2016年上半年,我國(guó)移動(dòng)數(shù)據(jù)收首次超越移動(dòng)語音成為電信業(yè)中占比最大的業(yè)務(wù)。而隨著微信的普及,如今短信的存在感也越來越低,已淪為接受驗(yàn)證碼的工具。就是這樣一個(gè)似乎被人遺忘的功能,卻被黑產(chǎn)盯上......
1
回復(fù)TD即可退訂
網(wǎng)友一夜之間遭洗劫
兩年前的4月,一名北京網(wǎng)友M發(fā)布的“為什么一條短信就能騙走我所有的財(cái)產(chǎn)?”的文章在網(wǎng)絡(luò)引起關(guān)注。據(jù)M爆料,他在收到一條“訂閱增值業(yè)務(wù)”的短信,根據(jù)提示回復(fù)了“取消+驗(yàn)證碼”之后,半天之內(nèi)支付寶、銀行卡上的資金被席卷一空。
據(jù)反映,4月8日,在下班回家地鐵上。M的手機(jī)忽然收到一條短信:顯示來源為‘1065800’的號(hào)碼發(fā)來了一條短信雜志,這種垃圾雜志看多了,我第一反應(yīng)是回復(fù)‘TD’。該短信回復(fù)我‘發(fā)的指令不正確。
隨后M相繼收到顯示為“10086”,以及“10658139013816280086”發(fā)來的信息,提示已開通“中廣財(cái)經(jīng)半年包業(yè)務(wù)”,“如需退訂請(qǐng)編輯短信‘取消+校驗(yàn)碼’至本條短信退訂”。而在另一條顯示來源為“10086”的信息中,該用戶收到“尊敬的客戶,您的USIM卡6位驗(yàn)證碼為******”
在受到黑產(chǎn)給與的“訂購(gòu)”壓力下,M于是按照“官方”提示進(jìn)行了回復(fù)。隨后,M經(jīng)歷了人生中最大的絕望:
M的支付寶、支付寶所綁定的招商銀行賬戶,以及工商銀行賬戶陸續(xù)發(fā)生轉(zhuǎn)賬。甚至在緊急解綁銀行卡之后,發(fā)現(xiàn)密碼已被篡改,中國(guó)銀行、招商銀行網(wǎng)銀根本無法登錄。而另一邊,黑產(chǎn)已通過網(wǎng)銀,將M洗劫一空!
2
“官方”短信來自哪里
僅憑短信如何完成轉(zhuǎn)賬
首先是“106短信平臺(tái)”,該平臺(tái)是基于中國(guó)移動(dòng),聯(lián)通和電信直接提供的短信端口與互聯(lián)網(wǎng)連接實(shí)現(xiàn)與客戶指定號(hào)碼進(jìn)行短信批量發(fā)送和自定義發(fā)送的,它分為軟件客戶端CS 結(jié)構(gòu)和網(wǎng)絡(luò)共享版B/S 結(jié)構(gòu)。
大家可以翻下手機(jī),你收到的短信以10655開頭的是聯(lián)通,10657是移動(dòng),10659則是電信,再后面的兩位是城市代碼。
而這所謂的“官方”賬號(hào),其實(shí)是三大運(yùn)營(yíng)商將短信群發(fā)業(yè)務(wù)給到下有代理商手上的業(yè)務(wù)。而在某電商平臺(tái)上可以找到大量網(wǎng)店售賣,價(jià)格有的低至3分錢/條。
Magiccc聯(lián)系上了一家網(wǎng)店,對(duì)方表示,他們通過了三大運(yùn)營(yíng)商資質(zhì)審核的,并擁有正規(guī)的電信增值業(yè)務(wù)許可證。作為代發(fā)渠道,對(duì)方表示他們的業(yè)務(wù)能夠?qū)崿F(xiàn)國(guó)內(nèi)全網(wǎng)覆蓋,移動(dòng)、聯(lián)通、電信三網(wǎng),加上普通、170號(hào)段全覆蓋。并且能夠?qū)⑽姨峁┑挠脩粜畔ⅲM(jìn)行去重過濾、錯(cuò)號(hào)過濾以及二次過濾,保證信息在8秒鐘之內(nèi)到達(dá),并且7*24小時(shí)全天發(fā)送。
另外,順帶也了解下當(dāng)下一些代發(fā)短信的主流玩法:
常規(guī)的群發(fā)推送,不存在釣魚詐騙風(fēng)險(xiǎn)。只是存在回復(fù)無法退訂的情況。渠道商反饋,“退訂回T”僅僅一種方法,無實(shí)際效果。就算你回幾百遍‘T’,也無法退訂;
因?yàn)榇祟愰L(zhǎng)號(hào)發(fā)送的推銷短信,觸及商家、短信代發(fā)渠道和短信接收方(即用戶)三方。針對(duì)部分無良商家,如果用戶回復(fù)短信退訂,則會(huì)被系統(tǒng)認(rèn)為是活躍用戶,之后的推送將會(huì)更加頻繁;
最后第三類,黑產(chǎn)會(huì)通過在后臺(tái)設(shè)置參數(shù),回復(fù)關(guān)鍵字退訂之后,后臺(tái)觸發(fā)執(zhí)行“注冊(cè)”、“同意”等操作,如上述操作進(jìn)行項(xiàng)目訂購(gòu),或者直接實(shí)施詐騙。
而所謂“10086”則是黑產(chǎn)通過偽基站或偽裝主叫號(hào)碼等手段,進(jìn)行重復(fù)發(fā)送短信或者彩信,比如10658000端口發(fā)送手機(jī)報(bào),或者“10086” 短信通知。具體操作:
1、????????黑產(chǎn)首先會(huì)弄到你的全套個(gè)人信息;
2、????????把所有驗(yàn)證過密碼的手機(jī)號(hào)碼編組,先行取得白卡(即空中寫卡的目標(biāo)卡),然后利用偽基站重復(fù)發(fā)送短信或者彩信,比如10658000端口發(fā)送手機(jī)報(bào);
3、????????在第1步中,發(fā)送成功的號(hào)碼(偽基站設(shè)備有日志),再次利用偽基站發(fā)送短信,比如“三分鐘退訂不收費(fèi)”,提示已經(jīng)訂制XX包年業(yè)務(wù),并且余額不足,提醒交費(fèi)。此時(shí)用戶開始緊張,并關(guān)注系統(tǒng)退訂提示信息;
4、????????利用已知密碼,在運(yùn)營(yíng)商網(wǎng)站訂制換卡業(yè)務(wù),并推送獲取運(yùn)營(yíng)商網(wǎng)站驗(yàn)證短信。此時(shí)用戶手機(jī)從系統(tǒng)端口得到“USIM驗(yàn)證碼XXXXXX”的信息;
5、????????用提前獲取的短信端口,向第2步發(fā)送成功客戶發(fā)送信息“如要取消,請(qǐng)回復(fù)取消+驗(yàn)證碼”
6、????????用戶向此端口回復(fù)信息
7、????????利用用戶回復(fù)的驗(yàn)證碼,自助換卡成功,然后利用此卡完成后續(xù)轉(zhuǎn)帳等操作。
3
隱私泄露
網(wǎng)上沖浪變網(wǎng)上“裸泳”
Magiccc曾經(jīng)多次報(bào)道有關(guān)用戶隱私泄露的報(bào)道,如今隨著自社交媒體,論壇應(yīng)用,甚至是購(gòu)物網(wǎng)站,在平臺(tái)賬號(hào)進(jìn)行注冊(cè)的時(shí)候,都需要填寫極為詳細(xì)的個(gè)人資料。這其中,就包括:姓名、手機(jī)號(hào)、身份證等敏感隱私信息。在利益的驅(qū)使下,一方面是企業(yè)以及機(jī)構(gòu)內(nèi)部人員進(jìn)行用戶資料售賣,另外一方面則是黑產(chǎn)通過撞庫、洗庫后獲取的賬號(hào)信息。
而當(dāng)黑產(chǎn)一旦弄到全套用戶信息后,類似M的遭遇就會(huì)發(fā)生!
4
垃圾廣告短信
淺談解決方案
大部分的網(wǎng)站和移動(dòng)應(yīng)用在注冊(cè)時(shí)使用手機(jī)號(hào)碼作為平臺(tái)賬號(hào),利用短信驗(yàn)證來鑒別手機(jī)號(hào)是否屬于用戶本人。因此,我們?cè)诟黝惼脚_(tái)的注冊(cè)場(chǎng)景經(jīng)常見到短信驗(yàn)證。然而,這種驗(yàn)證工具背后卻暗藏許多安全隱患,其中最主要的一種就是黑產(chǎn)利用各類平臺(tái)的短信驗(yàn)證接口進(jìn)行短信轟炸,也就是我們今天提到的垃圾廣告短信。
當(dāng)然,還有一種極端的,常常出現(xiàn)在網(wǎng)店的報(bào)復(fù)行為——短信轟炸。通過各平臺(tái)獲取短信驗(yàn)證碼,達(dá)到惡意發(fā)送垃圾短信的工具。這種“短信炸彈”主要是通過特制的軟件不斷往一個(gè)手機(jī)號(hào)碼發(fā)重復(fù)的垃圾短信,以達(dá)到騷擾目標(biāo)用戶的效果。
一個(gè)強(qiáng)大的短信轟炸機(jī)能做到每秒發(fā)送上百條短信!那么對(duì)于企業(yè)以及個(gè)人而言,我們應(yīng)該怎樣去保護(hù)自己的資產(chǎn)呢?
對(duì)于個(gè)人跟企業(yè),而言,可以考慮以下幾點(diǎn):
1.針對(duì)單個(gè)手機(jī)號(hào)碼每天限定短信發(fā)送次數(shù)
解決思路:
每個(gè)手機(jī)號(hào)碼每天只允許發(fā)送固定數(shù)量的短信,那么短信接口就不會(huì)被濫用了。
實(shí)際效果:
短信轟炸機(jī)的工作原理是攻擊某個(gè)手機(jī)號(hào)時(shí),攻擊程序同時(shí)請(qǐng)求無數(shù)的短信接口,絕大部分情況下,每個(gè)網(wǎng)站的接口都只請(qǐng)求一兩次,并不會(huì)觸發(fā)短信發(fā)送數(shù)量上限。因此這種防護(hù)方式并沒有什么效果,對(duì)于網(wǎng)站來說,看到的仍然是無數(shù)的手機(jī)號(hào),每個(gè)都發(fā)送一兩條短信,但是無法區(qū)分,哪些手機(jī)號(hào)是真正的用戶,哪些是被攻擊的號(hào)碼。
2.針對(duì)來源ip限制接口請(qǐng)求次數(shù)或頻率
解決思路:
限定單個(gè)ip地址的請(qǐng)求,即使一次攻擊多個(gè)號(hào)碼,也可以有效識(shí)別。
實(shí)際效果:
獲取一個(gè)ip實(shí)在太廉價(jià)了,普通家用寬帶都可以分分鐘通過斷開再撥號(hào)獲取多個(gè)ip。網(wǎng)上各種提供代理ip的網(wǎng)站上都有無數(shù)的代理ip可以使用,甚至淘寶上還有提供隨時(shí)撥號(hào)的動(dòng)態(tài)vps服務(wù)器。
3.每條短信發(fā)送之前都加上驗(yàn)證碼校驗(yàn)
解決思路:
提供正確的驗(yàn)證碼,才發(fā)送短信,徹底解決腳本問題
實(shí)際效果:
普普通通的驗(yàn)證碼,通過OCR識(shí)別的方式可以瞬間轉(zhuǎn)成文本。稍復(fù)雜的驗(yàn)證碼也可通過OCR+簡(jiǎn)單機(jī)器學(xué)習(xí)破解。
另外,早在2015年,我國(guó)發(fā)布的《通信短信息服務(wù)管理規(guī)定》中便明確要求:“短信息服務(wù)提供者、短消息內(nèi)容提供者,未經(jīng)用戶同意或請(qǐng)求,不得向其發(fā)送商業(yè)性短消息……”因此,很多公司發(fā)送營(yíng)銷短信,多會(huì)加上退訂方式。
歡迎持續(xù)關(guān)注我們微信公眾號(hào)(geetest_jy),還可以添加技術(shù)助理微信“geetest1024”微信,一起交流進(jìn)步!
