牛们通过自动化手段“占坑屯号”的温床。

所以除了相关机构完善相关的法律法规外,预约挂号的第三方平台,也要建立起严密的身份验证和审核机制,将黄牛拒之于平台之外,避免其论为黄牛滋生违法活动的温床。

同时医疗行业和线上医疗服务平台供应商也应当提升安全风险防范意识,加强信息安全体系建设,建立系统化的安全保障体系,以驱动医疗信息化的良性发展:

1)建议由专业的安全服务团队对数据日志进行分析,识别威胁来源,禁封恶意请求的IP及恶意批量注册的虚假用户,消除已识别的安全风险。

2)完善相应的系统业务逻辑,严格推行挂号实名制,对于退号采用随机放回或者放回医院现场预约,降低退号又抢回号的概率。

3)建立线上业务安全风险的主动应对机制,与三方业务安全服务团队联防共治,从业务安全的角度主动查找业务的脆弱性,挖掘潜在的业务漏洞风险。

4)建立对业务的持续监控、分析和威胁感知机制,第一时间识别外部攻击,规避安全风险。

最新资讯