8

26 元就能拨 5000 个骚扰电话?短信、电话骚扰为什么屡禁不止

 2 years ago
source link: https://www.ifanr.com/minapp/1421052
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

自从有了微信这类社交工具,大部分人的短信、电话使用率都变得更低了,有什么事几乎都能在社交 app 上解决。但短信并未退出历史舞台,毕竟这是一种更低门槛的通知触达方式,像政务信息这类重要内容通知一般也会使用短信,确保通知到所有人。

但政务信息之外,你手机里信息最多的内容估计就是各种各样的验证码。如果打开你手机的短信记录,恐怕看到九成以上的信息属于服务类和验证码。但如果这些信息在同一时间段密集向你发布的话,那就会是一个让手机卡死的「恐怖故事」了。

在短信、电话使用率降低之后,它们成了各个组织、商家、黑产的必争之地。

为什么会有这么多骚扰信息,都不要钱吗?

通讯轰炸是怎样的?

你的手机总是会接到陌生来电,这些陌生电话每分钟就会响三、五次,每次响一下就挂断。高强度的电话呼入甚至会让手机瘫痪,除了关机别无他法,这已经影响了用户的正常使用。

24yun.jpg!720

短信骚扰是怎样的?

手机一瞬间被「爆炸」的短信塞满。大量原本正常的验证码信息会在短时间内发送到你的手机上,甚至来自单一网站的验证码信息都会收到很多条。

如果你没有被这两种方式骚扰过,那你很幸运。要么是你的手机号码机会没有泄漏,要么是你几乎没有和使用这类骚扰服务的个人或组织产生过关联。这些服务的使用者大多是催收等软暴力犯罪者、收到差评的电商卖家、报复他人的小人。

D-9.jpg!720

▲ 各类通知短信已经占据了你的手机

最近,在腾讯守护者计划媒体沙龙上,我们知道了更多通讯轰炸、短信骚扰的案例,也对这类灰黑产的低成本有了更进一步的了解。

像通讯轰炸的情况就基本不可能是由人手动拨号骚扰,而是用恶意软件来完成。广州市公安局网络警察支队和白云区公安分局通过联合侦查发现的「24 云呼」就是一个这样的恶意软件。使用「24 云呼」,骚扰者只需要充值 26 元就能恶意呼叫 5000 次。

在实际侦查过程中,公安机关抓获了一个利用互联网架设「24 云呼」平台,干扰手机通讯通话的新型犯罪团伙,查获了 3700 多个「24 云呼」账号。查获后发现「24 云呼」平台自 2020 年 11 月上线以来,已进行了 586 万余次呼叫骚扰。

24yunhu.jpg!720

▲「24 云呼」团伙嫌疑人被抓获

和通讯轰炸一样,短信骚扰的成本也极低。

腾讯安全平台部高级研究员程斐然介绍,「短信轰炸」早在 2005 年「小灵通」时代就已形成产业,当时的一种扩充电话通信带宽和目标对象的装备「猫池」可以通过连接小灵通来完成群发操作。但当时的成本还很高,就算刨除主机和软件费用,每条短信的成本也是 0.1 元,能接受这种成本也只有不差钱的广告主。

但今天短信轰炸变得更简单了。一个只有 3 个月程序开发基础的程序员就能在 4 小时内完成一个「短信轰炸」网站的部署和上线。这种黑产还进行了云化改造,黑产以低廉的价格购买境外云服务,再通过发卡平台购买短信轰炸模板,每个月的成本加起来不超过 50 元。

成本降低了,利润却没降低,稳定超过千元的净利润,也让这些黑产积极「钻研」。

24yun-hu1.jpg!720

▲ 类似的业务已经有了一个完整的产业链

难治理的骚扰信息,主动出击+自我保护

从 16 年前的小灵通到今天随处可见的智能设备,骚扰电话和短信不仅没有消失,反而越发猖獗,这很可能与互联网的产品形态息息相关。

大部分的网站和移动应用 app 在注册时需要手机号码获取验证码短信,利用短信验证来鉴别手机号是否属于用户本人。然而,这种验证方式背后却暗藏许多安全隐患。

guaji.jpg!720

▲ 作案团伙的挂机手机

我们在《短信验证码:是时候说再见了》中介绍过,短信验证的方式并不能提供更好的安全性。短信服务商若没有良好的安全意识,别有用心的人可能在此处潜伏,窃取验证码。而由于一般的短信传输路径存在过多的薄弱之处,其安全性是值得怀疑的。

短信轰炸的一种主要方式就是黑产利用各类平台的短信验证接口进行短信轰炸。

如果互联网应用在下发验证码前加一层校验,其实就可以有效地防止黑产恶意利用,但此时,企业也需要承担用户流失的风险,因为多加一步动作,用户转化率就会再次降低。

Duanxin.jpg!720

可以说,类似骚扰信息的治理不仅需要公安机关的调查,还需要短信服务商和各大互联网应用的共同参与。腾讯守护者计划安全团队针对企业从源头上防范「短信轰炸」黑产提供了几点建议。

其一是对被黑产利用的验证码接口增加人机验证,如图形验证码等基础防范策略,提高黑产团队恶意利用接口的门槛,压缩黑产生存空间。像腾讯验证码能根据用户多维环境因素,精确区分可信、可疑和恶意用户,弹出不同的验证方式,带来更精细化的验证体验。

其二是针对移动端打造一键验证方案,替换过时的短信验证码。如腾讯云号码认证服务集成了三大运营商特有的网关取号、验证能力,自动通过底层数据网关和短信网关识别本机号码,在不泄漏用户信息的前提下,安全、快速地验证用户身份,一键免密注册和登录。

此外,互联网企业还能通过统一风控服务,在下发短信验证码前,根据风控结果有选择地打击;支持 QQ、微信等授权登录方式,尽可能的减少短信验证带来的风险;针对短信验证码的发送量级做好监控,及时发现异常监控。

WechatIMG3473.jpg!720

▲ 第三方授权登录

而对于个人而言,我们也可以用合理手段保护自己。例如运营商都有推出小号服务,联通小号、天翼小号、和多号,互联网公司也推出了微小号、阿里小号的服务。在需要填写个人信息的时候就可以考虑填写这些不常使用的小号电话号码,使自己免于骚扰。

如果已经遇到了短信电话「轰炸」,只要留存好自己的截图,就能通过拨打 110、发送短信、使用「广东 110」小程序违法犯罪线索举报的方式进行报警。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK