随着互联网技术的发展,手机成为人们必不可少的沟通以及工作工具。但近年来,不法分子利用漏洞,使手机用户受到骚扰、诈骗短信或电话的“轰炸”。
今日,在“腾讯守护者计划媒体沙龙:被轰炸的手机”活动上,腾讯安全平台部安全专家程斐然、广州市公安局白云分局民警郭普生向媒体分享了短信“轰炸”的技术原理,以及面对“轰炸”应如何破局。
“短信轰炸”的黑产升级 短信验证亟待解决
一天几十甚至几百条的垃圾短信、各种推销电话……让手机用户处于崩溃的边缘。
回顾近年来“短信轰炸”的技术手段,程斐然介绍道,早在2005年“小灵通”时代就已形成产业,当时的猫池(一种扩充电话通信带宽和目标对象的装备,可同步拨打大批量的用户号码)通过连接小灵通来完成群发操作,只需利用电脑上的“短信群发王”导入相关的发送目标手机号,即可完成发送操作。这种“短信轰炸”方式成本较高,刨除主机和软件费用,每条短信的成本为0.1元,1万条短信就需要上千元,所以这类短信发送方式主要应用于广告主的营销。
经过十余年的发展,“短信轰炸”产业链也发生了巨大的变化,黑产从业人员开始利用互联网产品的短信验证服务,对受害者进行“轰炸”。用户平时登录各种网站或APP时,往往需要往手机下发验证码,“短信轰炸”黑产则瞄准了这一“商机”,通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到“轰炸”网站或者“轰炸”软件上。 待“轰炸”网站或软件发出指令后,这些企业网站的大量正常验证码信息会在短时间内发送到指定手机上,甚至可以实现单一网站给同一手机号发送多条验证码信息。
据腾讯安全平台部对此类风险软件的深入调查,目前市面上可搜到的“短信轰炸”网站约有3000余个、有超过5000个的短信接口疑似被用于实施“短信轰炸”,接口类型包括各大互联网企业、运营商对外服务端口、甚至有很多政府服务类网站,这无疑严重影响正规企业网站的短信验证码功能,有损企业形象,也增加了企业不必要的费用开支。
程斐然透露,在大部分的网站和移动应用APP在注册时需要手机号码获取验证码短信,利用短信验证来鉴别手机号是否属于用户本人。如何处理这一问题也成为解决“短信轰炸”的难点。
技术构建完整黑产链条 26元就能呼出5000次
沙龙期间,郭普生结合广州市公安局网络警察支队和白云区公安分局联合侦查,打掉一个利用互联网架设“24云呼”平台,干扰手机通讯通话的新型犯罪团伙案件,揭秘了“24云呼”的灰色背后。
郭普生介绍道,该案件的线索源于,广州市番禺区的罗女士报案称,总是接到陌生来电,而这些陌生电话每分钟就会响三、五次,每次响一下就挂断,被呼叫的手机基本处于瘫痪状态,让从事销售工作的罗女士苦不堪言。
经过侦查发现,罗女士遭遇的是一款名为“24云呼”的恶意软件的攻击,该软件通过控制遍布全国的挂机手机对被害人实施“轰炸”,以软件“开发者”为源头,与“运营者”“代理商”“使用者”形成了一个完整的黑色产业链条。“云呼”使用者通过向代理商购买充值卡,在该平台充值26元就能恶意呼叫5000次。
在广州市公安局网络警察支队和白云区公安分局通过联合侦查下,最终抓获了一个利用互联网架设“24云呼”平台,干扰手机通讯通话的新型犯罪团伙,抓获嫌疑人4名,查获“24云呼”账号3700多个。经了解,“24云呼”平台自2020年11月上线以来,已进行了586万余次呼叫。
郭普生表示,除杀猪盘、裸聊诈骗、刷单或虚假平台投资诈骗等是常见的骗术外,“黑+黑”的方式是电信诈骗团队目前最新的形态。但诈骗套路万变不离其宗,钱是最终的落脚话题。因此,在众多骗局中,不要被盲目的假象所迷惑。如果遇到短信或者电话“轰炸”,要留好自己的截图,可拨打110或者用短信进行报警。
值得一提的是,广州警方已在微信上开通了“广州反诈服务号”。若遇到相关情况,可在微信小程序搜索“广东110”,在“违法犯罪线索举报”中填一些资料以及被“轰炸”的截图进行上传。
多方面破局“短信轰炸” 化被动为主动
面对手机用户的信息泄漏、手机轰炸等形式,用户培养信息安全意识以及政企各方合力保护用户信息安全才能产生应有打击黑产团伙的效果。
目前,国内大多数互联网企业均利用各自优势保护用户个人信息安全。作为与用户直接接触最多的互联网企业之一,腾讯一直冲在对抗网络黑产和个人信息保护在前线。
2016年初,腾讯成立反电信网络诈骗联合公益品牌——守护者计划,建立了国内首个综合性反电信网络诈骗开放平台,开辟了集“犯罪打击、大数据运用、行业联合、宣传教育”四大职能为一体的“腾讯模式”。数据显示,2016年至2021年一季度,腾讯守护者计划协助公安机关开展各类网络黑灰产打击行动,协助破获案件(含带破)超过1.68万件,抓获犯罪嫌疑人近1.8万人,涉案总金额超过800亿元。
结合大量的案例分析,程斐然分析道,短信轰炸的使用者主要集中于三类:催收等软暴力犯罪者通过使用“短信轰炸”攻击受害者,迫使受害人还款;收到差评的电商平台卖家利用“短信轰炸”对消费者进行报复;处于报复心理的人等。黑产团伙借助非法网络平台侵害用户合法权益,助长恶意报复、软暴力催收等行为,严重影响社会稳定。
面对防不胜防的“短信轰炸”,需由被动防御走向主动治理,腾讯守护者计划安全团队针对企业从源头上防范“短信轰炸”黑产提供了几点建议。
其一是对被黑产利用的验证码接口增加人机验证,如图形验证码等基础防范策略,提高黑产团队恶意利用接口的门槛,压缩黑产生存空间。比如腾讯验证码能根据用户多维环境因素,精确区分可信、可疑和恶意用户,弹出不同的验证方式,带来更精细化的验证体验。
其二是针对移动端打造一键验证方案,替换过时的短信验证码。如腾讯云号码认证服务集成了三大运营商特有的网关取号、验证能力,自动通过底层数据网关和短信网关识别本机号码,在不泄漏用户信息的前提下,安全、快速地验证用户身份,一键免密注册和登录。
此外,互联网企业还能通过统一风控服务,在下发短信验证码前,根据风控结果有选择地打击;支持QQ、微信等授权登录方式,尽可能的减少短信验证带来的风险;针对短信验证码的发送量级做好监控,及时发现异常监控。