“簡訊轟炸”的黑產升級 簡訊驗證亟待解決

一天幾十甚至幾百條的垃圾簡訊、各種推銷電話……讓手機使用者處於崩潰的邊緣。

回顧近年來“簡訊轟炸”的技術手段，程斐然介紹道，早在2005年“小靈通”時代就已形成產業，當時的貓池（一種擴充電話通訊頻寬和目標物件的裝備，可同步撥打大批次的使用者號碼）透過連線小靈通來完成群發操作，只需利用電腦上的“簡訊群發王”匯入相關的傳送目標手機號，即可完成傳送操作。這種“簡訊轟炸”方式成本較高，刨除主機和軟體費用，每條簡訊的成本為0.1元，1萬條簡訊就需要上千元，所以這類簡訊傳送方式主要應用於廣告主的營銷。

經過十餘年的發展，“簡訊轟炸”產業鏈也發生了巨大的變化，黑產從業人員開始利用網際網路產品的簡訊驗證服務，對受害者進行“轟炸”。使用者平時登入各種網站或APP時，往往需要往手機下發驗證碼，“簡訊轟炸”黑產則瞄準了這一“商機”，透過爬蟲手段蒐集大量正常企業網站的傳送簡訊介面（CGI介面），整合到“轟炸”網站或者“轟炸”軟體上。 待“轟炸”網站或軟體發出指令後，這些企業網站的大量正常驗證碼資訊會在短時間內傳送到指定手機上，甚至可以實現單一網站給同一手機號傳送多條驗證碼資訊。

據騰訊安全平臺部對此類風險軟體的深入調查，目前市面上可搜到的“簡訊轟炸”網站約有3000餘個、有超過5000個的簡訊介面疑似被用於實施“簡訊轟炸”，介面型別包括各大網際網路企業、運營商對外服務埠、甚至有很多政府服務類網站，這無疑嚴重影響正規企業網站的簡訊驗證碼功能，有損企業形象，也增加了企業不必要的費用開支。

程斐然透露，在大部分的網站和移動應用APP在註冊時需要手機號碼獲取驗證碼簡訊，利用簡訊驗證來鑑別手機號是否屬於使用者本人。如何處理這一問題也成為解決“簡訊轟炸”的難點。

技術構建完整黑產鏈條 26元就能撥出5000次

沙龍期間，郭普生結合廣州市公安局網路警察支隊和白雲區公安分局聯合偵查，打掉一個利用網際網路架設“24雲呼”平臺，干擾手機通訊通話的新型犯罪團伙案件，揭秘了“24雲呼”的灰色背後。

郭普生介紹道，該案件的線索源於，廣州市番禺區的羅女士報案稱，總是接到陌生來電，而這些陌生電話每分鐘就會響三、五次，每次響一下就結束通話，被呼叫的手機基本處於癱瘓狀態，讓從事銷售工作的羅女士苦不堪言。

經過偵查發現，羅女士遭遇的是一款名為“24雲呼”的惡意軟體的攻擊，該軟體透過控制遍佈全國的掛機手機對被害人實施“轟炸”，以軟體“開發者”為源頭，與“運營者”“代理商”“使用者”形成了一個完整的黑色產業鏈條。“雲呼”使用者透過向代理商購買充值卡，在該平臺充值26元就能惡意呼叫5000次。

在廣州市公安局網路警察支隊和白雲區公安分局透過聯合偵查下，最終抓獲了一個利用網際網路架設“24雲呼”平臺，干擾手機通訊通話的新型犯罪團伙，抓獲嫌疑人4名，查獲“24雲呼”賬號3700多個。經瞭解，“24雲呼”平臺自2020年11月上線以來，已進行了586萬餘次呼叫。

郭普生表示，除殺豬盤、裸聊詐騙、刷單或虛假平臺投資詐騙等是常見的騙術外，“黑+黑”的方式是電信詐騙團隊目前最新的形態。但詐騙套路萬變不離其宗，錢是最終的落腳話題。因此，在眾多騙局中，不要被盲目的假象所迷惑。如果遇到簡訊或者電話“轟炸”，要留好自己的截圖，可撥或者用簡訊進行報警。

值得一提的是，廣州警方已在微信上開通了“廣州反詐服務號”。若遇到相關情況，可在微信小程式搜尋“廣東110”，在“違法犯罪線索舉報”中填一些資料以及被“轟炸”的截圖進行上傳。

多方面破局“簡訊轟炸” 化被動為主動

面對手機使用者的資訊洩漏、手機轟炸等形式，使用者培養資訊保安意識以及政企各方合力保護使用者資訊安全才能產生應有打擊黑產團伙的效果。

目前，國內大多數網際網路企業均利用各自優勢保護使用者個人資訊保安。作為與使用者直接接觸最多的網際網路企業之一，騰訊一直衝在對抗網路黑產和個人資訊保護在前線。

2016年初，騰訊成立反電信網路詐騙聯合公益品牌——守護者計劃，建立了國內首個綜合性反電信網路詐騙開放平臺，開闢了集“犯罪打擊、大資料運用、行業聯合、宣傳教育”四大職能為一體的“騰訊模式”。資料顯示，2016年至2021年一季度，騰訊守護者計劃協助公安機關開展各類網路黑灰產打擊行動，協助破獲案件（含帶破）超過1.68萬件，抓獲犯罪嫌疑人近1.8萬人，涉案總金額超過800億元。

結合大量的案例分析，程斐然分析道，簡訊轟炸的使用者主要集中於三類：催收等軟暴力犯罪者透過使用“簡訊轟炸”攻擊受害者，迫使受害人還款；收到差評的電商平臺賣家利用“簡訊轟炸”對消費者進行報復；處於報復心理的人等。黑產團伙藉助非法網路平臺侵害使用者合法權益，助長惡意報復、軟暴力催收等行為，嚴重影響社會穩定。

面對防不勝防的“簡訊轟炸”，需由被動防禦走向主動治理，騰訊守護者計劃安全團隊針對企業從源頭上防範“簡訊轟炸”黑產提供了幾點建議。

其一是對被黑產利用的驗證碼介面增加人機驗證，如圖形驗證碼等基礎防範策略，提高黑產團隊惡意利用介面的門檻，壓縮黑產生存空間。比如騰訊驗證碼能根據使用者多維環境因素，精確區分可信、可疑和惡意使用者，彈出不同的驗證方式，帶來更精細化的驗證體驗。

其二是針對移動端打造一鍵驗證方案，替換過時的簡訊驗證碼。如騰訊雲號碼認證服務集成了三大運營商特有的閘道器取號、驗證能力，自動透過底層資料閘道器和簡訊閘道器識別本機號碼，在不洩漏使用者資訊的前提下，安全、快速地驗證使用者身份，一鍵免密註冊和登入。

此外，網際網路企業還能透過統一風控服務，在下發簡訊驗證碼前，根據風控結果有選擇地打擊；支援QQ、微信等授權登入方式，儘可能的減少簡訊驗證帶來的風險；針對簡訊驗證碼的傳送量級做好監控，及時發現異常監控。

1:設定傳送間隔，即單一使用者傳送請求後，與下次傳送請求時間需要間隔 60 秒。

2 設定單使用者傳送上限，即設定每個使用者單位時間內傳送簡訊數的上限，如果超過閾值就不允許今天再次呼叫簡訊介面（閾值根據業務情況設定）。

3 使用者必須增強資訊保護意識。警惕異常操作和可疑郵件，不要回復或者點選郵件的連結

4可以撥打運營商電話開啟簡訊防轟炸服務。

1.傳送間隔限制，每過60秒或120秒之後才可以再次傳送

這個可以在前端限制點選之後60秒內無法再次觸發事件。當然了後臺也需要限制，

每次傳送成功後，可以在redis裡儲存一個字串，key為手機號，value帶有時間戳。同一個手機號再次傳送時先從redis裡獲取字串對比時間。

另外，這個字串的過時時間也可用作驗證碼的有效時間，例如驗證碼5分鐘之內有效，那麼字串的有效時間就可以設定為5分鐘。

2.傳送次數限制，每天只可以傳送多少次

可以在redis內維護一條記錄，記錄的過期時間為24小時，value為此號碼傳送簡訊的次數，每次傳送前先獲取此號碼今天傳送了多少次了，超過次數不傳送。