报复0成本用户很难防……起底“短信轰炸”内幕

  监测发现，近期国内多个社交平台上有网友反映遭遇短信轰炸，一天多达数百条，不胜其扰。在某消费投诉反馈平台上以关键词“差评+轰炸”检索，发现超300条相关投诉。投诉案例集中反映，消费者由于网购商品质量上的问题、协商退款退货难等而给商家打“差评”，随后就遭遇短信轰炸等恶意骚扰。

  其中，多名网友反映其收到的轰炸短信为来自不同网站的登录验证码，其中不乏知名银行、保险公司、电信运营商等平台。不少网友因此担心其个人隐私信息可能遭遇泄露。

  这些验证码短信从何而来？有网络安全专业的人介绍，这类短信轰炸主要是通过劫持网站短信接口实现——

  不法分子使用恶意代码劫持多个正规网站的短信验证登录接口，就可以同时利用多个网站的短信验证登录功能，向特定手机号码连续发送大量验证码短信，实现轰炸效果。

  网络安全专家解释称，这类劫持行为一般只触及短信接口，不会直接入侵网站。但若用户手机同时安装了可窃取短信内容的不良应用，或手机附近存在短信嗅探设备，网站下发的验证码就可能被不法分子获取，进而使用户账号被入侵。

  网络安全专家还表示，尽管公安部门长期对这类网络违法犯罪保持高压严打态势，不少网站也已采取多项安全措施防范劫持行为。但只要网站提供“短信验证登录”功能，代码的工作原理就依然有效。不法分子仍可对代码加以改进或另寻其他防护不到位的接口继续实现劫持。

  更令人担忧的是，类似的恶意代码实际上并不复杂，其中不少关键内容已在网络上直接公开，近年甚至会出现免费工具包和在线轰炸页面。如今不只专业的灰黑产团伙，就连不掌握有关专业知识的普通网民，也可随意使用类似工具，实现“一键轰炸”。

  在公安部门对违背法律规定的行为的持续打击下，如今搜索“呼死你”“轰炸”等关键词，已很难寻觅到与短信轰炸相关的软件或商家。但若更换为一些新兴关键词进行搜索，就可发现不少与短信轰炸相关的恶意代码仍在网络上公开流传。

  甚至有部分网民以所谓“技术探讨研究”“学习分享”等名义，将相关恶意代码与被劫持的短信接口打包部署，制作成可供访问者免费使用的短信轰炸网站。访问者只需输入目标手机号码，即可自行对该号码启动短信轰炸。

  当研究员使用个人手机号码对其中一个提供在线轰炸的网站页面来测试时发现，仅在一分钟内，研究员的手机就收到了10条验证码短信。从内容来看，这些短信分别来自手机运营商、网络公司、在线教育等多个知名平台。

  短信轰炸，其实现方式始终是向手机号码发送大量短信。那么是否只要隐藏好自己的真实手机号码，就能避免骚扰？答案可能令人失望。

  有网友反映，自己已使用电商或物流平台提供的隐私号码保护服务，商家理应无法知晓其真实号码，但仍遭遇短信轰炸；甚至有网友称自己仅在社交平台发帖表达对某一产品或商家的不满，在未透露具体订单信息的情况下同样遭遇精准的短信轰炸，对商家获取个人隐私信息的手段感到疑惑。

  随着相关灰黑产业链持续不断的发展，一些不法分子已将短信轰炸技术与“社工库”相结合，形成从人肉搜索到打击报复的“一条龙服务”。

  所谓“社工库”，指“社会工程学数据库”，是黑客通过攻击网站、欺诈用户等手段获取大量个人隐私数据，再整合分析、集中归档形成的数据库。

  比如某个提供在线短信轰炸的网站，同时接入了一个免费查询的“社工库”，为用户更好的提供“QQ反查”“微博反查”等服务。用户只需输入QQ号码或微博ID，即可检索到该账号绑定的手机号码，进而对目标发起短信轰炸。

  关于这类免费“社工库”，有网络安全专家这样认为，这应该是一些早年间泄露的网站数据，由于经历多次交易，灰黑产行业内几乎“人手一份”，难以继续出售牟利。因此有一些灰黑产团伙将其主动公开，用于吸引流量、招徕顾客。

  该名网络安全专家强调，虽然这些免费“社工库”在灰黑产团伙眼里“不值钱”，但其中依然包含大量个人隐私信息，存在巨大的数据安全风险。

  网络安全专家坦言，近年来，一些灰黑产团伙为彰显实力、招揽生意，有意用免费“社工库”、短信轰炸等低成本工具吸引客户，再引诱用户购买更多付费服务。

  “你不需要学习任何的技术知识，只要掌握对方一个社交账号的名称，就能快速查到对方的真实联系方式；再点一下鼠标，还能直接向对方发起短信轰炸。最重要的是，整一个完整的过程你一分钱都不用花，是真真正正的零成本。”在低门槛、零成本的诱惑下，一些不法商家愿意采取类似手段恶意骚扰客户。

  福建泉州网安民警巡查中发现，有网民在境外即时通讯群组中售卖多款短信轰炸、软暴力催收软件。经过缜密侦查，网安部门成功挖掘出一个从批发商、销售商到买家的利用发卡平台对受害者精准实施短信轰炸的网络犯罪团伙。

  四川遂宁大英县公安局网安大队根据省厅网安总队线索抓获嫌疑犯熊某。经查，熊某经过仔细修改从网上获取的短信轰炸源代码，劫持多个商业网站注册接口，编写短信轰炸软件并推广出售，非法获利10万余元。

  湖南长沙市长沙县警方抓获嫌疑犯朱某和。经审讯得知，2021年1月，朱某和因一次偶然机会接触到短信轰炸软件，见有利可图，便开始研究其背后原理，自行研发同类软件并对外出售。经查，嫌疑犯朱某和共售卖软件200多人次，从中获利8000余元。

  我国《网络安全法》已明确规定，任何个人和组织不可以从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。

  但是，由于早年间国内外不少网站对数据安全重视程度不足，发生过多起信息泄露事件，很多数据库经历多次流转，已很难追寻源头并封堵。同样，短信验证码给手机用户所带来不少便利，若为解决短信轰炸问题而禁止该功能，似乎是“因噎废食”。在如何治理相关违法犯罪问题方面，仍需平台企业、公安部门集思广益、谋划良策。

  有网络安全有经验的人指出，这类短信轰炸行为单靠个人维权存在比较大难度，建议遭遇骚扰的用户及时向运营商与12321网络不良与垃圾信息举报受理中心反映情况，或报警求助，交由专业技术人员进行侦查。

  若遭遇短信或电线网络不良与垃圾信息举报受理中心（），选择“投诉短信/电话轰炸”，填写投诉信息。

  同时，互联网用户平时要养成保护个人隐私的意识，一些不知名的网络站点平台尽量不留身份、住址、电话等个人隐私信息，以免信息泄露。

  此外，网站平台可采用加强人机验证、限制单IP请求次数、限制用户短信请求间隔等方式保护自身短信接口。只要下发的短信没办法实现“轰炸”效果，不法分子自然会放弃使用这一手段攻击目标用户。