Article / 文章中心

验证码成骚扰工具 “短信轰炸机”何以如此嚣张

发布时间:2020-03-18 点击数:3499

编辑:刘光昕

 短信轰炸机何以如此嚣张

本是用于身份验证、防止垃圾注册的手机短信验证码,摇身一变反倒成了骚扰手机用户的帮凶。

近期,不少用户投诉,反映自己手机突然抽风:在非本人操作情况下,每分钟都收到几条用自己手机号登录注册的验证码短信,一天能接收数百条这样的短信,不胜其扰。

月收3万余条骚扰验证码

919日,有陈先生向记者透露,当日17时至1830分,手机突然接到40余条手机短信验证码,短信号码以“106”开头,发送短信的平台全是正规机构,包括支付宝、腾讯科技、高德地图、大众点评、新浪新闻、饿了么、阿里巴巴、美团网、途牛旅游网、58同城、百果园等。

根据陈先生反映的问题,咨询移动公司得知,这属于黑客程序短信轰炸机的恶意攻击。这种软件利用网站或APP发送手机验证码接口,可实现海量网站给同一个手机号码发送多条验证码信息。最厉害的短信轰炸机1分钟内给同一个手机号发送超过100条短信。

不法分子用垃圾短信恶意骚扰并不鲜见。几年前,就有浙江和广东的手机用户,因网购中给商家差评遭对方用垃圾短信报复。公安机关接到报案后,曾挖出短信轰炸机背后的黑色产业利益链条,并逮捕了相关涉案人员。

如今,网上虽然赤裸裸的短信轰炸软件不见踪影,但不少刷好评、点赞、粉丝数量等刷单软件具备短信轰炸功能。记者在软件论坛,下载了多款用于淘宝、新浪、陌陌等网站用户账号注册、验证的小程序,这些软件在参数设置选项上,都具备自动复制手机号、自动复制短信、每5秒自动获取验证码等功能。

一位网站维护工程师告诉记者,对专业人士而言,制作短信轰炸机程序非常简单,集成海量网站短信验证码接口链接,再循环利用指定手机号发送用户注册、密码修改等正常验证码请求,便可达到骚扰的目的。

束手无策,运营商只能暂停用户验证短信接收功能

对于广告推销类垃圾短信,通信运营商已有应对之策。

通信管理局数据显示:2007年,垃圾短信问题开始在我省冒泡。随后,在主管部门要求下,运营商将原来3分钱至5分钱一条的广告营销类短信,价格升至0.1元一条,并设置了每小时短信发送条数限制(不得超过500条)等技术门槛。

2015年以来,运营商与腾讯、360等企业合作,建立了垃圾短信拦截系统,通过关键字、多音字、谐音字、特殊符号等关联分析,将短信来源列入黑名单,实现垃圾短信自动拦截。

移动公司一位技术专家表示,通过价格杠杆和技术手段,可逐步解决广告推销类垃圾短信,但验证码短信基本来自运营商监控白名单里的平台(微博、支付宝等),运营商很难甄别用户手机是正常登录验证行为,还是不法分子用短信轰炸机的恶意骚扰行为。

不堪其扰的陈先生通过咨询,编辑短信502发送给10086,开通短信炸弹防护功能后,验证码骚扰短信才得以终止。但是,该防护功能是把双刃剑,相当于运营商关闭用户验证短信接收功能,这会影响用户的银行交易、电商购物等正常验证码使用。

目前,业界还没有有效的拦截手段。电信公司技术专家表示,运营商服务器不可能被短信轰炸机攻击,类似陈先生这样被骚扰的用户,一般是因手机号码泄漏,遭到不法分子非法利用导致。在未经过用户许可的前提下,运营商不敢擅自关闭用户的短信接收功能。

加强端口管控,验证码防护体系亟待建立

通信管理局专家认为,阻止短信轰炸机攻击,可借鉴拦截骚扰电话经验,通过大数据主动识别特征,主动标记问题手机号的异常登录注册行为,系统再根据拦截标准,进行机器干预或人工干预。

目前骚扰电话预警系统可监控用户的通话行为,当发现一个号码1小时内通话次数超过100次,且多数通话时长不超过10秒钟,系统就能智能分析,自主生成骚扰电话号码库,实现系统主动拦截。现在的难点在于确定标准,如同一手机号在单位时间内接收多少验证码属于骚扰等,这需要行业主管部门与运营商协同完成,目前公司已启动专题技术调研。湖北移动公司技术人员透露。

目前,全国每年各类APP、网站发送的短信验证码条数在1000亿至2000亿条,接收短信的用户虽然不用掏钱,但这些APP、网站的运营企业需要向通信运营商缴纳每条3分钱至5分钱的费用,若有短信轰炸机恶意发送验证码,不但骚扰了用户,也增加了企业不必要的资费开支。

目前APP、网站的运营企业在收到攻击后,在用户输入手机号发送验证码前,增加数字、图片、行为等二次验证,以及限制单IP请求次数、发送验证条数等,但这些无疑会降低用户的体验,北京新昕科技有限公司联合各大短信服务商推出的“企业短信防火墙”在不影响用户体验的前提下,可以有效拦截短信轰炸。

变态验证能防短信轰炸?考验人类智商和毅力?

   注重用户体验的互联网,出现变态验证码是为安全让步 AI技术的提高,使各种验证码如同皇帝的新装,更无法防短信轰炸






    新昕科技 www.newxtc.com ,创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业,历时3年时间,在价值百万的风控引擎基础上 ,训练出“防短信轰炸”智能模型,彻底解决“安全”与“用户体验”的矛盾,产品经理只需专注用户体验,无需为安全让步。

  1)无感:去类12306、对缺口拼图、拖动等所谓人机验证有感方式。 

 

化繁为简,简单到只需输入手机号,还产品本来面目

  2)保障:攻防对抗大数据训练的 AI模型,去前端交互验证方式,后端防御确保短信安全

     比如,同一个IP ,即使有1万个正常用户同时共同使用,可以确保放行,但常规的防控大多数被误拦。

      反之,攻击者控制1万台主机,1万个不同IP、手机,也保证拦截,但常规的防控对此无能为力。

    

    如何做到的, 基于三层AI防御体系,

     报文对抗层 在最外层应用加解密及混淆技术,对抗普通的攻击,

     蜂窝防护层 由时空主体组成蜂窝,确保被攻击后蜂窝之间互不影响,缩小受影响的范围,

     安全气囊   在确保老用户不受影响下, 根据攻击规模自动启停并进行动态控制。

 

  3)高效:价值百万的风控引擎浓缩的10M 短信防火墙安装包,本地部署运行,毫秒级响应。

  避免“云模式”的网络延时问题,导致滑动条出不来等情

 

关键技术说明:

    悬浮式指标引擎加载AI模型,悬浮于磁盘超高速运行,随输入的业务数据生成统计指标,提供给决策引擎做进一步分析处理,

 决策引擎加载“短信防轰炸”AI模型和指标后,和输入的业务数据流做逻辑判断后,输出风险结果,响应速度达到恐怖的1毫秒。

 

总结:随着互联网技术的不断发展,我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节,保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台,未来将会是安全与体验双重保障的验证码的时代。