現象
網購后發表“差評”遭遇短信轟炸
南都大數據研究院監測發現,近期國內多個社交平臺上有網友反映遭遇短信轟炸,一天多達數百條,不勝其擾。研究員在某消費投訴平臺上以關鍵詞“差評+轟炸”檢索,發現超300條相關投訴。投訴案例集中反映,消費者由于網購商品質量問題、協商退款退貨難等而給商家打“差評”,隨后就遭遇短信轟炸等惡意騷擾。
研究員留意到,多名網友反映其收到的轟炸短信為來自不同網站的登錄驗證碼,其中不乏知名銀行、保險公司、電信運營商等平臺。不少網友因此擔心其個人信息可能遭遇泄露。
某消費投訴平臺上,有超過300條關于短信轟炸的投訴內容
手段
惡意代碼劫持網站短信接口
這些驗證碼短信從何而來?有網絡安全專家向研究員介紹,這類短信轟炸主要通過劫持網站短信接口實現——
不法分子使用惡意代碼劫持多個正規網站的短信驗證登錄接口,就可以同時利用多個網站的短信驗證登錄功能,向特定手機號碼連續發送大量驗證碼短信,實現轟炸效果。
網絡安全專家解釋稱,這類劫持行為一般只觸及短信接口,不會直接入侵網站。但如果用戶手機同時安裝了可竊取短信內容的不良應用,或手機附近存在短信嗅探設備,網站下發的驗證碼就可能被不法分子獲取,進而導致用戶賬號被入侵。
有網友在社交平臺上展示其短時間內收到的大量驗證碼短信
風險
惡意代碼免費使用、廣泛流傳
網絡安全專家還表示,盡管公安部門長期對這類網絡違法犯罪保持高壓嚴打態勢,不少網站也已采取多項安全措施防范劫持行為。但只要網站提供“短信驗證登錄”功能,代碼的工作原理就依然有效。不法分子仍可對代碼加以改進或另尋其他防護不到位的接口繼續實現劫持。
更令人擔憂的是,類似的惡意代碼其實并不復雜,其中不少關鍵內容已在互聯網上直接公開,近年甚至出現免費工具包和在線轟炸頁面。如今不只專業的灰黑產團伙,就連不掌握相關專業知識的普通網民,也可隨意使用類似工具,實現“一鍵轟炸”。
研究員實測發現,在公安部門對違法行為的持續打擊下,如今搜索“呼死你”“轟炸”等關鍵詞,已很難尋覓到與短信轟炸相關的軟件或商家。但若更換為一些新興關鍵詞進行搜索,就可發現不少與短信轟炸相關的惡意代碼仍在互聯網上公開流傳。
大量與短信轟炸相關的惡意代碼內容在互聯網上公開流傳
研究員還發現,甚至有部分網民以所謂“技術研究”“學習分享”等名義,將相關惡意代碼與被劫持的短信接口打包部署,制作成可供訪問者免費使用的短信轟炸網站。訪問者只需輸入目標手機號碼,即可自行對該號碼啟動短信轟炸。
研究員使用個人手機號碼對其中一個提供在線轟炸的網站頁面進行測試。僅在一分鐘內,研究員的手機就收到了10條驗證碼短信。從內容來看,這些短信分別來自中國聯通、天鵝到家、巨人網絡、滬江網校等多個知名平臺。
某個提供在線短信轟炸的網站頁面
產業鏈
免費“社工庫”為短信轟炸做鋪墊
短信轟炸,其實現方式始終是向手機號碼發送大量短信。那么是否只要隱藏好自己的真實手機號碼,就能避免騷擾?答案可能令人失望。
在調查過程中,有部分網友向研究員反映,自己已使用電商或物流平臺提供的隱私號碼保護服務,商家理應無法知曉其真實號碼,但仍遭遇短信轟炸;甚至有網友稱自己僅在社交平臺發帖表達對某一產品或商家的不滿,在未透露具體訂單信息的情況下同樣遭遇精準的短信轟炸,對商家獲取個人信息的手段感到疑惑。
研究員深入調查發現,隨著相關灰黑產業鏈不斷發展,一些不法分子已將短信轟炸技術與“社工庫”相結合,形成從人肉搜索到打擊報復的“一條龍服務”。
所謂“社工庫”,指“社會工程學數據庫”,是黑客通過攻擊網站、欺詐用戶等手段獲取大量個人隱私數據,再整合分析、集中歸檔形成的數據庫。
在某個提供在線短信轟炸的網站上,研究員留意到其同時接入了一個免費查詢的“社工庫”,為用戶提供“QQ反查”“微博反查”等服務。用戶只需輸入QQ號碼或微博ID,即可檢索到該賬號綁定的手機號碼,進而對目標發起短信轟炸。
某在線短信轟炸網站同時提供“QQ反查”等服務
困局
轟炸成本為零,用戶防不勝防
關于這類免費“社工庫”,有網絡安全專家表示,這應該是一些早年間泄露的網站數據,由于經歷多次交易,灰黑產行業內幾乎“人手一份”,難以繼續出售牟利。因此也有一些灰黑產團伙將其主動公開,用于吸引流量、招徠顧客。
該名網絡安全專家強調,雖然這些免費“社工庫”在灰黑產團伙眼里“不值錢”,但其中依然包含大量個人隱私信息,存在巨大的數據安全風險。
網絡安全專家坦言,近年來,一些灰黑產團伙為彰顯實力、招攬生意,有意用免費“社工庫”、短信轟炸等低成本工具吸引用戶,再引誘用戶購買更多付費服務。
“你不需要學習任何的技術知識,只需要掌握對方一個社交賬號的名稱,就能快速查到對方的真實聯系方式;再點一下鼠標,還能直接向對方發起短信轟炸。最重要的是,整個過程你一分錢都不用花,是真真正正的零成本。”在低門檻、零成本的誘惑下,一些不法商家愿意采取類似手段惡意騷擾客戶。
建議
遭遇轟炸及時投訴
不知名平臺不留個人信息
? 2021年9月初
福建泉州網安民警巡查中發現,有網民在境外即時通訊群組中售賣多款短信轟炸、軟暴力催收軟件。經過縝密偵查,網安部門成功挖掘出一個從批發商、銷售商到買家的利用發卡平臺對受害者精準實施短信轟炸的網絡犯罪團伙。
? 2023年2月
四川遂寧大英縣公安局網安大隊根據省廳網安總隊線索抓獲犯罪嫌疑人熊某。經查,熊某通過修改從網上獲取的短信轟炸源代碼,劫持多個商業網站注冊接口,編寫短信轟炸軟件并推廣出售,非法獲利10萬余元。
? 2023年3月
湖南長沙市長沙縣警方抓獲犯罪嫌疑人朱某和。經審訊得知,2021年1月,朱某和因一次偶然機會接觸到短信轟炸軟件,見有利可圖,便開始研究其背后原理,自行研發同類軟件并對外出售。經查,犯罪嫌疑人朱某和共售賣軟件200多人次,從中獲利8000余元。
我國《網絡安全法》已明確規定,任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。
但是,由于早年間國內外不少網站對數據安全重視程度不足,發生過多起信息泄露事件,很多數據庫經歷多次流轉,已很難追尋源頭并封堵。同樣,短信驗證碼給手機用戶帶來不少便利,若為解決短信轟炸問題而禁止該功能,似乎是“因噎廢食”。在如何治理相關違法犯罪問題方面,仍需平臺企業、公安部門集思廣益、謀劃良策。
有網絡安全專家指出,這類短信轟炸行為單靠個人維權存在較大難度,建議遭遇騷擾的用戶及時向運營商和12321網絡不良與垃圾信息舉報受理中心反映情況,或報警求助,交由專業人士進行偵查。
若遭遇短信或電話轟炸,可登錄12321網絡不良與垃圾信息舉報受理中心( https://www.12321.cn),選擇“投訴短信/電話轟炸”,填寫投訴信息。
同時,互聯網用戶平時要養成保護個人隱私的意識,一些不知名的網絡平臺盡量不留身份、住址、電話等個人信息,以免信息泄露。
此外,網站平臺可采用加強人機驗證、限制單IP請求次數、限制用戶短信請求間隔等方式保護自身短信接口。只要下發的短信無法實現“轟炸”效果,不法分子自然會放棄使用這一手段攻擊目標用戶。
? 移動用戶
? 聯通用戶
可關注微信公眾號“智慧沃服務”,免費開通“聯通手機管家”服務,開啟“營銷短信攔截”功能。
? 電信用戶
可關注微信公眾號“天翼防騷擾”,免費開通防騷擾服務。
來源:南都大數據研究院
編輯:林紫雯
——END——
最近奧一君看到大家留言
一不小心就錯過了
不要慌!
快跟著奧一君一起
動動手,設星標
閱讀推薦
- 網約車扎堆堵死路口,百米路竟要走十幾分鐘!交警:將嚴格執法
- 震驚!比亞迪香港多店遭破壞,3小時驚現4案……
- 深圳一學生在校運動倒地昏迷,部門:積極回應家長合理訴求