“短信轰炸机”何以如此嚣张

湖北日报全媒记者 刘天纵 见习记者 左晨 实习生 詹灵筠

本是APP注册、网站登录用于身份验证的手机短信验证码,摇身一变反倒成了骚扰手机用户的帮凶。

近期,本报接到不少用户投诉,反映自己手机突然“抽风”:在非本人操作情况下,每分钟都收到几条用自己手机号登录注册的验证码短信,一天能接收数百条这样的短信,不胜其扰。

这到底怎么回事?湖北日报全媒记者进行了调查。

武汉一男子月收3万余条骚扰验证码

7月17日,市民殷女士向记者透露,当日17时至18时30分,她的手机突然接到40余条手机短信验证码,短信号码以“106”开头,发送短信的平台全是正规机构,包括支付宝、腾讯科技、高德地图、大众点评、新浪新闻、饿了么、阿里巴巴、美团网、途牛旅游网、58同城、百果园等。

“自己当时还未下班,根本没时间玩手机,短时间大量登录注册,这绝非自己所为。”殷女士表示,估计自己在被人恶意骚扰。

根据殷女士反映的问题,记者咨询湖北移动公司得知,这属于黑客程序“短信轰炸机”的恶意攻击。这种软件利用网站或APP的“发送手机验证码”接口,可实现海量网站给同一个手机号码发送多条验证码信息。最厉害的“短信轰炸机”能1分钟内给同一个手机号发送超过100条短信。

湖北移动公司10086客服平台后台记录显示:近期,武汉一男用户手机1个月内,收到3万多条网站注册或找回密码的短信,用户有时只能无奈关机。

不法分子用垃圾短信恶意骚扰并不鲜见。几年前,就有浙江和广东的手机用户,因网购中给商家“差评”遭对方用垃圾短信报复。公安机关接到报案后,曾挖出“短信轰炸机”背后的黑色产业利益链条,并逮捕了相关涉案人员。

如今,网上虽然赤裸裸的“短信轰炸”软件不见踪影,但不少刷好评、点赞、粉丝数量等刷单软件具备短信轰炸功能。记者在软件论坛,下载了多款用于淘宝、新浪、陌陌等网站用户账号注册、验证的小程序,这些软件在“参数设置”选项上,都具备自动复制手机号、自动复制短信、每5秒自动获取验证码等功能。

一位网站维护工程师告诉记者,对专业人士而言,制作“短信轰炸机”程序非常简单,集成海量网站短信验证码接口链接,再循环利用指定手机号发送用户注册、密码修改等正常验证码请求,便可达到骚扰的目的。

束手无策,运营商只能暂停用户验证短信接收功能

对于广告推销类垃圾短信,我省通信运营商已有应对之策。

省通信管理局数据显示:2007年,垃圾短信问题开始在我省“冒泡”。随后,在主管部门要求下,运营商将原来3分钱至5分钱一条的广告营销类短信,价格升至0.1元一条,并设置了每小时短信发送条数限制(不得超过500条)等技术门槛。

2015年以来,运营商与腾讯、360等企业合作,建立了垃圾短信拦截系统,通过关键字、多音字、谐音字、特殊符号等关联分析,将短信来源列入黑名单,实现垃圾短信自动拦截。今年上半年,我省广告营销类短信业务量同比降幅超过20%。

湖北移动公司一位技术专家表示,通过价格杠杆和技术手段,可逐步解决广告推销类垃圾短信,但验证码短信基本来自运营商监控“白名单”里的平台(微博、支付宝等),运营商很难甄别用户手机是正常登录验证行为,还是不法分子用“短信轰炸机”的恶意骚扰行为。

不堪其扰的殷女士通过咨询,编辑短信502发送给10086,开通“短信炸弹防护功能”后,验证码骚扰短信才得以终止。但是,该防护功能是把“双刃剑”,相当于运营商关闭用户验证短信接收功能,这会影响用户的银行交易、电商购物等正常验证码使用。

“目前,业界还没有有效的拦截手段。”湖北电信公司技术专家表示,运营商服务器不可能被“短信轰炸机”攻击,类似殷女士这样被骚扰的用户,一般是因手机号码泄漏,遭到不法分子非法利用导致。在未经过用户许可的前提下,运营商不敢擅自关闭用户的短信接收功能。

加强端口管控,验证码防护体系亟待建立

省通信管理局专家认为,阻止“短信轰炸机”攻击,可借鉴拦截骚扰电话经验,通过大数据主动识别特征,主动标记问题手机号的异常登录注册行为,系统再根据拦截标准,进行机器干预或人工干预。

目前“骚扰电话预警系统”可监控用户的通话行为,当发现一个号码1小时内通话次数超过100次,且多数通话时长不超过10秒钟,系统就能智能分析,自主生成骚扰电话号码库,实现系统主动拦截。“现在的难点在于确定标准,如同一手机号在单位时间内接收多少验证码属于骚扰等,这需要行业主管部门与运营商协同完成,目前公司已启动专题技术调研。”湖北移动公司技术人员透露。

从事验证码产品开发的武汉极意网络科技有限公司技术专家告诉记者,目前,全国每年各类APP、网站发送的短信验证码条数在1000亿至2000亿条,接收短信的用户虽然不用掏钱,但这些APP、网站的运营企业需要向通信运营商缴纳每条3分钱至5分钱的费用,若有“短信轰炸机”恶意发送验证码,不但骚扰了用户,也增加了企业不必要的资费开支。建议各APP、网站的运营企业加强端口管控,在用户输入手机号发送验证码前,增加数字、图片、行为等“二次验证”,以及限制单IP请求次数、发送验证条数等,增加一把安全锁。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20190819A03AQC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券