第十五期 | 人人喊打的医院“号贩子”，都用哪些手段抢号？

北京的李先生要挂某知名医院的号，连续2周挂号，始终未成功。无奈之下，李先生只能寻求“号贩子”的帮助，并最终加价500元购买到了一个号。这不仅浪费了李先生的时间，也增加了治疗成本，对于他的身心健康造成了一定的影响。

顶象防御云业务业务安全情报中心监测发现，自2022年11月起，多个医疗挂号平台服务优质号源总是被一抢而光，患者想要挂到专家号都只能通过“号贩子”之手。“号贩子”通过作弊方式囤积优质号源，再进行高价转卖获利。该行为导致多个医疗挂号网站造成了无法正常挂号，严重扰乱医疗秩序，更会导致平台用户信息批量泄露的严重后果。

猖獗的“号贩子”

在社交网络平台中，输入“北京挂号”“挂号预约”“代办挂号”等关键词后，就能找到号贩子的踪迹。有些号贩子甚至会直接使用“某医院挂号”“协助挂号”“挂号跑腿”“挂号收费”等宣传语。

“号贩子”，是一些在号源紧缺的大医院内做倒号生意的人，他们或者雇人整夜排队，或者通过网络等渠道先占有号源，也不排除部分与医院工作人员勾结的情况发生，然后加价将排来的专家号，卖给需要的患者，从中获利。组织者每月可从一位专家身上赚取数万元。

很多“号贩子”被包装成医药从业者。比如，罗列出十多家北京三甲医院目录和某些科室知名专家名单，然后声称“北京医院怎样才能挂上号”、“门诊加号、特需加号都是强项，难办的活儿找我们就对了”、“专业代挂北京各大知名三甲医院专家号”……最后还会附上手机号、微信号等联系方式。

2016年5月4日，国家卫生计生委等八部门联合印发了集中整治“号贩子”和“网络医托”专项行动方案，八部门成立了专门的工作协调办公室，且明确在年内分三阶段严打“号贩子”，未来有关部门还将建立“号贩子”黑名单，并纳入社会信用体系。在多个国家部门的联手打击下，“号贩子”们一度销声匿迹。

随着互联网医院的成立，网络预约挂号服务的普及，号贩子们再度活跃起来。有了互联网作为掩护，号贩子的抢号手段信息化程度也日渐提高。一些号贩子通过使用订制的非法软件，攻击官方挂号平台进行抢号。

2019年10月14日，北京东城区人民法院以破坏计算机信息系统罪判处高某等3名“号贩子”9个月至一年6个月有期徒刑。2021年8月，北京市西城区人民法院审结的一起刑事案件中，“号贩子”孙某指使他人制作抢号软件，突破了北京某医院后台服务器的防护措施限制，抢号牟利，西城法院以破坏计算机信息系统罪，判处孙某有期徒刑2年，判处邵某有期徒刑1年6个月。

“号贩子”的运作路径

自2022年11月份起，顶象防御云业务安全情报中心陆续发现，多个挂号服务平台存在批量抢号行为，严重影响挂号平台的业务运营。

“号贩子”有自己的营销人员，通过微博、微信、QQ等社交软件交易，还会开通微信公众号，在上面直接售卖挂号服务，维护长期客户关系。

1、患者通过社交平台、社区论坛联系到“号贩子”。

2、“号贩子”了解患者需要挂号的医院、日期、医生等信息，并要求提供患者提前支付款项。用一般是在原本的挂号费的基础上加服务费，根据号源抢号成本难度情况加价几十至几百元不等。号贩子，承诺挂不到号全额退款。

3、然后，“号贩子”要求患者提供姓名、手机号、身份证号个人隐私信息，甚至是某些某挂号平台的账号以及密码。

4、“号贩子”将抢单号信息同步给黑灰产，包含具体的科室、医生、时间段等具体号源信息，以及下单患者的个人信息。

5、黑灰产输入患者信息去抢号，抢到号源后，患者在自己的挂号平台账户内可以看到；如果事前未提供患者信息，号贩子会用其他个人信息抢号，有患者买号后，紧急退掉号，然后再迅速用患者信息抢回。如果实在找不到患者买家，就在到期前取消挂号。交易过程中，黑产可以轻易获取大量真实病患的个人信息、账号以及密码，壮大自己的抢号信息库。

“号贩子”背后团伙使用的作弊工具

“号贩子”背后的黑灰产团队拥有专业的挂号设备，抢号软件，通过代抢号方式赚取服务费用。他们有自己的营销人员，通过微博、微信、QQ等社交软件交易，还会开通微信公众号，在上面直接售卖挂号服务，维护长期客户关系。

不少“黑灰产是用秒杀器先把号源占了，然后去兜生意，兜到生意以后，把手上这个占位的号源退掉，号源就会回到可预约的状态，黑灰产就可以在同一时间快速用患者的身份证信息挂号，用这种方式保障成功挂号率。费用一般是在原本的挂号费的基础上加服务费，根据号源抢号成本难度情况加价几十至几百元不等。

黑灰产有专业的自动化脚本、设备牧场、代理/秒拨软件、打码平台等专业作弊工具。

抢号软件。常规的挂号业务流程，选医生-选时间-提交预约，自动挂号软件制定脚本程序，自动化实现反复提交预约。普通用户需要2-5分钟才能完成的流程，号贩子的抢号软件，能够模拟人的操作，自动登录、选医生、选时间、提交预约的挂号行为，2-3秒就可以完成成千上百人约号挂号，由此出现导致了很多时候预约号刚放出来,随即被预约完毕的现象。

黑灰产通过Charles、Brup等抓包工具分析挂号软件的的请求，然后用脚本模拟挂号平台的登录、选医生、选时间、提交预约的挂号行为，通过脚本批量自动化运行。

由于大多数医院相继采取了实名认证的对策，因此黑灰产需要患者提供个人信息，包含患者姓名、手机号、身份证号、平台的账号、以及密码等个人隐私信息。

针对挂号需进行人脸验证的要求，黑灰产还会要求有挂号需求的患者提前录制好作弊的人脸视频，绕过挂号平台的人脸验证方式，通过脚本的方式劫持挂号页面、获取号源。

群控平台。群控平台指的是可以实现通过一台电脑批量控制上百到上万台手机，通过群控工具，可以实现一台终端对多台手机的控制，与改机工具进行搭配，可以短时间内制造成千上万个不同的设备信息。结合代理IP软件，秒级切换IP地址。可以实现在短时间内切换大量患者信息进行抢号。

代理/秒拨软件。秒拨软件可以调用国内甚至国外的ADSL宽带动态IP资源，黑产分子通过使用秒拨客户端软件，只要进行简单配置，就可以实现IP的“自动切换”、“秒级切换”、“断线重拨”等服务。可用于规避挂号平台对IP地址访问频率限制的相关防御策略。

打码平台。打码平台主要是一个数据录入的工作台，其题目主要来源于各个平台的验证环节验证码中的文字、图像、坐标等。验证打码是一种区别用户是计算机还是人的公共种类众多的验证码全自动程序。这个问题可以由计算机生成并评判，但是必须只有人类才能解答。黑产技术上无法识别的验证码通常会通过人工打码方式进行破解。

如何有效治理“号贩子”

如何保证医院挂号的公平性和合理性，应该引起医院和政府的高度重视。一方面，医院应该加强其挂号系统的安全性和管理机制，尽量避免黑市交易和挂号信息泄露。另一方面，政府应该引导社会各界共同参与改善医疗资源分配的现状，加大对于“号贩子”和违规经营者的打击，维护患者合法权益。

首先，医院需要加强在线挂号系统的安全保障。可以引进先进的技术手段，如人脸识别、图形验证码等，提高病患挂号的难度，从而减少黄牛党的机会。同时，建立有效的监管机制，对患者的信息进行严格的管理和保护，避免黑客攻击和数据泄露。

其次，医院应该加强与患者之间的沟通和交流，及时发布信息。医院可以通过微信公众号、短信、电话等多种方式向患者发布专家排班信息和挂号时间，定期更新排队等候情况和取消预约的提示。这样可以避免患者因为排队时间过长而选择购买黄牛票，也方便患者了解情况作出合理的决策。

此外，还可以优化医院的排队机制，采取先到先得的系统，减少内部关系和关系网干扰的可能性。同时，医院可适当增加预约挂号的数量，避免挂号资源过度集中，造成无票可挂的情况，从而给号贩子提供了可乘之机。

最后，政府和公安部门也应该加强打击力度，严厉打击黄牛党的违法犯罪行为，加大对于黄牛党的惩罚力度。例如加强巡查力度，在线上对号贩子展开网络追踪和打击，打破其收购、倒卖的黑产链条。

总之，“号贩子”倒卖号源是一件非常恶劣的事情，不仅耗费患者金钱，还严重扰乱了接诊流程。因此，医院和政府应该共同采取有力的措施并不断完善在线挂号系统，打击号贩子，保护病患利益，建设和谐的医疗环境。

技术端的防控建议

针对以上“号贩子”的特点和刷号抢号的风险特征，顶象防御云业务安全情报中心建议：

保障客户端安全。从客户端安全考虑，APP的IOS渠道和Android渠道都建议加终端加固，通过加固技术，实现端安全防护，如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件等进行深度混淆、加固保护，让黑产无法直接对APP进行逆向、破解。

保障通信传输安全。在终端增加环境检测等模块后，环境检测模块产生的数据往往没有和业务数据进行绑定，这就造成黑产有可能会篡改报文中的一些数据，防止终端安全检测模块的数据被篡改和冒用。

通过IP地址和手机号防范。基于风控数据、历史用户数据，沉淀并维护对应黑白名单数据，包括用户ID，IP地址，设备ID，患者身份证号，联系人手机号等数据维度。此外，号贩子用自动化程序攻击时，为了规避相关IP地址频次限制防控策略，通常会选择IP代理池组合使用。通过秒级切换海量IP来实现高频访问，使用IP黑库可以覆盖此类风险IP。

检测设备端风险。对设备运行进行检测，识别指纹ID是否合法、端是否有群控、调试、模拟器、注入、VPN、代理等特征，限制同一设备短时间尝试登录大量账号、同设备短时间切换大量IP、IP短时间高频访问等行为维度检测，针对登录场景同账号短时间密码错误次数限制，挂号场景同设备关联大量不同病患信息等。

通过登录端防范。“号贩子”在登录环节主要是以撞库、密码爆破自动化程序盗号，在挂号环节使用自动挂号机进行批量抢号。对于识别机器行为，轻部署且最简单的识别工具就是行为验证码，在登录、挂号环节加上行为验证码对请求进行人机校验，可有效拦截此类号贩子攻击。

通过风控规则防范。通过引擎配置登录场景防撞库、防密码爆破以及挂号场景防号贩子抢号策略规则，从设备行为、用户行为、以及IP地址风险等维度进行风险防控，对请求进行风险分层。业务端结合引擎返回的风险等级进行分层处置。

建设专属模型。线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对用户行为进行建模，模型的输出可以直接在风控策略中使用。