打電話和發(fā)短信本是手機(jī)最基本的功能，但是近年來卻被不法分子利用，成為了一種攻擊他人的新型技術(shù)手段，手機(jī)用戶受到“通訊轟炸”，被短信和電話騷擾的惡性事件越來越多。6月2日，在騰訊守護(hù)者計劃媒體沙龍上，騰訊披露了此前協(xié)助廣州白云警方破獲的“短信轟炸”案件情況，并解析背后的黑產(chǎn)、技術(shù)鏈條。

查獲賬號3700多個

近日，廣州市番禺區(qū)的羅女士報案稱，總是接到陌生來電，這些陌生電話每分鐘就會響三五次，每次響一下就掛斷，被呼叫的手機(jī)基本處于癱瘓狀態(tài)，這讓羅女士苦不堪言。

廣州市公安局白云分局民警郭普生介紹，羅女士遭遇的是一款名為“24云呼”的惡意軟件的攻擊，該軟件通過控制遍布全國的掛機(jī)手機(jī)對被害人實施“轟炸”。“云呼”使用者通過向代理商購買充值卡，在該平臺充值26元就能惡意呼叫5000次。廣州市公安部門通過偵查，搗破了這個犯罪團(tuán)伙，抓獲嫌疑人4名，查獲“24云呼”賬號3700多個。經(jīng)了解，“24云呼”平臺自2020年11月上線以來，已進(jìn)行了586萬余次呼叫。

“短信轟炸”已成產(chǎn)業(yè)鏈

騰訊安全平臺部高級研究員程斐然介紹，“短信轟炸”早在2005年“小靈通”時代就已形成產(chǎn)業(yè)。

經(jīng)過十余年的發(fā)展，“短信轟炸”產(chǎn)業(yè)鏈發(fā)生了巨大的變化，黑產(chǎn)從業(yè)人員開始利用互聯(lián)網(wǎng)產(chǎn)品的短信驗證服務(wù)，對受害者進(jìn)行“轟炸”。用戶平時登錄各種網(wǎng)站或APP時，往往需要往手機(jī)下發(fā)驗證碼，“短信轟炸”黑產(chǎn)則瞄準(zhǔn)了這一“商機(jī)”，通過爬蟲手段搜集大量正常企業(yè)網(wǎng)站的發(fā)送短信接口(CGI接口)，集成到“轟炸”網(wǎng)站或者“轟炸”軟件上，用于非法牟利。越來越多的“黑產(chǎn)”在境外的云主機(jī)上購買服務(wù)，再通過發(fā)卡平臺購買短信“轟炸”網(wǎng)站的模板。購買海外云主機(jī)的成本每個月僅需20-30元，一個有3個月程序開發(fā)基礎(chǔ)的“腳本小子”能在4小時內(nèi)完成一個“短信轟炸”網(wǎng)站的部署和上線，每月成本不到50元，但非法獲得的收入?yún)s超過數(shù)千元。

程斐然介紹，“短信轟炸”已形成較完善的產(chǎn)業(yè)鏈。運作“短信轟炸”依賴于技術(shù)開發(fā)者、網(wǎng)站/APP運營者與使用者三類群體。據(jù)騰訊調(diào)查，目前市面上可搜到的“短信轟炸”網(wǎng)站約有3000余個、有超過5000個的短信接口疑似被用于實施“短信轟炸”，接口類型包括各大互聯(lián)網(wǎng)企業(yè)、運營商對外服務(wù)端口、甚至有很多政府服務(wù)類網(wǎng)站，嚴(yán)重影響正規(guī)企業(yè)網(wǎng)站的短信驗證碼功能。

治理需要主動出擊

據(jù)騰訊專家介紹，大部分的網(wǎng)站和移動應(yīng)用APP在注冊時需要手機(jī)號碼獲取驗證碼短信，利用短信驗證來鑒別手機(jī)號是否屬于用戶本人。然而，這種驗證方式背后卻暗藏許多安全隱患。最主要的一種就是黑產(chǎn)利用各類平臺的短信驗證接口進(jìn)行短信轟炸。在下發(fā)驗證碼前加一層校驗，可以有效防止黑產(chǎn)惡意利用，但此時，企業(yè)也需要承擔(dān)用戶流失的風(fēng)險，因為多加一步動作，就意味著用戶轉(zhuǎn)化率可能降低。另一方面，由于這類“短信轟炸”模式利用的是海量網(wǎng)站，這就意味著傳統(tǒng)單業(yè)務(wù)線頻控的安全策略對這種利用無效。

面對“短信轟炸”，需由被動防御走向主動治理，騰訊守護(hù)者計劃安全團(tuán)隊提了幾點建議：一是對被黑產(chǎn)利用的驗證碼接口增加人機(jī)驗證，如圖形驗證碼等基礎(chǔ)防范策略，提高黑產(chǎn)團(tuán)隊惡意利用接口的門檻，壓縮黑產(chǎn)生存空間。其二，針對移動端打造一鍵驗證方案，替換過時的短信驗證碼。此外，互聯(lián)網(wǎng)企業(yè)還能通過統(tǒng)一風(fēng)控服務(wù)，在下發(fā)短信驗證碼前，根據(jù)風(fēng)控結(jié)果有選擇地打擊等。

關(guān)鍵詞： 網(wǎng)站 實施 短信 轟炸