又到各大电商平台“6·18年中大促”。“买买买”过后,如果你遇到产品质量等问题,会给商家打“差评”吗?会否因担心商家报复而打消“差评”念头?
南都大数据研究院监测发现,近期不少网友在社交平台上反映自己在电商平台打“差评”后遭遇短信轰炸,严重影响日常生活。调查发现,尽管公安部门长期对“呼死你”“短信轰炸”等网络违法犯罪保持高压严打态势,但仍有不法分子不断变换搜索关键词以逃避打击,更有不法分子将短信轰炸技术与包含大量个人隐私数据的“社工库”相结合,形成从人肉搜索到打击报复的“一条龙服务”。
网购后发表“差评”遭遇短信轰炸
某消费投诉平台上,有超过300条关于短信轰炸的投诉内容。
手段:恶意代码劫持网站短信接口
网络安全专家解释称,这类劫持行为一般只触及短信接口,不会直接入侵网站。但如果用户手机同时安装了可窃取短信内容的不良应用,或手机附近存在短信嗅探设备,网站下发的验证码就可能被不法分子获取,进而导致用户账号被入侵。
南都研究员使用个人手机号码对其中一个提供在线轰炸的网站页面进行测试。仅在一分钟内,南都研究员的手机就收到了10条验证码短信。从内容来看,这些短信分别来自中国联通、天鹅到家、巨人网络、沪江网校等多个知名平台。
某个提供在线短信轰炸的网站页面。
产业链:免费“社工库”为短信轰炸提供“助力”
短信轰炸,其实现方式始终是向手机号码发送大量短信。那么是否只要隐藏好自己的真实手机号码,就能避免骚扰?答案可能令人失望。
在调查过程中,有部分网友向南都研究员反映,自己已使用电商或物流平台提供的隐私号码保护服务,商家理应无法知晓其真实号码,但仍遭遇短信轰炸;甚至有网友称自己仅在社交平台发帖表达对某一产品或商家的不满,在未透露具体订单信息的情况下同样遭遇精准的短信轰炸,对商家获取个人信息的手段感到疑惑。
所谓“社工库”,指“社会工程学数据库”,是黑客通过攻击网站、欺诈用户等手段获取大量个人隐私数据,再整合分析、集中归档形成的数据库。
困局:轰炸成本为零,用户防不胜防
关于这类免费“社工库”,有网络安全专家表示,这应该是一些早年间泄露的网站数据,由于经历多次交易,灰黑产行业内几乎“人手一份”,难以继续出售牟利。因此也有一些灰黑产团伙将其主动公开,用于吸引流量、招徕顾客。
该名网络安全专家强调,虽然这些免费“社工库”在灰黑产团伙眼里“不值钱”,但其中依然包含大量个人隐私信息,存在巨大的数据安全风险。
网络安全专家坦言,近年来,一些灰黑产团伙为彰显实力、招揽生意,有意用免费“社工库”、短信轰炸等低成本工具吸引用户,再引诱用户购买更多付费服务。
“你不需要学习任何的技术知识,只需要掌握对方一个社交账号的名称,就能快速查到对方的真实联系方式;再点一下鼠标,还能直接向对方发起短信轰炸。最重要的是,整个过程你一分钱都不用花,是真真正正的零成本。”在低门槛、零成本的诱惑下,一些不法商家愿意采取类似手段恶意骚扰客户。
建议:遭遇轰炸及时投诉不知名平台不留个人信息
例如在2021年9月初,福建泉州网安民警巡查中发现,有网民在境外即时通讯群组中售卖多款短信轰炸、软暴力催收软件。经过缜密侦查,网安部门成功挖掘出一个从批发商、销售商到买家的利用发卡平台对受害者精准实施短信轰炸的网络犯罪团伙。
2023年2月,四川遂宁大英县公安局网安大队根据省厅网安总队线索抓获犯罪嫌疑人熊某。经查,熊某通过修改从网上获取的短信轰炸源代码,劫持多个商业网站注册接口,编写短信轰炸软件并推广出售,非法获利10万余元。
2023年3月,湖南长沙市长沙县警方抓获犯罪嫌疑人朱某和。经审讯得知,2021年1月,朱某和因一次偶然机会接触到短信轰炸软件,见有利可图,便开始研究其背后原理,自行研发同类软件并对外出售。经查,犯罪嫌疑人朱某和共售卖软件200多人次,从中获利8000余元。
有网络安全专家指出,毫无疑问的是,构建“社工库”、提供短信轰炸服务均属违法行为。我国《网络安全法》已明确规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
有网络安全专家指出,这类短信轰炸行为单靠个人维权存在较大难度,建议遭遇骚扰的用户及时向运营商和12321网络不良与垃圾信息举报受理中心反映情况,或报警求助,交由专业人士进行侦查。
此外,网站平台可采用加强人机验证、限制单IP请求次数、限制用户短信请求间隔等方式保护自身短信接口。只要下发的短信无法实现“轰炸”效果,不法分子自然会放弃使用这一手段攻击目标用户。
不同运营商用户应急防护服务开通方式:
移动用户:可通过营业厅、10086热线或网上营业厅免费订购“短信炸弹”短信应急防护服务。开通该服务后,除10086开头短信号码,其他所有端口类短信均将被拦截。用户可根据自身需要设置防护服务有效期(默认一天,最长一年,最小防护单位为“天”)。