短信轟炸”克星 -“無感”AI防火墻完美解決方案
驗證碼成騷擾工具 ,“無感”AI防火墻完美解決“短信轟炸”
“短信轟炸機”何以如此囂張
本是用于身份驗證、防止垃圾注冊的手機短信驗證碼,搖身一變反倒成了騷擾手機用戶的幫兇。
近期,不少用戶投訴,反映自己手機突然“抽風”:在非本人操作情況下,每分鐘都收到幾條用自己手機號登錄注冊的驗證碼短信,一天能接收數(shù)百條這樣的短信,不勝其擾。
月收3萬余條騷擾驗證碼
9月19日,有陳先生向記者透露,當日17時至18時30分,手機突然接到40余條手機短信驗證碼,短信號碼以“106”開頭,發(fā)送短信的平臺全是正規(guī)機構(gòu),包括支付寶、騰訊科技、高德地圖、大眾點評、新浪新聞、餓了么、阿里巴巴、美團網(wǎng)、途牛旅游網(wǎng)、58同城、百果園等。
根據(jù)陳先生反映的問題,咨詢移動公司得知,這屬于黑客程序“短信轟炸機”的惡意攻擊。這種軟件利用網(wǎng)站或APP的“發(fā)送手機驗證碼”接口,可實現(xiàn)海量網(wǎng)站給同一個手機號碼發(fā)送多條驗證碼信息。最厲害的“短信轟炸機”能1分鐘內(nèi)給同一個手機號發(fā)送超過100條短信。
不法分子用垃圾短信惡意騷擾并不鮮見。幾年前,就有浙江和廣東的手機用戶,因網(wǎng)購中給商家“差評”遭對方用垃圾短信報復(fù)。公安機關(guān)接到報案后,曾挖出“短信轟炸機”背后的黑色產(chǎn)業(yè)利益鏈條,并逮捕了相關(guān)涉案人員。
如今,網(wǎng)上雖然赤裸裸的“短信轟炸”軟件不見蹤影,但不少刷好評、點贊、粉絲數(shù)量等刷單軟件具備短信轟炸功能。記者在軟件論壇,下載了多款用于淘寶、新浪、陌陌等網(wǎng)站用戶賬號注冊、驗證的小程序,這些軟件在“參數(shù)設(shè)置”選項上,都具備自動復(fù)制手機號、自動復(fù)制短信、每5秒自動獲取驗證碼等功能。
一位網(wǎng)站維護工程師告訴記者,對專業(yè)人士而言,制作“短信轟炸機”程序非常簡單,集成海量網(wǎng)站短信驗證碼接口鏈接,再循環(huán)利用指定手機號發(fā)送用戶注冊、密碼修改等正常驗證碼請求,便可達到騷擾的目的。
束手無策,運營商只能暫停用戶驗證短信接收功能
對于廣告推銷類垃圾短信,通信運營商已有應(yīng)對之策。
通信管理局數(shù)據(jù)顯示:2007年,垃圾短信問題開始在我省“冒泡”。隨后,在主管部門要求下,運營商將原來3分錢至5分錢一條的廣告營銷類短信,價格升至0.1元一條,并設(shè)置了每小時短信發(fā)送條數(shù)限制(不得超過500條)等技術(shù)門檻。
2015年以來,運營商與騰訊、360等企業(yè)合作,建立了垃圾短信攔截系統(tǒng),通過關(guān)鍵字、多音字、諧音字、特殊符號等關(guān)聯(lián)分析,將短信來源列入黑名單,實現(xiàn)垃圾短信自動攔截。
移動公司一位技術(shù)專家表示,通過價格杠桿和技術(shù)手段,可逐步解決廣告推銷類垃圾短信,但驗證碼短信基本來自運營商監(jiān)控“白名單”里的平臺(微博、支付寶等),運營商很難甄別用戶手機是正常登錄驗證行為,還是不法分子用“短信轟炸機”的惡意騷擾行為。
不堪其擾的陳先生通過咨詢,編輯短信502發(fā)送給10086,開通“短信炸彈防護功能”后,驗證碼騷擾短信才得以終止。但是,該防護功能是把“雙刃劍”,相當于運營商關(guān)閉用戶驗證短信接收功能,這會影響用戶的銀行交易、電商購物等正常驗證碼使用。
“目前,業(yè)界還沒有有效的攔截手段。” 電信公司技術(shù)專家表示,運營商服務(wù)器不可能被“短信轟炸機”攻擊,類似陳先生這樣被騷擾的用戶,一般是因手機號碼泄漏,遭到不法分子非法利用導(dǎo)致。在未經(jīng)過用戶許可的前提下,運營商不敢擅自關(guān)閉用戶的短信接收功能。
加強端口管控,驗證碼防護體系亟待建立
通信管理局專家認為,阻止“短信轟炸機”攻擊,可借鑒攔截騷擾電話經(jīng)驗,通過大數(shù)據(jù)主動識別特征,主動標記問題手機號的異常登錄注冊行為,系統(tǒng)再根據(jù)攔截標準,進行機器干預(yù)或人工干預(yù)。
目前“騷擾電話預(yù)警系統(tǒng)”可監(jiān)控用戶的通話行為,當發(fā)現(xiàn)一個號碼1小時內(nèi)通話次數(shù)超過100次,且多數(shù)通話時長不超過10秒鐘,系統(tǒng)就能智能分析,自主生成騷擾電話號碼庫,實現(xiàn)系統(tǒng)主動攔截。“現(xiàn)在的難點在于確定標準,如同一手機號在單位時間內(nèi)接收多少驗證碼屬于騷擾等,這需要行業(yè)主管部門與運營商協(xié)同完成,目前公司已啟動專題技術(shù)調(diào)研。”湖北移動公司技術(shù)人員透露。
目前,全國每年各類APP、網(wǎng)站發(fā)送的短信驗證碼條數(shù)在1000億至2000億條,接收短信的用戶雖然不用掏錢,但這些APP、網(wǎng)站的運營企業(yè)需要向通信運營商繳納每條3分錢至5分錢的費用,若有“短信轟炸機”惡意發(fā)送驗證碼,不但騷擾了用戶,也增加了企業(yè)不必要的資費開支。
目前APP、網(wǎng)站的運營企業(yè)在收到攻擊后,在用戶輸入手機號發(fā)送驗證碼前,增加數(shù)字、圖片、行為等“二次驗證”,以及限制單IP請求次數(shù)、發(fā)送驗證條數(shù)等,但這些無疑會降低用戶的體驗,北京新昕科技有限公司聯(lián)合各大短信服務(wù)商推出的“企業(yè)短信防火墻”在不影響用戶體驗的前提下,可以有效攔截短信轟炸。
“變態(tài)”驗證能防“短信轟炸”?考驗人類智商和毅力?
注重用戶體驗的互聯(lián)網(wǎng),出現(xiàn)“變態(tài)”驗證碼是為安全讓步 ,AI技術(shù)的提高,使各種驗證碼如同“皇帝的新裝”,更無法防“短信轟炸” 。
|
|
|
|
新昕科技 www.newxtc.com ,創(chuàng)始團隊來自百度旗下去哪兒、易寶支付、聯(lián)動優(yōu)勢、高陽捷訊(19pay)等支付及航旅知名企業(yè),歷時3年時間,在價值百萬的風控引擎基礎(chǔ)上 ,訓(xùn)練出“防短信轟炸”智能模型,徹底解決“安全”與“用戶體驗”的矛盾,產(chǎn)品經(jīng)理只需專注用戶體驗,無需為安全讓步。
1)無感:去類12306、對缺口拼圖、拖動等所謂人機驗證有感方式。
化繁為簡,簡單到只需輸入手機號,還產(chǎn)品本來面目
2)保障:攻防對抗大數(shù)據(jù)訓(xùn)練的 AI模型,去前端交互驗證方式,后端防御確保短信安全。
比如,同一個IP ,即使有1萬個正常用戶同時共同使用,可以確保放行,但常規(guī)的防控大多數(shù)被誤攔。
反之,攻擊者控制1萬臺主機,1萬個不同IP、手機,也保證攔截,但常規(guī)的防控對此無能為力。
如何做到的, 基于三層AI防御體系,
“報文對抗層” 在最外層應(yīng)用加解密及混淆技術(shù),對抗普通的攻擊,
“蜂窩防護層” 由時空主體組成蜂窩,確保被攻擊后“蜂窩”之間互不影響,縮小受影響的范圍,
“安全氣囊” 在確保老用戶不受影響下, 根據(jù)攻擊規(guī)模自動啟停并進行動態(tài)控制。
3)高效:價值百萬的風控引擎濃縮的10M “短信防火墻”安裝包,本地部署運行,毫秒級響應(yīng)。
避免“云模式”的網(wǎng)絡(luò)延時問題,導(dǎo)致滑動條出不來等情況 |
關(guān)鍵技術(shù)說明:
“懸浮式指標引擎”:加載AI模型,懸浮于磁盤超高速運行,隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計指標,提供給決策引擎做進一步分析處理,
“決策引擎”:加載“短信防轟炸”AI模型和指標后,和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后,輸出風險結(jié)果,響應(yīng)速度達到恐怖的1毫秒。
總結(jié):隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié),保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗差、毫無安全性可言的圖片驗證碼將退出歷史舞臺,未來將會是安全與體驗雙重保障的驗證碼的時代。