6月2日消息,生活中,有不少人遭到過“呼死你”軟件的騷擾,不堪其苦。
“呼死你”又被稱為手機轟炸軟件,在智能手機上安裝此軟件,可向特定的聯系人手機連續(xù)撥打電話或發(fā)送短信,使對方無法開展正常的通訊活動。而購買使用此軟件的人,多用于討債、敲詐勒索等非法活動,社會危害性極大。
近年來,手機用戶被短信和電話騷擾的惡性事件越來越多。隨著警方的深入打擊,以及諸如騰訊安全平臺等互聯網企業(yè)的深入調查,“呼死你”軟件背后的黑色產業(yè)鏈也逐漸浮出水面。
短信轟炸16年前已形成產業(yè) 犯罪成本不到50元
廣州市番禺區(qū)的羅女士此前曾報案稱,總是接到陌生來電,這些陌生電話每分鐘就會響三、五次,每次響一下就掛斷,被呼叫的手機基本處于癱瘓狀態(tài)。近日,廣州市公安局網絡警察支隊和白云區(qū)公安分局通過聯合偵查,破獲了該案。
據廣州市公安局白云分局民警郭普生介紹,經過偵查發(fā)現,羅女士遭遇的是一款名為“24云呼”的惡意軟件的攻擊,該軟件通過控制遍布全國的掛機手機對被害人實施“轟炸”,以軟件“開發(fā)者”為源頭,與“運營者”、“代理商”、“使用者”形成了一個完整的黑色產業(yè)鏈條。“云呼”使用者通過向代理商購買充值卡,在該平臺充值26元就能惡意呼叫5000次。
與羅女士有同樣遭遇的人不在少數。騰訊安全平臺部高級研究員程斐然向TechWeb等表示,“短信轟炸”早在2005年“小靈通”時代就已形成產業(yè),當時的貓池(一種擴充電話通信帶寬和目標對象的裝備,可同步撥打大批量的用戶號碼)通過連接小靈通來完成群發(fā)操作,只需利用電腦上的“短信群發(fā)王”導入相關的發(fā)送目標手機號,即可完成發(fā)送操作。這種“短信轟炸”方式成本較高,刨除主機和軟件費用,每條短信的成本為0.1元,1萬條短信就需要上千元,所以這類短信發(fā)送方式主要應用于廣告主的營銷。
經過十余年的發(fā)展,“短信轟炸”產業(yè)鏈發(fā)生了巨大變化,黑產從業(yè)人員開始利用互聯網產品的短信驗證服務,對受害者進行“轟炸”。用戶平時登錄各種網站或APP時,往往需要往手機下發(fā)驗證碼,“短信轟炸”黑產則瞄準了這一“商機”,通過爬蟲手段搜集大量正常企業(yè)網站的發(fā)送短信接口(CGI接口),集成到“轟炸”網站或者“轟炸”軟件上,用以非法牟利。
“轟炸”網站或軟件發(fā)出指令后,這些企業(yè)網站的大量正常驗證碼信息會在短時間內發(fā)送到指定手機上,甚至可以實現單一網站給同一手機號發(fā)送多條驗證碼信息。
由于“短信轟炸”軟件的生產成本極低,并能帶來穩(wěn)定的獲利,這讓越來越多的黑產傾向于云化改造——在境外的云主機上直接以極其低廉的價格購買云服務,再通過發(fā)卡平臺購買短信“轟炸”網站的模板。這其中,購買海外云主機的成本每個月僅需20-30元,一個有3個月程序開發(fā)基礎的“腳本小子”能在4小時內完成一個“短信轟炸”網站的部署和上線,每月成本不到50元,但是非法獲得的收入卻超過數千元,誘惑力十足的投入產出比也讓更多“短信轟炸”黑產參與進來。
由于“短信轟炸”軟件的生產成本極低,并能帶來穩(wěn)定的獲利,這讓越來越多的黑產傾向于云化改造——在境外的云主機上直接以極其低廉的價格購買云服務,再通過發(fā)卡平臺購買短信“轟炸”網站的模板。這其中,購買海外云主機的成本每個月僅需20-30元,一個有3個月程序開發(fā)基礎的“腳本小子”能在4小時內完成一個“短信轟炸”網站的部署和上線,每月成本不到50元,但是非法獲得的收入卻超過數千元,誘惑力十足的投入產出比也讓更多“短信轟炸”黑產參與進來。
騰訊安全平臺部高級研究員程斐然介紹,“短信轟炸”已形成較完善的產業(yè)鏈。運作“短信轟炸”依賴于技術開發(fā)者、網站/APP運營者與使用者三類群體。其中,技術開發(fā)者負責分析發(fā)現未采取防護措施的短信接口,編寫代碼調用接口并將其產品化;網站/APP運營者負責前端開發(fā),幫助使用者便捷地使用和付費,甚至通過代理商分發(fā)模式大肆售賣;使用者在相應的網站/APP購買服務,輸入“被轟炸”用戶的手機號即可通過調用前述短信接口發(fā)起攻擊。
據騰訊安全平臺部對此類風險軟件的深入調查,目前市面上可搜到的“短信轟炸”網站約有3000余個、有超過5000個的短信接口疑似被用于實施“短信轟炸”,接口類型包括各大互聯網企業(yè)、運營商對外服務端口、甚至有很多政府服務類網站,這無疑嚴重影響正規(guī)企業(yè)網站的短信驗證碼功能,有損企業(yè)形象,也增加了企業(yè)不必要的費用開支。
短信轟炸防不勝防 治理該如何破局?
短信轟炸對人們的正常手機通訊和生活帶來了很大困擾。郭普生稱,目前從警方接到的群眾報案來看,大家對“呼死你”或者短信轟炸的維權意識在逐步提高,通過選擇報警或者使用網上舉報的方式進行。但對于警方來說,要對這些行為進行精準打擊并不容易,其中的難點與互聯網的產品形態(tài)息息相關。
大部分的網站和移動應用APP在注冊時需要手機號碼獲取驗證碼短信,利用短信驗證來鑒別手機號是否屬于用戶本人。然而,這種驗證方式背后卻暗藏許多安全隱患。其中最主要的一種就是黑產利用各類平臺的短信驗證接口進行短信轟炸。在下發(fā)驗證碼前加一層校驗,可以有效地防止黑產惡意利用,但此時,企業(yè)也需要承擔用戶流失的風險,因為多加一步動作,就意味著用戶轉化率可能降低。
另一方面,由于這類“短信轟炸”模式利用的是海量網站,這就意味著傳統單業(yè)務線頻控的安全策略對這種利用無效,即便被調用短信接口的企業(yè)有防范措施,但因該類網站或軟件一般集成的短信發(fā)送接口都會放在本機上調用,這樣防護措施只會對當前使用網站或軟件的作惡人員的IP有用,其他不同IP則不受限制。而有些“短信轟炸”軟件為了提高可用度,會在軟件內置代理IP繞過短信接口的限制,達到無限制對外發(fā)送大量短信的目的。
此外,程斐然還提到,短信轟炸軟件目前主要在往境外遷移,“在境內的話可能會去投訴網站所在的云服務廠商,把相關的網站進行下線,如果遷移到境外的話,投訴和下架變得更加難去打擊和處理,而且隱藏起來更難發(fā)現。”
可以說,呼死你或者短信轟炸是防不勝防的,需要由被動防御走向主動治理,騰訊守護者計劃安全團隊針對企業(yè)從源頭上防范“短信轟炸”黑產提供了幾點建議。
其一是對被黑產利用的驗證碼接口增加人機驗證,如圖形驗證碼等基礎防范策略,提高黑產團隊惡意利用接口的門檻,壓縮黑產生存空間。比如騰訊驗證碼能根據用戶多維環(huán)境因素,精確區(qū)分可信、可疑和惡意用戶,彈出不同的驗證方式,帶來更精細化的驗證體驗。
其二是針對移動端打造一鍵驗證方案,替換過時的短信驗證碼。如騰訊云號碼認證服務集成了三大運營商特有的網關取號、驗證能力,自動通過底層數據網關和短信網關識別本機號碼,在不泄漏用戶信息的前提下,安全、快速地驗證用戶身份,一鍵免密注冊和登錄。
此外,互聯網企業(yè)還能通過統一風控服務,在下發(fā)短信驗證碼前,根據風控結果有選擇地打擊;支持QQ、微信等授權登錄方式,盡可能的減少短信驗證帶來的風險;針對短信驗證碼的發(fā)送量級做好監(jiān)控,及時發(fā)現異常監(jiān)控。