“短信轰炸”黑产全链条曝光,小心企业网站成被盯上的“肉鸡”
图片来源@视觉中国
近日,广西壮族自治区来宾市公安局网安支队联合武宣警方,经过近两个月的奋战,成功破获广西首例短信轰炸案件。
今年6月,来宾市公安局网安支队接到举报,有人在互联网上搭建网站开展短信轰炸、游戏外挂等黑产违法犯罪行为。针对相关线索,来宾市公安局网安支队通过调查,最终锁定犯罪嫌疑人并实施抓捕行动。
经审讯,犯罪嫌疑人卓某健交代其代理短信轰炸(又称“呼死你”)等非法服务,并以发展下线转包服务的形式从中赚取差价牟利,截至被公安机关查获时,卓某健发展的下级代理人员已超过450人,其中仅河南开封的一个代理就购买服务并实施了短信轰炸500多万条。
“呼死你”是如何作案的?
“呼死你”短信轰炸作为一种非法的恶性骚扰行为,近年来严重侵害了用户个人权益,也对部分企业造成不良影响。不法分子利用轰炸软件,让目标用户手机短时间内接收到大量的验证短信,有甚者1分钟内可以向目标用户手机号发送上千条骚扰短信,持续以高密度短信发送形成“轰炸”效果,严重干扰了用户正常使用手机。
相关数据显示,目前短信轰炸黑产危害超2000个网站的3500多个验证码接口和2400多个短信接口,每天全网发生的轰炸短信多达160万余次。从开发非法软件,到交由运营人员进行渠道售卖,或通过多层级的代理下线发展有短信轰炸需求的人员,再到为其提供短信轰炸服务,短信轰炸俨然已经形成了一套完整的产业链,加之不少开发和运营者通过软件打包部署在云端服务器的方式,降低了终端人员的使用门槛和成本,更是促成了产业链的迅速扩大。
而短信轰炸链条中,普通用户只是受害者之一,被利用下发验证短信的企业也常常因此遭受企业利益损失和品牌信任危机。
部分企业网站的短信验证的安全防御能力不足,在被轰炸软件盯上后,企业网站如果不做出有效应对措施,将成为短信轰炸软件的“肉鸡”,频繁发出无意义的验证短信,不仅严重干扰网站正常的用户运营,影响运营判断,还可能因短信骚扰行为让用户对品牌产生信任危机。
据腾讯安全天御风控专家杨红介绍,实现“呼死你”的原理,是非法短信轰炸软件,通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到轰炸网站或者轰炸软件上,通过短时间访问大量网站,以正常申请短信验证服务的方式,将验证短信通过运营商的接口发送到目标用户的手机上。验证短信本身可能并没有潜在危害,但当同时数百上千条短信持续不断地涌入同一部手机,轰炸式的骚扰导致用户无法正常使用手机,严重侵犯了用户权益。
“呼死你”有了治理方案
由于黑产团伙隐蔽性强且产业链分散,短信轰炸案件破获难度较大。为了避免企业的发送短信接口(CGI接口)被不法分子利用,腾讯安全天御推出了号码认证替换短信认证和图形验证码等能力,在不损害用户体验的同时,帮助企业有效规避下行验证的风险。
腾讯安全天御团队通过分析被短信轰炸软件利用的网站,发现易遭受侵害的网站往往在短信验证风控方面较为缺失,通常表现为只需输入一个手机号,即可无阻碍成功请求短信验证码,或者安全验证机制容易被破解。在被短信轰炸软件盯上后,网站将成为不断发出骚扰短信的源头,对企业自身影响较大。因此,事前防治的关键是建立有效风控机制。
杨红建议,企业在服务端防控方面可以通过号码认证替换短信验证码,以上行验证方式规避下行验证的风险,用户登录时可一键验证本机号码,无需通过接收验证码做验证,首先在源头上规避被短信轰炸软件利用的风险。其次,部分特殊情况下,用户依然需要验证码登录时,企业可以通过“图形验证码”来对登录行为进行安全验证,过滤掉来自短信轰炸软件的机器批量请求。
在用户登录时,基于腾讯安全天御短信风控的智能大脑,能够毫秒级分辨登录用户是可信用户、可疑用户、恶意用户,并针对性为可信用户免验证提高用户体验,为可疑用户设置图形验证码,以及为恶意用户设置VTT动态语义验证,提供针对性验证提升服务安全性,让好人通过更轻松,机器作恶更困难。
除了风控的主动智能防御外,腾讯安全天御短信风控还能够为企业网站提供短信验证自我防御控制台,能够自主精准限制短信验证码频率,防止突发性短信轰炸问题发生,进一步加强验证码防盗刷能力。
通过一整套的智能分级和设备指纹、Pow认证、黑名单库等十项防护能力,以及短信验证自我防御控制台,腾讯安全天御短信风控系统能够助力企业网站实现安全和体验兼得。
除了帮助企业免遭黑产的利用,腾讯安全也致力于保护个人用户的权益。腾讯手机管家产品负责人戴月介绍,对于短信轰炸方面,腾讯手机管家的短信拦截引擎能力也进行了针对性升级,在骚扰验证码的判定拦截能力上,对于不含“验证码”关键词的隐性骚扰短信也结合语义分析打造和升级拦截模型,再配合拦截模型规则的动态云更新,能够有效识别短信轰炸行为并进行智能拦截。用户还可以通过腾讯手机管家APP的“一键拦截短信轰炸”功能,在遭受短信轰炸时,一键屏蔽验证码类短信,安全度过短信轰炸期。
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App
核心关键字: 互联网金融相关文章
-
滴滴禁闭百日:司机、用户与暗战
图片来源@视觉中国文丨光子星球,作者丨吴先之,编辑丨王潘西非的黑猩猩既聪明又残忍。每当旧王年老体衰时,其他猩猩会将它围殴致死然后分而食之,这么做的目的不仅仅是发泄积压已久的愤怒,还希望继承一部分“王者之气”。7月2日监管部门开始对滴滴进行审查,暂停新用户注册、下架APP等接踵而至。巨头被冰封,释放出巨大市场份额,虎视眈眈的竞争者们皆想分得一杯羹。被禁闭的100天里,滴滴被蚕食,只能在有限范围内应对...
2021-10-11 16:56:23 司机用户平台 -
用户生态数字化运营平台群脉SCRM连续获得两轮融资,金额合计近亿元
【猎云网北京】10月9日报道近日,用户生态数字化运营平台群脉SCRM正式宣布连续获得两轮融资,金额合计近亿元,最新一轮融资由兴富资本领投。2020年9月,群脉完成数千万元人民币A轮融资,由中亚资本领投,思科瑞新资本共同投资。据了解,本轮融资后,群脉的服务群体也将从大企业进一步延伸到腰部企业。群脉创始人兼CEO周萍表示,与大客户相比,腰部客户的数字化可能开始得较晚,他们更喜欢整体解决方案。群脉在服务...
2021-10-09 18:58:23 客户融资腰部 -
群脉科技获数千万元 B 轮投资, SaaS 产品矩阵赋能品牌方全域用户管理
近日,兴富资本旗下四期基金完成对上海群之脉信息科技有限公司(以下简称“群脉科技”)数千万元人民币B轮投资。群脉科技前身为群硕软件开发(上海)有限公司(以下简称“群硕软件”)的SCRM事业部。群硕软件成立于2003年,总部位于美国硅谷,在中国上海、武汉设有研发基地,主要为微软、万科、VIVO等企业的数字化变革提供软件产品和解决方案。群脉科技作为群硕软件事业部,自2015年起持续致力于为品牌方提供全域...
2021-10-09 09:56:48 科技软件企业 -
VC盯上一门新生意:涉及2.5亿用户
图片来源@视觉中国文|铅笔道,作者丨韩希言一部分VC已经开始爱上“戴”假发了。近日新锐假发饰品品牌“LUCYLEE”宣布完成数千万美金A轮融资,而这也是它成立一年内完成的第3轮融资。在“LUCYLEE”之前,还有妆发品牌“生气斑马”同样在成立8个月内完成3轮融资。VC频繁投资假发相关创业项目,难道说假发行业的春天已经到了?国内脱发人群超2.5亿,平均每6人中就有1人脱发。近几年,假发市场规模在不断...
2021-10-08 20:57:55 假发品牌行业 -
八行字,让用户为我花14个以太币
图片来源@bscnews钛媒体注:本文来源于微信公众号硅兔赛跑(ID:sv_race),作者丨江江,编辑丨蔓蔓周,钛媒体经授权发布。这么一张黑底白字的图片,你会花多少钱购买呢?来源:Opensea,Bag#693对于不了解Loot的人来说,这张不知所云的文字图很可能一文不值,但实际上,它的最新成交价为14ETH,折合47180美元,而这几乎只是同系列NFT作品中比较平价的一个。这些NFT来自于Lo...
2021-10-04 08:54:35 以太项目创始人 -
App Annie:2021 Q3 将成为有史以来全球下载量和用户支出表现最好的季度
以下内容来自AppAnnie:AppAnnie预估2021年第三季度的全球下载量将达360亿次,消费者支出将达240亿美元,成为有史以来表现最好的季度。当我们迈入2021年第三季度时,新冠肺炎疫情仍旧对消费者习惯有着很大影响。移动仍是人们的首选,可以看到移动领域的支出份额达到历史新高。移动已经成为消费者的中心,他们可以使用最便捷、最个性化和最信任的设备来管理自己的生活。在这一季度中,应用和游戏的支...
2021-09-30 13:54:54 下载量支出消费者 -
曹操、T3“加油”,烧来的用户能留多久?
图片来源@视觉中国文|新熵,作者|樟稻,编辑|伊页“战争”是移动互联网时代的主旋律。共享单车、社区团购、流量时代的入口之争、存量阶段的场景之战,战场中央,融资、裁员、并购,有人折戟沉沙,有人浴火重生。作为互联网大战中影响巨大的“战争”之一,网约车可以算是用时最久、耗资最多的一个细分行业,平台之间的竞争从2012年起持续数年之久,期间耗费数百亿美元抢夺市场份额。尘埃落定之后,现阶段,出行市场基本形成...
2021-09-29 19:54:05 平台烧钱订单 -
我并非看空B站,只是觉得它做不到4亿用户
文|表外表里,作者|郭丹纯、汪慧敏,编辑|付晓玲、闵知“文章里面对潜在用户的估算还行,但是就觉得缺了点什么。”表外表里《争议中的B站,摸到了天花板》一文发表后,有雪球用户如此留言道。而梳理更多类似的反馈之后,我们姑且将其理解为:大家认同文章中对B站2023年实现4亿MAU指引预期的怀疑态度,但缺乏详细论证的测算空间和数据,让大家对客观、准确性存疑。为了弥补这种遗(zhi)憾(yi),本文将通过对B...
2021-09-29 08:53:40 用户世代内容 -
小米公开跌倒检测专利,可避免造成用户行动不便
企查查APP显示,9月28日,北京小米松果电子有限公司、北京小米移动软件有限公司公开“跌倒检测方法、装置、电子设备和存储介质”专利,公开号为CN113450537A。企查查专利摘要显示,本公开通过跌倒检测模型对超声波发生器发射到环境中的超声波信号以及环境中的低频声波信号进行监测,来准确地确定环境中是否有人跌倒,检测效率高,能够避免造成用户行动不便,同时确保用户日常生活的舒适度。...
2021-09-28 09:57:42 环境小米超声波 -
400万美团用户成为“消费纠纷陪审员”,90后最热衷在网络上“评评理”
“一个人去吃鱼,团购98元套餐,他们说鱼太大要加钱……赶紧倒闭吧。”消费者打出一星差评,商家解释说,套餐是活鱼现杀,超出部分补差价,规则很清晰。究竟谁占理?在越来越多的消费者习惯线上预定线下消费后,每天有上千起消费纠纷也要在网络平台上解决。因此,越来越多的“公众陪审员”开始活跃在各大App中。根据美团平台规则,用户和商家遇到评价争议之后,可以向平台投诉,平台随机邀请用户加入小美陪审团,对评价争议集...
2021-09-27 16:59:10 陪审员用户陪审团
| 留言与评论(共有 0 条评论) |
