退貨後手機就被“呼死”！每天約有160萬“轟炸”短信發出_風聞

　　圖源：東方IC

　　30秒快讀

　　1

　　在直播間買到疑似假貨，退貨退款後，手機竟然被短信“呼死”。

　　2

　　每天約有160萬條“轟炸”短信發出，據《IT時報》記者調查，花30元就能在半小時內發送數千條短信，成本很低。

　　3

　　不止是賣家，連“轟炸”短信的買家，多次購買就涉嫌違法。

　　收到過短信驗證碼嗎？這似乎是個不是問題的問題。那麼，30分鐘內收到2000個驗證碼呢？

　　不久前，小北在某直播間買了一瓶蘭蔻粉水，收到貨後，她懷疑這是假貨，於是向平台投訴“假冒品牌退貨”。沒想到，退款剛到賬，小北的手機便不斷響起，短短幾分鐘內連續收到26通電話和51條驗證碼短信，“有人在‘呼死我’。”小北告訴記者。

　　圖源：網絡

　　垃圾短信、電話騷擾被治理多年後，黑產找到了新的騷擾方式：短信轟炸。近日，廣西警方公佈了首例短信轟炸案例的偵破過程，犯罪嫌疑人搭建網站後，通過兜售、推廣短信轟炸以及遊戲外掛等黑產，共發展450多個下級代理，僅河南開封的一個代理便實施了500多萬條短信轟炸。

　　數據顯示，目前全網至少有超過2000個網站的3500多個驗證碼接口和2400多個短信接口，被利用於短信轟炸，每天約有160萬短信被用於攻擊。而據《IT時報》記者調查，短信轟炸成本極低，30元便可以在半個小時內向指定號碼發送數千條短信。

　　#01

　　廣西首例短信轟炸案被偵破

　　今年8月，廣西來賓市武宣縣網安大隊接到舉報：有人在網上搭建網站平台之後，兜售、推廣短信轟炸以及遊戲外掛等黑產，包月價格是10-38元。經過排摸偵查後，8月24日，卓某健被抓獲，警方現場扣押了7部手機、2台工作電腦和1張銀行卡。在抓捕現場，警方發現，卓某健的手機依然在不斷推送短信轟炸的廣告，搭建的網站也一直有收益入賬，這説明一直有人在瀏覽、購買他的服務。

　　通過審訊，警方瞭解到，卓某健前後共搭建了11個網站，銷售兩千多種黑產項目。如今卓某健已被刑事拘留，涉嫌破壞計算機信息系統罪，他的上級張某在哈爾濱也已被抓獲，而河南開封一個實施了500多萬條短信轟炸的下級代理，也被當地警方批准逮捕。

　　圖源：央視網

　　短信轟炸，也稱“呼死你”，即短時間內被騷擾號碼收到大量通信請求。以往“呼死你”常見的是電話轟炸，但最近兩年，短信轟炸越來越多，其表現形式是，利用正規網站平台登錄時需要驗證碼的方式，對某個手機號碼集中式發送短信，直接後果便是，手機被洶湧而來的驗證碼短信“卡死”無法使用。

　　騰訊安全天御風控專家楊紅介紹，短信轟炸原理並不複雜，黑產通過爬蟲手段蒐集大量網站的發送短信接口，集成到轟炸網站或者轟炸軟件上，當買家提出購買需求後，黑產軟件以“被轟炸的手機號碼”為用户名，集中訪問這些網站並提出短信驗證碼需求，從而使被害者手機不停收到這些網站下發的驗證碼短信。

　　“短信轟炸的黑產比較分散，產業鏈很長，嫌疑人不需要很高技術門檻就能操作，而被害人往往自認倒黴，缺乏主動報案意識。這給打擊短信轟炸行為帶來一定困難。”廣西來賓市武宣縣網安大隊韋正豐告訴記者，由於短信轟炸成本較低，近幾年，常被一些裸聊團伙、催債團伙利用，不僅“轟”欠債人，有的甚至連聯繫人一起“轟”，給被害人造成不可預計的影響和損失。

　　#02

　　30元數千條短信 多次購買也違法

　　《IT時報》記者找到一家提供“短信轟炸服務”的代理，報價30元“轟炸”30分鐘，保證發送2000條以上短信，平均每秒1條以上。

　　有些淘寶店披着“羊皮”出售相關業務，圖源：淘寶

​　　“短信轟炸的成本和門檻極低，每天至少有160萬條轟炸短信發出。”楊紅介紹，出現短信轟炸的核心原因是，很多網站的短信驗證碼接口“太簡單”，只要輸入一個手機號碼就能申請發送短信驗證碼，很容易被黑產利用。

　　此前騰訊安全協助警方打擊的一些黑產案件，每天發送量都在百萬條以上，而百度指數搜索“呼死你”“轟炸”等關鍵詞的次數比例也遠比前幾年高。由於獲取容易、成本低廉，不僅中介、傳銷、催收、賭博等行業使用頻繁，有時候普通消費者發個差評、打個投訴電話，都有可能被商家報復性“轟炸”。

　　事實上，無論買家還是賣家，都涉嫌違法。

　　騰訊守護者計劃安全專家黃漢川介紹，非法搭建短信轟炸工具進行收費，涉嫌違反《中華人民共和國刑法》第286條“破壞計算機信息系統罪”，因為破壞了公民正常的手機系統及通信使用；同時涉嫌違反《中華人民共和國刑法》285條第三條，提供非法控制侵入計算機系統的工具程序罪，如果和套路貸、裸聊、敲詐等等一些黑灰產相結合，則屬於詐騙共犯。

　　《中華人民共和國刑法》第286條規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑。韋正豐對此解釋，違法所得5000元以上屬於後果嚴重，違法所得25000元以上屬於後果特別嚴重。

　　買家同樣也不能免責。韋正豐介紹，“根據《中華人民共和國治安管理處罰法》第42條，多次發送淫穢、侮辱、恐嚇或者其他信息，干擾他人正常生活的，處5日以下拘留或者500元以下罰款；情節較重的，處5日以上10日以下拘留，可以並處500元以下罰款，“沒有具體條數，多次發送即違法。”

　　**同時，**記者測試中也發現，有的所謂提供“短信轟炸服務”的網站，其實並不能實現“炸機”效果，只是利用買家急迫的心理騙錢而已。

　　#03

　　一鍵免密登錄 從源頭管起

　　無論被“轟炸”的個人，還是被利用發送驗證碼的網站，都是“短信轟炸”的受害者，面對產業鏈條超長的黑產，防範措施必須從源頭到終端，層層佈設防線。

　　最重要的是，從源頭開始管起。楊紅表示，一種方式是網站提供網關驗證，也即用户登錄時，從原先的輸入短信驗證碼，改為從網關取號，也即現在不少網站採用的“本機號碼免密登錄”。比如記者在登錄手機京東時，頁面會顯示記者的手機號碼，並且提示將“本機號碼一鍵登錄”，確認之後，秒速登錄，無需花費數秒等待驗證碼。登錄時需勾選的《天翼賬號認證服務條款》如此介紹：免密登錄是天翼賬號產品首創的一種快捷、安全登錄方式，通過手機移動數據網絡認證當前本機SIM卡的手機號碼，登錄時免除輸入賬號密碼，同時確保手機號賬號是在本機上登錄，不會被他人盜用。

　　圖源：京東

　　為什麼這種方式最安全呢？

　　據《IT時報》記者瞭解，網關識別並非僅僅識別手機號碼，而是通過電信運營商安全級別所控制的移動網絡、手機卡進行的自動認證。也就是説，電信運營商首先要通過附近的基站網絡確認你的手機號碼，然後與內置認證證書的手機卡信息進行匹配，一旦確認二者匹配，手機用户身份也被確認。

　　目前，三家電信運營商都提供“一鍵免密登錄”服務。

　　天翼數字生活科技有限公司天翼賬號產品經理劉煒告訴記者，免密認證在技術原理上是認證本機號碼，避免了因為“短信轟炸機”等非法軟件調用同一個號碼形成短信轟炸的現象，同時，也在一定程度上解決了短信驗證碼無法溯源的問題。所有認證的網絡請求，均由天翼自主研發的SDK集成及發起，從而確保每一次認證需求都是通過本手機號主動發起，“採用這種方式認證的網站越來越多，9月，我們的活躍應用數超過1.8萬個，主要是來自於互聯網的應用，例如今日頭條、抖音、支付寶等行業頭部應用。”

　　當然，短信驗證碼短期內也無法被徹底取代，然而簡單增加圖形驗證等方式，可能便是一道屏障，為黑產增加相應操作成本。由於“短信轟炸服務”售價很低，一旦成本上升，“性價比”降低，黑產方式的使用率便會大大降低。

　　此外，手機用户則可以通過一些安全軟件防止被轟炸。據騰訊手機管家產品經理戴月介紹，最近手機管家推出了“一鍵攔截短信轟炸”服務，只要在App裏將開關打開，便可以直接屏蔽短信轟炸場景，但不影響用户收到其他短信。

　　圖源：騰訊手機管家

　　作者／IT時報記者 郝俊慧

　　編輯／錢立富 挨踢妹 

　　排版／季嘉穎

　　圖片／央視網、淘寶、京東、騰訊手機管家、東方IC、網絡

　　來源／《IT時報》公眾號vittimes