30秒快读
1.在直播间买到疑似假货,退货退款后,手机竟然被短信“呼死”。
2.每天约有万条“轰炸”短信发出,据《IT时报》记者调查,花30元就能在半小时内发送数千条短信,成本很低。
3.不止是卖家,连“轰炸”短信的买家,多次购买就涉嫌违法。
收到过短信验证码吗?这似乎是个不是问题的问题。那么,30分钟内收到个验证码呢?
不久前,小北在某直播间买了一瓶兰蔻粉水,收到货后,她怀疑这是假货,于是向平台投诉“假冒品牌退货”。没想到,退款刚到账,小北的手机便不断响起,短短几分钟内连续收到26通电话和51条验证码短信,“有人在‘呼死我’。”小北告诉记者。
垃圾短信、电话骚扰被治理多年后,黑产找到了新的骚扰方式:短信轰炸。近日,广西警方公布了首例短信轰炸案例的侦破过程,犯罪嫌疑人搭建网站后,通过兜售、推广短信轰炸以及游戏外挂等黑产,共发展多个下级代理,仅河南开封的一个代理便实施了多万条短信轰炸。
数据显示,目前全网至少有超过个网站的3多个验证码接口和多个短信接口,被利用于短信轰炸,每天约有万短信被用于攻击。而据《IT时报》记者调查,短信轰炸成本极低,30元便可以在半个小时内向指定号码发送数千条短信。
#01广西首例短信轰炸案被侦破
今年8月,广西来宾市武宣县网安大队接到举报:有人在网上搭建网站平台之后,兜售、推广短信轰炸以及游戏外挂等黑产,包月价格是10-38元。经过排摸侦查后,8月24日,卓某健被抓获,警方现场扣押了7部手机、2台工作电脑和1张银行卡。在抓捕现场,警方发现,卓某健的手机依然在不断推送短信轰炸的广告,搭建的网站也一直有收益入账,这说明一直有人在浏览、购买他的服务。
通过审讯,警方了解到,卓某健前后共搭建了11个网站,销售两千多种黑产项目。如今卓某健已被刑事拘留,涉嫌破坏计算机信息系统罪,他的上级张某在哈尔滨也已被抓获,而河南开封一个实施了多万条短信轰炸的下级代理,也被当地警方批准逮捕。
短信轰炸,也称“呼死你”,即短时间内被骚扰号码收到大量通信请求。以往“呼死你”常见的是电话轰炸,但最近两年,短信轰炸越来越多,其表现形式是,利用正规网站平台登录时需要验证码的方式,对某个手机号码集中式发送短信,直接后果便是,手机被汹涌而来的验证码短信“卡死”无法使用。
腾讯安全天御风控专家杨红介绍,短信轰炸原理并不复杂,黑产通过爬虫手段搜集大量网站的发送短信接口,集成到轰炸网站或者轰炸软件上,当买家提出购买需求后,黑产软件以“被轰炸的手机号码”为用户名,集中访问这些网站并提出短信验证码需求,从而使被害者手机不停收到这些网站下发的验证码短信。
“短信轰炸的黑产比较分散,产业链很长,嫌疑人不需要很高技术门槛就能操作,而被害人往往自认倒霉,缺乏主动报案意识。这给打击短信轰炸行为带来一定困难。”广西来宾市武宣县网安大队韦正丰告诉记者,由于短信轰炸成本较低,近几年,常被一些裸聊团伙、催债团伙利用,不仅“轰”欠债人,有的甚至连联系人一起“轰”,给被害人造成不可预计的影响和损失。
#元数千条短信多次购买也违法
《IT时报》记者找到一家提供“短信轰炸服务”的代理,报价30元“轰炸”30分钟,保证发送条以上短信,平均每秒1条以上。
有些淘宝店披着“羊皮”出售相关业务
“短信轰炸的成本和门槛极低,每天至少有万条轰炸短信发出。”杨红介绍,出现短信轰炸的核心原因是,很多网站的短信验证码接口“太简单”,只要输入一个手机号码就能申请发送短信验证码,很容易被黑产利用。
此前腾讯安全协助警方打击的一些黑产案件,每天发送量都在百万条以上,而百度指数搜索“呼死你”“轰炸”等关键词的次数比例也远比前几年高。由于获取容易、成本低廉,不仅中介、传销、催收、赌博等行业使用频繁,有时候普通消费者发个差评、打个投诉电话,都有可能被商家报复性“轰炸”。
事实上,无论买家还是卖家,都涉嫌违法。
腾讯守护者计划安全专家黄汉川介绍,非法搭建短信轰炸工具进行收费,涉嫌违反《中华人民共和国刑法》第条“破坏计算机信息系统罪”,因为破坏了公民正常的手机系统及通信使用;同时涉嫌违反《中华人民共和国刑法》条第三条,提供非法控制侵入计算机系统的工具程序罪,如果和套路贷、裸聊、敲诈等等一些黑灰产相结合,则属于诈骗共犯。
《中华人民共和国刑法》第条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。韦正丰对此解释,违法所得0元以上属于后果严重,违法所得20元以上属于后果特别严重。
买家同样也不能免责。韦正丰介绍,“根据《中华人民共和国治安管理处罚法》第42条,多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的,处5日以下拘留或者元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处元以下罚款,“没有具体条数,多次发送即违法。”
同时,记者测试中也发现,有的所谓提供“短信轰炸服务”的网站,其实并不能实现“炸机”效果,只是利用买家急迫的心理骗钱而已。
#03一键免密登录从源头管起
无论被“轰炸”的个人,还是被利用发送验证码的网站,都是“短信轰炸”的受害者,面对产业链条超长的黑产,防范措施必须从源头到终端,层层布设防线。
最重要的是,从源头开始管起。杨红表示,一种方式是网站提供网关验证,也即用户登录时,从原先的输入短信验证码,改为从网关取号,也即现在不少网站采用的“本机号码免密登录”。比如记者在登录手机京东时,页面会显示记者的手机号码,并且提示将“本机号码一键登录”,确认之后,秒速登录,无需花费数秒等待验证码。登录时需勾选的《天翼账号认证服务条款》如此介绍:免密登录是天翼账号产品首创的一种快捷、安全登录方式,通过手机移动数据网络认证当前本机SIM卡的手机号码,登录时免除输入账号密码,同时确保手机号账号是在本机上登录,不会被他人盗用。
为什么这种方式最安全呢?
据《IT时报》记者了解,网关识别并非仅仅识别手机号码,而是通过电信运营商安全级别所控制的移动网络、手机卡进行的自动认证。也就是说,电信运营商首先要通过附近的基站网络确认你的手机号码,然后与内置认证证书的手机卡信息进行匹配,一旦确认二者匹配,手机用户身份也被确认。
目前,三家电信运营商都提供“一键免密登录”服务。
天翼数字生活科技有限公司天翼账号产品经理刘炜告诉记者,免密认证在技术原理上是认证本机号码,避免了因为“短信轰炸机”等非法软件调用同一个号码形成短信轰炸的现象,同时,也在一定程度上解决了短信验证码无法溯源的问题。所有认证的网络请求,均由天翼自主研发的SDK集成及发起,从而确保每一次认证需求都是通过本手机号主动发起,“采用这种方式认证的网站越来越多,9月,我们的活跃应用数超过1.8万个,主要是来自于互联网的应用,例如今日头条、抖音、支付宝等行业头部应用。”
当然,短信验证码短期内也无法被彻底取代,然而简单增加图形验证等方式,可能便是一道屏障,为黑产增加相应操作成本。由于“短信轰炸服务”售价很低,一旦成本上升,“性价比”降低,黑产方式的使用率便会大大降低。
此外,手机用户则可以通过一些安全软件防止被轰炸。据腾讯手机管家产品经理戴月介绍,最近手机管家推出了“一键拦截短信轰炸”服务,只要在App里将开关打开,便可以直接屏蔽短信轰炸场景,但不影响用户收到其他短信。
作者/IT时报记者郝俊慧
编辑/钱立富挨踢妹
排版/季嘉颖
来源/《IT时报》