腾讯守护者计划安全团队主动出击致力于保护用户信息安全
短信轰炸技术原理
由于目前“短信轰炸”软件的生产成本低,这让越来越多的黑产倾向于云化改造——在境外的云主机上直接以低廉价格购买云服务,再通过发卡平台购买短信“轰炸”网站模板。其中,购买海外云主机的成本每个月需20元至30元,一个有3个月程序开发基础的“脚本小子”能在4小时内完成一个“短信轰炸”网站的部署和上线,每月成本不足50元,但非法获得的收入却可超过数千元。
腾讯安全平台部高级研究员程斐然介绍,“短信轰炸”已形成较完善的产业链。运作“短信轰炸”依赖于技术开发者、网站或APP运营者与使用者三类群体。其中,技术开发者负责分析发现未采取防护措施的短信接口,编写代码调用接口并将其产品化;网站或APP运营者负责前端开发,帮助使用者便捷使用和付费,甚至通过代理商分发模式大肆售卖;使用者在相应的网站或APP购买服务,输入“被轰炸”用户的手机号即可通过调用前述短信接口发起攻击。
据腾讯安全平台部对此类风险软件的深入调查,目前市面上可搜到的“短信轰炸”网站约有3000余个,有超过5000个的短信接口疑似被用于实施“短信轰炸”,接口类型包括各大互联网企业、运营商对外服务端口,甚至有政府服务类网站,这无疑严重影响正规企业网站的短信验证码功能,有损企业形象,增加了企业不必要的费用开支。
“短信轰炸”为何难治理?
大部分的网站和移动应用APP在注册时需要手机号码获取验证码短信,利用短信验证鉴别手机号是否属于用户本人。然而,这种验证方式背后却有许多安全隐患。其中最主要的一种就是黑产利用各类平台的短信验证接口进行短信轰炸。
在下发验证码前加一层校验,可以有效地防止黑产恶意利用,但此时,企业也需要承担用户流失的风险,因为多加一步动作,就意味着用户转化率可能降低。
另一方面,由于这类“短信轰炸”模式利用的是海量网站,这就意味着传统单业务线频控的安全策略对这种模式无效,即便被调用短信接口的企业有防范措施,但因该类网站或软件一般集成的短信发送接口都会放在本机上调用,造成防护措施只会对当前使用网站或软件的作恶人员IP有用,其他不同IP不受限制。有些“短信轰炸”软件为了提高可用度,会在软件内置代理IP绕过短信接口的限制,达到无限制对外发送大量短信的目的。
破局“短信轰炸”主动出击才是上策
面对防不胜防的“短信轰炸”,需由被动防御走向主动治理,腾讯守护者计划安全团队针对企业从源头上防范“短信轰炸”黑产提供了几点建议。首先,对被黑产利用的验证码接口增加人机验证,如图形验证码等基础防范策略,提高黑产团队恶意利用接口的门槛,压缩黑产生存空间。腾讯验证码能根据用户多维环境因素,精确区分可信、可疑和恶意用户,弹出不同的验证方式,带来更精细化的验证体验。