爬虫程序正在倒卖以色列政府服务

执行摘要

• 以色列政府机构服务机会难求，一种黄牛爬虫程序趁火打劫，从以色列公民身上牟利，Akamai 研究人员持续密切监控该爬虫程序的情况。

• 目前有 70 多万名以色列人需要预约护照续签服务，这给内政部造成了需要数月才能消化完毕的积压工作。

• 一个开发人员团体制作了一个爬虫程序，支持快速获得以色列部分政府机构使用的预约平台 MyVisit 提供的预约名额，并将此程序免费发布给公众使用。

• 不久之后，另一个团体制作了自己的爬虫程序，借各种政府服务的 MyVisit 预约通道牟利，其中涉及到内政部、交通部、国民保险部、以色列邮政、电力公司等政府机构的服务。每项预约的收费超过 100 美元。

• MyVisit 曾尝试使用验证码来降低爬虫程序的影响，但攻击者的爬虫程序很快就绕过了验证码机制。

• 为了有效拦截这些爬虫程序，需要找到更全面的解决方案，它应该具备爬虫程序管理产品提供的那类功能，并使用各种安全措施：设备指纹、浏览器验证、JavaScript 质询，以及在后端对数据进行分析和分类的高级机器学习模型等。

前言

恶名卓著的 Scalper 爬虫程序威胁着世界各地的电商购物者。无论是游戏机、热销运动鞋、收藏品还是显卡，任何限量版商品都会成为黄牛党的目标，他们将这些商品倒卖给不太擅长利用技术的消费者，并从中获利。

但以色列出现了一个有风险的新黄牛市场——政府服务。漫天要价的演唱会门票没有损害以色列人的经济利益，与日常生活休戚相关的服务却攫取了他们的钱财。相较于没法去度假，这个黄牛市场造成的损害要更大。

在这篇博文中，我会解释这种威胁的起源、现状，以及它给以色列和其他国家/地区造成的危险。

护照续签潮

新冠疫情对我们生活影响最大的一个方面就是休闲旅行禁令。幸运的是，旅行禁令已经略有放松，这就是本文故事的开端。在过去两年多的时间里，数百万以色列人居家避疫，他们渴望出国旅行，在禁令放松之际，他们纷纷找出被遗忘已久的护照，而数十万人发现护照即将过期。在疫情之后，内政部人手紧缺，对于这种情况全无准备，大量渴望度假的以色列人的涌入让他们不堪重负。当时他们待处理的申请 超过 70 万份 ，外交部的劳资纠纷更是雪上加霜， 造成到期护照不能得到及时处理， 进出以色列都非常不方便。

以色列人通过何种方式取得这些“一证难求”的政府文件？为了预约护照续签服务，人们会不停刷新每天早 7 点开放新名额的在线预约网站 MyVisit，希望能刷到预约名额。许多人等待了几个月，并前往全国各地以获得必要的预约。

但有一些开发人员想出了更好的解决方案，他们制作了一个名为 GamkenBot的预约爬虫程序。在您填写联系信息和首选地点之后，这种预约爬虫程序会持续查询预约系统，尽力查询和获得新名额。他们将这个小工具发布给公众使用，并获得了广泛好评，其创建者很快就成为公众心目中反抗官僚制度的斗士。

贪婪者闻风而至

遗憾的是，心怀恶意者不会放过大多数可用于正面用途的事物。黄牛党很快就出现了，他们利用这个善意爬虫程序，获得这些宝贵的预约机会，并将其倒手卖给迫切渴望获得预约的民众。

就在 GamkenBot 发布后不久，5 月 10 日，MyVisit Appointments Group 在一个 Telegram 频道中诞生。显然，内政部并不是唯一依赖 MyVisit 预约系统的政府机构。这个 Telegram 小组不但提供护照续签预约服务，还可预约人口管理局、以色列电力公司、国民保险部、以色列邮政、交通部等机构的服务。其管理员自称是一群开发人员，他们制作的爬虫程序可执行扫描，抢下新开放的预约名额，然后转卖给公众。如果买家购买 2 项或更多预约服务，他们甚至还提供折扣。