編輯：劉光昕

 “短信轟炸機(jī)”何以如此囂張

本是用于身份驗(yàn)證、防止垃圾注冊(cè)的手機(jī)短信驗(yàn)證碼，搖身一變反倒成了騷擾手機(jī)用戶的幫兇。

近期，不少用戶投訴，反映自己手機(jī)突然“抽風(fēng)”：在非本人操作情況下，每分鐘都收到幾條用自己手機(jī)號(hào)登錄注冊(cè)的驗(yàn)證碼短信，一天能接收數(shù)百條這樣的短信，不勝其擾。

月收3萬(wàn)余條騷擾驗(yàn)證碼

9月19日，有陳先生向記者透露，當(dāng)日17時(shí)至18時(shí)30分，手機(jī)突然接到40余條手機(jī)短信驗(yàn)證碼，短信號(hào)碼以“106”開頭，發(fā)送短信的平臺(tái)全是正規(guī)機(jī)構(gòu)，包括支付寶、騰訊科技、高德地圖、大眾點(diǎn)評(píng)、新浪新聞、餓了么、阿里巴巴、美團(tuán)網(wǎng)、途牛旅游網(wǎng)、58同城、百果園等。

根據(jù)陳先生反映的問(wèn)題，咨詢移動(dòng)公司得知，這屬于黑客程序“短信轟炸機(jī)”的惡意攻擊。這種軟件利用網(wǎng)站或APP的“發(fā)送手機(jī)驗(yàn)證碼”接口，可實(shí)現(xiàn)海量網(wǎng)站給同一個(gè)手機(jī)號(hào)碼發(fā)送多條驗(yàn)證碼信息。最厲害的“短信轟炸機(jī)”能1分鐘內(nèi)給同一個(gè)手機(jī)號(hào)發(fā)送超過(guò)100條短信。

不法分子用垃圾短信惡意騷擾并不鮮見。幾年前，就有浙江和廣東的手機(jī)用戶，因網(wǎng)購(gòu)中給商家“差評(píng)”遭對(duì)方用垃圾短信報(bào)復(fù)。公安機(jī)關(guān)接到報(bào)案后，曾挖出“短信轟炸機(jī)”背后的黑色產(chǎn)業(yè)利益鏈條，并逮捕了相關(guān)涉案人員。

如今，網(wǎng)上雖然赤裸裸的“短信轟炸”軟件不見蹤影，但不少刷好評(píng)、點(diǎn)贊、粉絲數(shù)量等刷單軟件具備短信轟炸功能。記者在軟件論壇，下載了多款用于淘寶、新浪、陌陌等網(wǎng)站用戶賬號(hào)注冊(cè)、驗(yàn)證的小程序，這些軟件在“參數(shù)設(shè)置”選項(xiàng)上，都具備自動(dòng)復(fù)制手機(jī)號(hào)、自動(dòng)復(fù)制短信、每5秒自動(dòng)獲取驗(yàn)證碼等功能。

一位網(wǎng)站維護(hù)工程師告訴記者，對(duì)專業(yè)人士而言，制作“短信轟炸機(jī)”程序非常簡(jiǎn)單，集成海量網(wǎng)站短信驗(yàn)證碼接口鏈接，再循環(huán)利用指定手機(jī)號(hào)發(fā)送用戶注冊(cè)、密碼修改等正常驗(yàn)證碼請(qǐng)求，便可達(dá)到騷擾的目的。

束手無(wú)策，運(yùn)營(yíng)商只能暫停用戶驗(yàn)證短信接收功能

對(duì)于廣告推銷類垃圾短信，通信運(yùn)營(yíng)商已有應(yīng)對(duì)之策。

通信管理局?jǐn)?shù)據(jù)顯示：2007年，垃圾短信問(wèn)題開始在我省“冒泡”。隨后，在主管部門要求下，運(yùn)營(yíng)商將原來(lái)3分錢至5分錢一條的廣告營(yíng)銷類短信，價(jià)格升至0.1元一條，并設(shè)置了每小時(shí)短信發(fā)送條數(shù)限制（不得超過(guò)500條）等技術(shù)門檻。

2015年以來(lái)，運(yùn)營(yíng)商與騰訊、360等企業(yè)合作，建立了垃圾短信攔截系統(tǒng)，通過(guò)關(guān)鍵字、多音字、諧音字、特殊符號(hào)等關(guān)聯(lián)分析，將短信來(lái)源列入黑名單，實(shí)現(xiàn)垃圾短信自動(dòng)攔截。

移動(dòng)公司一位技術(shù)專家表示，通過(guò)價(jià)格杠桿和技術(shù)手段，可逐步解決廣告推銷類垃圾短信，但驗(yàn)證碼短信基本來(lái)自運(yùn)營(yíng)商監(jiān)控“白名單”里的平臺(tái)（微博、支付寶等），運(yùn)營(yíng)商很難甄別用戶手機(jī)是正常登錄驗(yàn)證行為，還是不法分子用“短信轟炸機(jī)”的惡意騷擾行為。

不堪其擾的陳先生通過(guò)咨詢，編輯短信502發(fā)送給10086，開通“短信炸彈防護(hù)功能”后，驗(yàn)證碼騷擾短信才得以終止。但是，該防護(hù)功能是把“雙刃劍”，相當(dāng)于運(yùn)營(yíng)商關(guān)閉用戶驗(yàn)證短信接收功能，這會(huì)影響用戶的銀行交易、電商購(gòu)物等正常驗(yàn)證碼使用。

“目前，業(yè)界還沒(méi)有有效的攔截手段。” 電信公司技術(shù)專家表示，運(yùn)營(yíng)商服務(wù)器不可能被“短信轟炸機(jī)”攻擊，類似陳先生這樣被騷擾的用戶，一般是因手機(jī)號(hào)碼泄漏，遭到不法分子非法利用導(dǎo)致。在未經(jīng)過(guò)用戶許可的前提下，運(yùn)營(yíng)商不敢擅自關(guān)閉用戶的短信接收功能。

加強(qiáng)端口管控，驗(yàn)證碼防護(hù)體系亟待建立

通信管理局專家認(rèn)為，阻止“短信轟炸機(jī)”攻擊，可借鑒攔截騷擾電話經(jīng)驗(yàn)，通過(guò)大數(shù)據(jù)主動(dòng)識(shí)別特征，主動(dòng)標(biāo)記問(wèn)題手機(jī)號(hào)的異常登錄注冊(cè)行為，系統(tǒng)再根據(jù)攔截標(biāo)準(zhǔn)，進(jìn)行機(jī)器干預(yù)或人工干預(yù)。

目前“騷擾電話預(yù)警系統(tǒng)”可監(jiān)控用戶的通話行為，當(dāng)發(fā)現(xiàn)一個(gè)號(hào)碼1小時(shí)內(nèi)通話次數(shù)超過(guò)100次，且多數(shù)通話時(shí)長(zhǎng)不超過(guò)10秒鐘，系統(tǒng)就能智能分析，自主生成騷擾電話號(hào)碼庫(kù)，實(shí)現(xiàn)系統(tǒng)主動(dòng)攔截。“現(xiàn)在的難點(diǎn)在于確定標(biāo)準(zhǔn)，如同一手機(jī)號(hào)在單位時(shí)間內(nèi)接收多少驗(yàn)證碼屬于騷擾等，這需要行業(yè)主管部門與運(yùn)營(yíng)商協(xié)同完成，目前公司已啟動(dòng)專題技術(shù)調(diào)研。”湖北移動(dòng)公司技術(shù)人員透露。

目前，全國(guó)每年各類APP、網(wǎng)站發(fā)送的短信驗(yàn)證碼條數(shù)在1000億至2000億條，接收短信的用戶雖然不用掏錢，但這些APP、網(wǎng)站的運(yùn)營(yíng)企業(yè)需要向通信運(yùn)營(yíng)商繳納每條3分錢至5分錢的費(fèi)用，若有“短信轟炸機(jī)”惡意發(fā)送驗(yàn)證碼，不但騷擾了用戶，也增加了企業(yè)不必要的資費(fèi)開支。

目前APP、網(wǎng)站的運(yùn)營(yíng)企業(yè)在收到攻擊后，在用戶輸入手機(jī)號(hào)發(fā)送驗(yàn)證碼前，增加數(shù)字、圖片、行為等“二次驗(yàn)證”，以及限制單IP請(qǐng)求次數(shù)、發(fā)送驗(yàn)證條數(shù)等，但這些無(wú)疑會(huì)降低用戶的體驗(yàn)，北京新昕科技有限公司聯(lián)合各大短信服務(wù)商推出的“企業(yè)短信防火墻”在不影響用戶體驗(yàn)的前提下，可以有效攔截短信轟炸。

“變態(tài)”驗(yàn)證能防“短信轟炸”？考驗(yàn)人類智商和毅力？

   注重用戶體驗(yàn)的互聯(lián)網(wǎng)，出現(xiàn)“變態(tài)”驗(yàn)證碼是為安全讓步 ，AI技術(shù)的提高，使各種驗(yàn)證碼如同“皇帝的新裝”，更無(wú)法防“短信轟炸” 。

    新昕科技 www.newxtc.com ，創(chuàng)始團(tuán)隊(duì)來(lái)自百度旗下去哪兒、易寶支付、聯(lián)動(dòng)優(yōu)勢(shì)、高陽(yáng)捷訊(19pay)等支付及航旅知名企業(yè)，歷時(shí)3年時(shí)間，在價(jià)值百萬(wàn)的風(fēng)控引擎基礎(chǔ)上 ，訓(xùn)練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗(yàn)”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗(yàn)，無(wú)需為安全讓步。

  1）無(wú)感：去類12306、對(duì)缺口拼圖、拖動(dòng)等所謂人機(jī)驗(yàn)證有感方式。 

化繁為簡(jiǎn)，簡(jiǎn)單到只需輸入手機(jī)號(hào)，還產(chǎn)品本來(lái)面目

  2）保障：攻防對(duì)抗大數(shù)據(jù)訓(xùn)練的 AI模型，去前端交互驗(yàn)證方式，后端防御確保短信安全。

     比如，同一個(gè)IP ，即使有1萬(wàn)個(gè)正常用戶同時(shí)共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

      反之，攻擊者控制1萬(wàn)臺(tái)主機(jī)，1萬(wàn)個(gè)不同IP、手機(jī)，也保證攔截，但常規(guī)的防控對(duì)此無(wú)能為力。

    如何做到的， 基于三層AI防御體系，

     “報(bào)文對(duì)抗層” 在最外層應(yīng)用加解密及混淆技術(shù)，對(duì)抗普通的攻擊，

     “蜂窩防護(hù)層” 由時(shí)空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

     “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動(dòng)啟停并進(jìn)行動(dòng)態(tài)控制。

  3）高效：價(jià)值百萬(wàn)的風(fēng)控引擎濃縮的10M “短信防火墻”安裝包，本地部署運(yùn)行，毫秒級(jí)響應(yīng)。

避免“云模式”的網(wǎng)絡(luò)延時(shí)問(wèn)題，導(dǎo)致滑動(dòng)條出不來(lái)等情況

關(guān)鍵技術(shù)說(shuō)明：

    “懸浮式指標(biāo)引擎”：加載AI模型，懸浮于磁盤超高速運(yùn)行，隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計(jì)指標(biāo)，提供給決策引擎做進(jìn)一步分析處理，

 “決策引擎”：加載“短信防轟炸”AI模型和指標(biāo)后，和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后，輸出風(fēng)險(xiǎn)結(jié)果，響應(yīng)速度達(dá)到恐怖的1毫秒。

總結(jié)：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗(yàn)證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗(yàn)差、毫無(wú)安全性可言的圖片驗(yàn)證碼將退出歷史舞臺(tái)，未來(lái)將會(huì)是安全與體驗(yàn)雙重保障的驗(yàn)證碼的時(shí)代。