驗證碼成騷擾工具 ,“無感”AI防火墻完美解決“短信轟炸” 

“短信轟炸機”何以如此囂張

本是用于身份驗證、防止垃圾注冊的手機短信驗證碼，搖身一變反倒成了騷擾手機用戶的幫兇。

近期，不少用戶投訴，反映自己手機突然“抽風”：在非本人操作情況下，每分鐘都收到幾條用自己手機號登錄注冊的驗證碼短信，一天能接收數(shù)百條這樣的短信，不勝其擾。

月收3萬余條騷擾驗證碼

9月19日，有陳先生向記者透露，當日17時至18時30分，手機突然接到40余條手機短信驗證碼，短信號碼以“106”開頭，發(fā)送短信的平臺全是正規(guī)機構(gòu)，包括支付寶、騰訊科技、高德地圖、大眾點評、新浪新聞、餓了么、阿里巴巴、美團網(wǎng)、途牛旅游網(wǎng)、58同城、百果園等。

根據(jù)陳先生反映的問題，咨詢移動公司得知，這屬于黑客程序“短信轟炸機”的惡意攻擊。這種軟件利用網(wǎng)站或APP的“發(fā)送手機驗證碼”接口，可實現(xiàn)海量網(wǎng)站給同一個手機號碼發(fā)送多條驗證碼信息。最厲害的“短信轟炸機”能1分鐘內(nèi)給同一個手機號發(fā)送超過100條短信。

不法分子用垃圾短信惡意騷擾并不鮮見。幾年前，就有浙江和廣東的手機用戶，因網(wǎng)購中給商家“差評”遭對方用垃圾短信報復(fù)。公安機關(guān)接到報案后，曾挖出“短信轟炸機”背后的黑色產(chǎn)業(yè)利益鏈條，并逮捕了相關(guān)涉案人員。

如今，網(wǎng)上雖然赤裸裸的“短信轟炸”軟件不見蹤影，但不少刷好評、點贊、粉絲數(shù)量等刷單軟件具備短信轟炸功能。記者在軟件論壇，下載了多款用于淘寶、新浪、陌陌等網(wǎng)站用戶賬號注冊、驗證的小程序，這些軟件在“參數(shù)設(shè)置”選項上，都具備自動復(fù)制手機號、自動復(fù)制短信、每5秒自動獲取驗證碼等功能。

一位網(wǎng)站維護工程師告訴記者，對專業(yè)人士而言，制作“短信轟炸機”程序非常簡單，集成海量網(wǎng)站短信驗證碼接口鏈接，再循環(huán)利用指定手機號發(fā)送用戶注冊、密碼修改等正常驗證碼請求，便可達到騷擾的目的。

束手無策，運營商只能暫停用戶驗證短信接收功能

對于廣告推銷類垃圾短信，通信運營商已有應(yīng)對之策。

通信管理局數(shù)據(jù)顯示：2007年，垃圾短信問題開始在我省“冒泡”。隨后，在主管部門要求下，運營商將原來3分錢至5分錢一條的廣告營銷類短信，價格升至0.1元一條，并設(shè)置了每小時短信發(fā)送條數(shù)限制（不得超過500條）等技術(shù)門檻。

2015年以來，運營商與騰訊、360等企業(yè)合作，建立了垃圾短信攔截系統(tǒng)，通過關(guān)鍵字、多音字、諧音字、特殊符號等關(guān)聯(lián)分析，將短信來源列入黑名單，實現(xiàn)垃圾短信自動攔截。

移動公司一位技術(shù)專家表示，通過價格杠桿和技術(shù)手段，可逐步解決廣告推銷類垃圾短信，但驗證碼短信基本來自運營商監(jiān)控“白名單”里的平臺（微博、支付寶等），運營商很難甄別用戶手機是正常登錄驗證行為，還是不法分子用“短信轟炸機”的惡意騷擾行為。

不堪其擾的陳先生通過咨詢，編輯短信502發(fā)送給10086，開通“短信炸彈防護功能”后，驗證碼騷擾短信才得以終止。但是，該防護功能是把“雙刃劍”，相當于運營商關(guān)閉用戶驗證短信接收功能，這會影響用戶的銀行交易、電商購物等正常驗證碼使用。

“目前，業(yè)界還沒有有效的攔截手段。” 電信公司技術(shù)專家表示，運營商服務(wù)器不可能被“短信轟炸機”攻擊，類似陳先生這樣被騷擾的用戶，一般是因手機號碼泄漏，遭到不法分子非法利用導(dǎo)致。在未經(jīng)過用戶許可的前提下，運營商不敢擅自關(guān)閉用戶的短信接收功能。

加強端口管控，驗證碼防護體系亟待建立

通信管理局專家認為，阻止“短信轟炸機”攻擊，可借鑒攔截騷擾電話經(jīng)驗，通過大數(shù)據(jù)主動識別特征，主動標記問題手機號的異常登錄注冊行為，系統(tǒng)再根據(jù)攔截標準，進行機器干預(yù)或人工干預(yù)。

目前“騷擾電話預(yù)警系統(tǒng)”可監(jiān)控用戶的通話行為，當發(fā)現(xiàn)一個號碼1小時內(nèi)通話次數(shù)超過100次，且多數(shù)通話時長不超過10秒鐘，系統(tǒng)就能智能分析，自主生成騷擾電話號碼庫，實現(xiàn)系統(tǒng)主動攔截。“現(xiàn)在的難點在于確定標準，如同一手機號在單位時間內(nèi)接收多少驗證碼屬于騷擾等，這需要行業(yè)主管部門與運營商協(xié)同完成，目前公司已啟動專題技術(shù)調(diào)研。”湖北移動公司技術(shù)人員透露。

目前，全國每年各類APP、網(wǎng)站發(fā)送的短信驗證碼條數(shù)在1000億至2000億條，接收短信的用戶雖然不用掏錢，但這些APP、網(wǎng)站的運營企業(yè)需要向通信運營商繳納每條3分錢至5分錢的費用，若有“短信轟炸機”惡意發(fā)送驗證碼，不但騷擾了用戶，也增加了企業(yè)不必要的資費開支。

目前APP、網(wǎng)站的運營企業(yè)在收到攻擊后，在用戶輸入手機號發(fā)送驗證碼前，增加數(shù)字、圖片、行為等“二次驗證”，以及限制單IP請求次數(shù)、發(fā)送驗證條數(shù)等，但這些無疑會降低用戶的體驗，北京新昕科技有限公司聯(lián)合各大短信服務(wù)商推出的“企業(yè)短信防火墻”在不影響用戶體驗的前提下，可以有效攔截短信轟炸。

“變態(tài)”驗證能防“短信轟炸”？考驗人類智商和毅力？

   注重用戶體驗的互聯(lián)網(wǎng)，出現(xiàn)“變態(tài)”驗證碼是為安全讓步 ，AI技術(shù)的提高，使各種驗證碼如同“皇帝的新裝”，更無法防“短信轟炸” 。

  新昕科技 www.newxtc.com ，創(chuàng)始團隊來自百度旗下去哪兒、易寶支付、聯(lián)動優(yōu)勢、高陽捷訊(19pay)等支付及航旅知名企業(yè)，歷時3年時間，在價值百萬的風控引擎基礎(chǔ)上 ，訓(xùn)練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗，無需為安全讓步。

  1）無感：去類12306、對缺口拼圖、拖動等所謂人機驗證有感方式。 

化繁為簡，簡單到只需輸入手機號，還產(chǎn)品本來面目

  2）保障：攻防對抗大數(shù)據(jù)訓(xùn)練的 AI模型，去前端交互驗證方式，后端防御確保短信安全。

     比如，同一個IP ，即使有1萬個正常用戶同時共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

      反之，攻擊者控制1萬臺主機，1萬個不同IP、手機，也保證攔截，但常規(guī)的防控對此無能為力。

    如何做到的， 基于三層AI防御體系，

     “報文對抗層” 在最外層應(yīng)用加解密及混淆技術(shù)，對抗普通的攻擊，

     “蜂窩防護層” 由時空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

     “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動啟停并進行動態(tài)控制。

  3）高效：價值百萬的風控引擎濃縮的10M “短信防火墻”安裝包，本地部署運行，毫秒級響應(yīng)。

避免“云模式”的網(wǎng)絡(luò)延時問題，導(dǎo)致滑動條出不來等情況

關(guān)鍵技術(shù)說明：

    “懸浮式指標引擎”：加載AI模型，懸浮于磁盤超高速運行，隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計指標，提供給決策引擎做進一步分析處理，

 “決策引擎”：加載“短信防轟炸”AI模型和指標后，和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后，輸出風險結(jié)果，響應(yīng)速度達到恐怖的1毫秒。

總結(jié)：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗差、毫無安全性可言的圖片驗證碼將退出歷史舞臺，未來將會是安全與體驗雙重保障的驗證碼的時代。