近年来,打电话和发短信被不法分子利用,成为了一种攻击他人的新型技术手段。其中,“短信轰炸”已成为挟私报复的常用手段。例如,催收等软暴力犯罪者通过使用“短信轰炸”攻击受害者,迫使受害人还款,收到差评的电商平台卖家对消费者进行报复等。
黑产团伙助长恶意报复、软暴力催收等行为,严重影响社会稳定。近日,广州市公安局网络警察支队和白云区公安分局便联合侦查,打掉一个利用互联网架设“24云呼”平台、干扰手机通讯通话的新型犯罪团伙。
“目前人们对‘呼死你’或者短信轰炸的维权意识逐步提高,越来越多人通过报警或网上举报的方式维权。但还是要提醒,大家不要在现实中或者网上留下姓名、电话、住所等精确信息,注意保护个人隐私,遇到电话、短信轰炸要选择报警或举报。” 广州市公安局白云分局民警郭普生表示。
“呼死你”扰民 26元就能呼出5000次
广州市番禺区的罗女士报案称,总是接到陌生来电,这些陌生电话每分钟就会响三、五次,每次响一下就挂断,被呼叫的手机基本处于瘫痪状态,这让从事销售工作的罗女士苦不堪言。
和罗女士一样,一天内接到来自全国各地数千个陌生电话、短信骚扰的人群不在少数。近年来,一些不法分子利用“通讯轰炸”恶意呼叫,实施打击报复、敲诈勒索、强买强卖、非法追债等违法犯罪活动,普通群众不堪大量短信电话骚扰,往往选择妥协退让,自身合法权益遭受侵害。
据郭普生介绍,侦查发现罗女士遭遇的是一款名为“24云呼”的恶意软件的攻击,该软件通过控制遍布全国的挂机手机对被害人实施“轰炸”,以软件“开发者”为源头,与“运营者”“代理商”“使用者”形成了一个完整的黑色产业链条。“云呼”使用者通过向代理商购买充值卡,在该平台充值26元就能恶意呼叫5000次。
广州市公安局网络警察支队和白云区公安分局通过联合侦查,最终抓获了一个利用互联网架设“24云呼”平台、干扰手机通讯通话的新型犯罪团伙,抓获嫌疑人4名,查获“24云呼”账号3700多个。经了解,“24云呼”平台自2020年11月上线以来,已进行了586万余次呼叫。
短信轰炸犯罪成本低 产业链完备
经过十余年发展,“短信轰炸”产业链发生了巨大变化,“短信轰炸”目前的极低成本和高收益使得这个黑产极具“诱惑力”,也给黑产治理带来新难题。
据腾讯安全平台部高级研究员程斐然介绍,“短信轰炸”早在2005年“小灵通”时代就已形成产业,当时的猫池(一种扩充电话通信带宽和目标对象的装备,可同步拨打大批量的用户号码)通过连接小灵通来完成群发操作,只需利用电脑上的“短信群发王”导入相关的发送目标手机号,即可完成发送操作。
这种“短信轰炸”方式成本较高,刨除主机和软件费用,每条短信的成本为0.1元,1万条短信就需要上千元,所以这类短信发送方式主要应用于广告主的营销。
经过十余年的发展,“短信轰炸”产业链发生了巨大变化,黑产从业人员开始利用互联网产品的短信验证服务,对受害者进行“轰炸”。“短信轰炸”黑产通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到“轰炸”网站或者“轰炸”软件上。
“轰炸”网站或软件发出指令后,企业网站大量的正常验证码信息会在短时间内发送到指定手机上,甚至可以实现单一网站给同一手机号发送多条验证码信息。
由于“短信轰炸”软件的生产成本极低,并能带来稳定的获利,越来越多的黑产倾向于云化改造——在境外的云主机上直接以极其低廉的价格购买云服务,再通过发卡平台购买短信“轰炸”网站的模板。
购买海外云主机的成本每个月仅需20-30元,一个有3个月程序开发基础的“脚本小子”能在4小时内完成一个“短信轰炸”网站的部署和上线,每月成本不到50元,非法获得的收入却超过数千元,诱惑力十足的投入产出比也让更多“短信轰炸”黑产参与进来。
“短信“轰炸”目前主要在往境外迁移,投诉和下线相关网站变得更加难。为了堵住漏洞,腾讯采取自己的短信接口,开发统一的短信风控平台,避免产品被黑灰产恶意利用,在外部则进行呼吁和倡导,希望相关业务线或者相关外部的产品升级短信接口。” 程斐然表示。
据程斐然介绍,“短信轰炸”已形成较完善的产业链。运作“短信轰炸”依赖于技术开发者、网站/APP运营者与使用者三类群体。
其中,技术开发者负责分析发现未采取防护措施的短信接口,网站/APP运营者负责前端开发,使用者在相应的网站/APP购买服务,输入“被轰炸”用户的手机号即可通过调用前述短信接口发起攻击。
据腾讯安全平台部对此类风险软件的深入调查,目前市面上可搜到的“短信轰炸”网站约有3000余个、有超过5000个的短信接口疑似被用于实施“短信轰炸”,接口类型包括各大互联网企业、运营商对外服务端口、甚至有很多政府服务类网站,这无疑严重影响正规企业网站的短信验证码功能,有损企业形象,也增加了企业不必要的费用开支。
破局“短信轰炸”主动出击是上策
“短信轰炸”会造成短信通道阻塞、企业品牌形象受损、短信费用被大量恶意消耗等负面影响。破局“短信轰炸”的难点与互联网的产品形态息息相关。
手机号码获取验证码短信的方式暗藏许多安全隐患。若在下发验证码前加一层校验,可有效防止黑产利用,但企业也相应需承担用户流失风险。
此外,由于这类“短信轰炸”模式利用海量网站,传统单业务线频控的安全策略对其无效。即便被调用短信接口的企业有防范措施,用于限制使用网站或软件的作恶人员IP,但有些“短信轰炸”软件在软件内置代理IP绕过短信接口的限制,以达到无限制对外发送大量短信的目的。
面对防不胜防的“短信轰炸”,需由被动防御走向主动治理,腾讯守护者计划安全团队针对企业从源头上防范“短信轰炸”黑产提供了几点建议。
其一是对被黑产利用的验证码接口增加人机验证,如图形验证码等基础防范策略,提高黑产团队恶意利用接口的门槛。如腾讯验证码根据用户多维环境因素,精确区分可信、可疑和恶意用户,弹出不同的验证方式,带来更精细化的验证体验。
其二是针对移动端打造一键验证方案,替换过时的短信验证码。如腾讯云号码认证服务集成了三大运营商特有的网关取号、验证能力,自动通过底层数据网关和短信网关识别本机号码,在不泄漏用户信息的前提下,安全、快速地验证用户身份,一键免密注册和登录。
此外,互联网企业还能通过统一风控服务,根据风控结果有选择地打击,或支持QQ、微信等授权登录方式,减少短信验证风险,还能针对短信验证码发送量级做好监控,及时发现异常监控。