你的手机遭遇过“短信轰炸”吗?比如下面这种情况:
▲图为短信轰炸app使用演示过程
家住南京的吴女士就遭遇了这样的困扰。
今年5月,吴女士的手机突然收到了一条“10086123”发送来的网站验证码短信,还没来得及一探究竟,紧接着一百多条短信息纷涌而至,都是来自各个网站、公司的验证码短信,她的手机持续震动了超过三分钟才“消停”下来。
与吴女士有相同遭遇的人不在少数。在6月2日的腾讯守护者计划媒体沙龙上,广州市公安局白云分局民警郭普生和腾讯安全平台部专家程斐然就通过案例分享、重现手机被短信和电话轰炸的过程,揭开了背后的黑色产业链。
“手机轰炸”运营团伙被抓获
黑产链条浮出水面
何为短信炸弹?
短信炸弹即通过特制的软件不断往一手机号码发重复的垃圾短信,包括推广信息、诈骗信息、短信验证码等,以达到骚扰和恶搞的效果,就如同用炸弹轰炸一样。
为什么会被“短信轰炸”?
“短信轰炸”可被不法分子利用,加入到多种不同的黑产作案手法当中,比如诈骗、催债、干扰同行经营、报复、推销广告、发布谣言等。
甚至还有人会出于无聊、好奇,使用“短信轰炸”来使自己充满“恶趣味”的心理得到满足。
不法分子提供“轰炸服务”给有这些需求的人,价格也十分低廉。据一个售卖“短信轰炸”服务的商家称,发送十分钟“短信轰炸”仅需0.15元,180分钟仅需0.95元。买方最高可选单次1500分钟。
极低的犯罪成本让不法分子发动攻击时毫无顾忌。
▲某电话+短信轰炸APP收费广告
购买了相关服务后,不法分子进行轰炸前还得去搜集信息,选择要轰炸的号码。那么,我们的号码是怎么“中招”被泄露的呢?
1、“熟人”作案:很多“短信轰炸”都是“熟人”作案,例如熟悉你手机号码的债主、工作生活纠纷的关联人等等。
2、个人信息被转卖:还有不少人是通过专门售卖个人信息的团伙购买手机号码,而你在网站上填入的个人信息、线下参加活动时填写的表单,均有可能被别有用心之人泄露出去,转售给他人,从而被骚扰或轰炸,就像我们经常接到诈骗或推销骚扰电话一样。
3、黑客入侵:还有一种情况就是黑客入侵,通过技术手段侵入、破坏计算机系统作案。
搜集到了号码信息以后,作恶人员便开始进行“短信轰炸”。
“短信轰炸”的作恶成本较低,通常通过几行代码即可调用短信接口对手机号频繁发送大量验证码。
很多网站和APP都提供有手机短信验证码功能,可以比较准确和安全地验证用户的正确性,这也是移动互联网时代,网站和APP为用户提供的便利。
作恶人员及犯罪团伙正是利用了这个手机验证码的机制,将非常多的网站做成列表。而后通过轰炸的APP或网站后台程序调用大量企业的正常短信验证码接口,对指定手机号发起批量攻击,即批量发送验证码短信。
之后犯罪团伙再通过各大网站、社群等渠道推广“短信轰炸”平台,让作恶人员去指定发卡平台购买日/周/月/年卡来注册和使用轰炸平台进行获利,以网络第三方支付作为主要收款方式。至此,犯罪团伙及作恶人员完成了“短信轰炸”整个的流程。
除了“短信轰炸”,还有一种轰炸类型便是“电话轰炸”。
前段时间,广州市番禺区的罗女士总是接到陌生来电,这些陌生电话每分钟就会响三、五次,每次响一下就挂断,被呼叫的手机基本处于瘫痪状态,这让从事销售工作的罗女士苦不堪言。
经警方侦查发现,罗女士遭遇到一个名为“24云呼”的手机软件的恶意干扰。
近日,广州市公安局网络警察支队和白云区公安分局通过联合侦查,最终抓获了利用互联网+架设“24云呼”平台的团伙,抓获嫌疑人4名,查获“24云呼”账号3700多个。
“电话轰炸”和“短信轰炸”的原理不同,“电话轰炸”目前来说还是要使用网络电话或者voip的设备来拨号,对于坏人来说成本相对比较高,单次轰炸的成本需要300-500元左右,远高于“短信轰炸”每月不到50元的成本,所以,并没有那么多人使用,但是由于其效果显著,有时和“短信轰炸”双管齐下,令人不胜其扰。
“短信轰炸”危害性极大
制作者、使用者均违反法律
“短信轰炸”危害极大,犯罪团伙借助此类非法网络平台极大地侵害用户合法权益,助长恶意报复、软暴力催收等行为,甚至很可能引起社会事件,影响社会稳定。
同时也严重影响了正规企业网站的短信验证码功能,有损企业形象,也增加了企业不必要的费用开支。
“短信轰炸”发送时间集中、并且短信内容多为“正规”的验证码,内容不涉及到违法犯罪,所以不能被精准屏蔽,只能通过“一刀切”方式,关闭本机所有短信接收功能方可不受“短信轰炸”侵扰,严重影响用户正常手机通信。
那么,面对这些轰炸,我们是不是就无计可施了呢?
答案是否定的。
对我们个人而言,如果遇到“短信轰炸”的情况,除了保存相关证据并报警外,也可以紧急联系运营商,申请来电应急保护及短信防护功能,或者采用运营商一键取号的接口直接获取移动端的手机号,效果好、成本低。
对服务厂商而言,许多云服务厂商已在陆续提供解决方案,如设置包括字符、滑动、点击等类型的人机验证码和操作门槛较低的滑动型、点击型验证码,尽量降低对产品转化率的影响。
同时,国家也出台了相关法律,严厉打击此类违法犯罪行为。
《网络安全法》第27条、63条也规定了任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
此外,制作、使用“短信轰炸”工具,按照其行为的具体特征,涉嫌罪名也有所不同。
1、对于制作“短信轰炸”工具的,如果该工具具备侵入和非法控制对端服务器的技术特征,通常按提供侵入、非法控制计算机信息系统程序、工具罪论处。
2、 通过短信或拨号轰炸受害方手机,造成对方手机无法正常使用,或者专门制作此类程序提供他人使用的,如果造成严重后果,适用破坏计算机信息系统罪。
3、 将“短信轰炸”工具售卖给犯罪团伙用于实施犯罪,适用帮助信息网络犯罪活动罪,对于直接参与下游犯罪的按共犯处理。
4、自制恶意呼叫设备,非法占用频段,造成周边无线网络拥塞的,适用扰乱无线电通讯管理秩序罪。
“短信轰炸”是利用技术手段作恶的典型,扰乱民生、影响政企,没有一家互联网公司可以独立完全解决此问题,需要的是所有行业联合起来,踏踏实实地进行接口改造才能保护受害者。
