如何防止短信被攻擊？

“短信轟炸”的黑產(chǎn)升級 短信驗證亟待解決

一天幾十甚至幾百條的垃圾短信、各種推銷電話……讓手機用戶處于崩潰的邊緣。

回顧近年來“短信轟炸”的技術(shù)手段，程斐然介紹道，早在2005年“小靈通”時代就已形成產(chǎn)業(yè)，當(dāng)時的貓池（一種擴充電話通信帶寬和目標(biāo)對象的裝備，可同步撥打大批量的用戶號碼）通過連接小靈通來完成群發(fā)操作，只需利用電腦上的“短信群發(fā)王”導(dǎo)入相關(guān)的發(fā)送目標(biāo)手機號，即可完成發(fā)送操作。這種“短信轟炸”方式成本較高，刨除主機和軟件費用，每條短信的成本為0.1元，1萬條短信就需要上千元，所以這類短信發(fā)送方式主要應(yīng)用于廣告主的營銷。

經(jīng)過十余年的發(fā)展，“短信轟炸”產(chǎn)業(yè)鏈也發(fā)生了巨大的變化，黑產(chǎn)從業(yè)人員開始利用互聯(lián)網(wǎng)產(chǎn)品的短信驗證服務(wù)，對受害者進行“轟炸”。用戶平時登錄各種網(wǎng)站或APP時，往往需要往手機下發(fā)驗證碼，“短信轟炸”黑產(chǎn)則瞄準(zhǔn)了這一“商機”，通過爬蟲手段搜集大量正常企業(yè)網(wǎng)站的發(fā)送短信接口（CGI接口），集成到“轟炸”網(wǎng)站或者“轟炸”軟件上。 待“轟炸”網(wǎng)站或軟件發(fā)出指令后，這些企業(yè)網(wǎng)站的大量正常驗證碼信息會在短時間內(nèi)發(fā)送到指定手機上，甚至可以實現(xiàn)單一網(wǎng)站給同一手機號發(fā)送多條驗證碼信息。

據(jù)騰訊安全平臺部對此類風(fēng)險軟件的深入調(diào)查，目前市面上可搜到的“短信轟炸”網(wǎng)站約有3000余個、有超過5000個的短信接口疑似被用于實施“短信轟炸”，接口類型包括各大互聯(lián)網(wǎng)企業(yè)、運營商對外服務(wù)端口、甚至有很多政府服務(wù)類網(wǎng)站，這無疑嚴(yán)重影響正規(guī)企業(yè)網(wǎng)站的短信驗證碼功能，有損企業(yè)形象，也增加了企業(yè)不必要的費用開支。

程斐然透露，在大部分的網(wǎng)站和移動應(yīng)用APP在注冊時需要手機號碼獲取驗證碼短信，利用短信驗證來鑒別手機號是否屬于用戶本人。如何處理這一問題也成為解決“短信轟炸”的難點。

技術(shù)構(gòu)建完整黑產(chǎn)鏈條 26元就能呼出5000次

沙龍期間，郭普生結(jié)合廣州市公安局網(wǎng)絡(luò)警察支隊和白云區(qū)公安分局聯(lián)合偵查，打掉一個利用互聯(lián)網(wǎng)架設(shè)“24云呼”平臺，干擾手機通訊通話的新型犯罪團伙案件，揭秘了“24云呼”的灰色背后。

郭普生介紹道，該案件的線索源于，廣州市番禺區(qū)的羅女士報案稱，總是接到陌生來電，而這些陌生電話每分鐘就會響三、五次，每次響一下就掛斷，被呼叫的手機基本處于癱瘓狀態(tài)，讓從事銷售工作的羅女士苦不堪言。

經(jīng)過偵查發(fā)現(xiàn)，羅女士遭遇的是一款名為“24云呼”的惡意軟件的攻擊，該軟件通過控制遍布全國的掛機手機對被害人實施“轟炸”，以軟件“開發(fā)者”為源頭，與“運營者”“代理商”“使用者”形成了一個完整的黑色產(chǎn)業(yè)鏈條。“云呼”使用者通過向代理商購買充值卡，在該平臺充值26元就能惡意呼叫5000次。

在廣州市公安局網(wǎng)絡(luò)警察支隊和白云區(qū)公安分局通過聯(lián)合偵查下，最終抓獲了一個利用互聯(lián)網(wǎng)架設(shè)“24云呼”平臺，干擾手機通訊通話的新型犯罪團伙，抓獲嫌疑人4名，查獲“24云呼”賬號3700多個。經(jīng)了解，“24云呼”平臺自2020年11月上線以來，已進行了586萬余次呼叫。

郭普生表示，除殺豬盤、裸聊詐騙、刷單或虛假平臺投資詐騙等是常見的騙術(shù)外，“黑+黑”的方式是電信詐騙團隊目前最新的形態(tài)。但詐騙套路萬變不離其宗，錢是最終的落腳話題。因此，在眾多騙局中，不要被盲目的假象所迷惑。如果遇到短信或者電話“轟炸”，要留好自己的截圖，可撥打110或者用短信進行報警。

值得一提的是，廣州警方已在微信上開通了“廣州反詐服務(wù)號”。若遇到相關(guān)情況，可在微信小程序搜索“廣東110”，在“違法犯罪線索舉報”中填一些資料以及被“轟炸”的截圖進行上傳。

多方面破局“短信轟炸” 化被動為主動

面對手機用戶的信息泄漏、手機轟炸等形式，用戶培養(yǎng)信息安全意識以及政企各方合力保護用戶信息安全才能產(chǎn)生應(yīng)有打擊黑產(chǎn)團伙的效果。

目前，國內(nèi)大多數(shù)互聯(lián)網(wǎng)企業(yè)均利用各自優(yōu)勢保護用戶個人信息安全。作為與用戶直接接觸最多的互聯(lián)網(wǎng)企業(yè)之一，騰訊一直沖在對抗網(wǎng)絡(luò)黑產(chǎn)和個人信息保護在前線。

2016年初，騰訊成立反電信網(wǎng)絡(luò)詐騙聯(lián)合公益品牌——守護者計劃，建立了國內(nèi)首個綜合性反電信網(wǎng)絡(luò)詐騙開放平臺，開辟了集“犯罪打擊、大數(shù)據(jù)運用、行業(yè)聯(lián)合、宣傳教育”四大職能為一體的“騰訊模式”。數(shù)據(jù)顯示，2016年至2021年一季度，騰訊守護者計劃協(xié)助公安機關(guān)開展各類網(wǎng)絡(luò)黑灰產(chǎn)打擊行動，協(xié)助破獲案件（含帶破）超過1.68萬件，抓獲犯罪嫌疑人近1.8萬人，涉案總金額超過800億元。

結(jié)合大量的案例分析，程斐然分析道，短信轟炸的使用者主要集中于三類：催收等軟暴力犯罪者通過使用“短信轟炸”攻擊受害者，迫使受害人還款；收到差評的電商平臺賣家利用“短信轟炸”對消費者進行報復(fù)；處于報復(fù)心理的人等。黑產(chǎn)團伙借助非法網(wǎng)絡(luò)平臺侵害用戶合法權(quán)益，助長惡意報復(fù)、軟暴力催收等行為，嚴(yán)重影響社會穩(wěn)定。

面對防不勝防的“短信轟炸”，需由被動防御走向主動治理，騰訊守護者計劃安全團隊針對企業(yè)從源頭上防范“短信轟炸”黑產(chǎn)提供了幾點建議。

其一是對被黑產(chǎn)利用的驗證碼接口增加人機驗證，如圖形驗證碼等基礎(chǔ)防范策略，提高黑產(chǎn)團隊惡意利用接口的門檻，壓縮黑產(chǎn)生存空間。比如騰訊驗證碼能根據(jù)用戶多維環(huán)境因素，精確區(qū)分可信、可疑和惡意用戶，彈出不同的驗證方式，帶來更精細(xì)化的驗證體驗。

其二是針對移動端打造一鍵驗證方案，替換過時的短信驗證碼。如騰訊云號碼認(rèn)證服務(wù)集成了三大運營商特有的網(wǎng)關(guān)取號、驗證能力，自動通過底層數(shù)據(jù)網(wǎng)關(guān)和短信網(wǎng)關(guān)識別本機號碼，在不泄漏用戶信息的前提下，安全、快速地驗證用戶身份，一鍵免密注冊和登錄。

此外，互聯(lián)網(wǎng)企業(yè)還能通過統(tǒng)一風(fēng)控服務(wù)，在下發(fā)短信驗證碼前，根據(jù)風(fēng)控結(jié)果有選擇地打擊；支持QQ、微信等授權(quán)登錄方式，盡可能的減少短信驗證帶來的風(fēng)險；針對短信驗證碼的發(fā)送量級做好監(jiān)控，及時發(fā)現(xiàn)異常監(jiān)控。