今日快讯:写个“差评”就被短信轰炸?恶意代码与隐私数据库竟免费可得
又到各大电商平台“6·18年中大促”。“买买买”过后,如果你遇到产品质量等问题,会给商家打“差评”吗?会否因担心商家报复而打消“差评”念头?
南都大数据研究院监测发现,近期不少网友在社交平台上反映自己在电商平台打“差评”后遭遇短信轰炸,严重影响日常生活。调查发现,尽管公安部门长期对“呼死你”“短信轰炸”等网络违法犯罪保持高压严打态势,但仍有不法分子不断变换搜索关键词以逃避打击,更有不法分子将短信轰炸技术与包含大量个人隐私数据的“社工库”相结合,形成从人肉搜索到打击报复的“一条龙服务”。
(相关资料图)
网购后发表“差评”遭遇短信轰炸
南都大数据研究院监测发现,近期国内多个社交平台上有网友反映遭遇短信轰炸,一天多达数百条,不胜其扰。南都研究员在某消费投诉平台上以关键词“差评+轰炸”检索,发现超300条相关投诉。投诉案例集中反映,消费者由于网购商品质量问题、协商退款退货难等而给商家打“差评”,随后就遭遇短信轰炸等恶意骚扰。
南都研究员留意到,多名网友反映其收到的轰炸短信为来自不同网站的登录验证码,其中不乏知名银行、保险公司、电信运营商等平台。不少网友因此担心其个人信息可能遭遇泄露。
某消费投诉平台上,有超过300条关于短信轰炸的投诉内容。
手段:恶意代码劫持网站短信接口
这些验证码短信从何而来?有网络安全专家向南都研究员介绍,这类短信轰炸主要通过劫持网站短信接口实现:不法分子使用恶意代码劫持多个正规网站的短信验证登录接口,就可以同时利用多个网站的短信验证登录功能,向特定手机号码连续发送大量验证码短信,实现轰炸效果。
网络安全专家解释称,这类劫持行为一般只触及短信接口,不会直接入侵网站。但如果用户手机同时安装了可窃取短信内容的不良应用,或手机附近存在短信嗅探设备,网站下发的验证码就可能被不法分子获取,进而导致用户账号被入侵。
有网友在社交平台上展示其短时间内收到的大量验证码短信。
风险:代码公开分享,页面免费使用
网络安全专家还表示,尽管公安部门长期对这类网络违法犯罪保持高压严打态势,不少网站也已采取多项安全措施防范劫持行为。但只要网站提供“短信验证登录”功能,代码的工作原理就依然有效。不法分子仍可对代码加以改进或另寻其他防护不到位的接口继续实现劫持。
更令人担忧的是,类似的恶意代码其实并不复杂,其中不少关键内容已在互联网上直接公开,近年甚至出现免费工具包和在线轰炸页面。如今不只专业的灰黑产团伙,就连不掌握相关专业知识的普通网民,也可随意使用类似工具,实现“一键轰炸”。
南都研究员实测发现,在公安部门对违法行为的持续打击下,如今搜索“呼死你”“轰炸”等关键词,已很难寻觅到与短信轰炸相关的软件或商家。但若更换为一些新兴关键词进行搜索,就可发现不少与短信轰炸相关的恶意代码仍在互联网上公开流传。
大量与短信轰炸相关的恶意代码内容在互联网上公开流传。
南都研究员还发现,甚至有部分网民以所谓“技术研究”“学习分享”等名义,将相关恶意代码与被劫持的短信接口打包部署,制作成可供访问者免费使用的短信轰炸网站。访问者只需输入目标手机号码,即可自行对该号码启动短信轰炸。
南都研究员使用个人手机号码对其中一个提供在线轰炸的网站页面进行测试。仅在一分钟内,南都研究员的手机就收到了10条验证码短信。从内容来看,这些短信分别来自中国联通、天鹅到家、巨人网络、沪江网校等多个知名平台。
某个提供在线短信轰炸的网站页面。
产业链:免费“社工库”为短信轰炸提供“助力”
短信轰炸,其实现方式始终是向手机号码发送大量短信。那么是否只要隐藏好自己的真实手机号码,就能避免骚扰?答案可能令人失望。
在调查过程中,有部分网友向南都研究员反映,自己已使用电商或物流平台提供的隐私号码保护服务,商家理应无法知晓其真实号码,但仍遭遇短信轰炸;甚至有网友称自己仅在社交平台发帖表达对某一产品或商家的不满,在未透露具体订单信息的情况下同样遭遇精准的短信轰炸,对商家获取个人信息的手段感到疑惑。
南都研究员深入调查发现,随着相关灰黑产业链不断发展,一些不法分子已将短信轰炸技术与“社工库”相结合,形成从人肉搜索到打击报复的“一条龙服务”。
所谓“社工库”,指“社会工程学数据库”,是黑客通过攻击网站、欺诈用户等手段获取大量个人隐私数据,再整合分析、集中归档形成的数据库。
在某个提供在线短信轰炸的网站上,南都研究员留意到其同时接入了一个免费查询的“社工库”,为用户提供“QQ反查”“微博反查”等服务。用户只需输入QQ号码或微博ID,即可检索到该账号绑定的手机号码,进而对目标发起短信轰炸。
某在线短信轰炸网站同时提供“QQ反查”等服务。
困局:轰炸成本为零,用户防不胜防
关于这类免费“社工库”,有网络安全专家表示,这应该是一些早年间泄露的网站数据,由于经历多次交易,灰黑产行业内几乎“人手一份”,难以继续出售牟利。因此也有一些灰黑产团伙将其主动公开,用于吸引流量、招徕顾客。
该名网络安全专家强调,虽然这些免费“社工库”在灰黑产团伙眼里“不值钱”,但其中依然包含大量个人隐私信息,存在巨大的数据安全风险。
网络安全专家坦言,近年来,一些灰黑产团伙为彰显实力、招揽生意,有意用免费“社工库”、短信轰炸等低成本工具吸引用户,再引诱用户购买更多付费服务。
“你不需要学习任何的技术知识,只需要掌握对方一个社交账号的名称,就能快速查到对方的真实联系方式;再点一下鼠标,还能直接向对方发起短信轰炸。最重要的是,整个过程你一分钱都不用花,是真真正正的零成本。”在低门槛、零成本的诱惑下,一些不法商家愿意采取类似手段恶意骚扰客户。
建议:遭遇轰炸及时投诉,不知名平台不留个人信息
事实上,短信轰炸等网络犯罪行为一直都是相关部门严厉打击的对象。
例如在2021年9月初,福建泉州网安民警巡查中发现,有网民在境外即时通讯群组中售卖多款短信轰炸、软暴力催收软件。经过缜密侦查,网安部门成功挖掘出一个从批发商、销售商到买家的利用发卡平台对受害者精准实施短信轰炸的网络犯罪团伙。
2023年2月,四川遂宁大英县公安局网安大队根据省厅网安总队线索抓获犯罪嫌疑人熊某。经查,熊某通过修改从网上获取的短信轰炸源代码,劫持多个商业网站注册接口,编写短信轰炸软件并推广出售,非法获利10万余元。
2023年3月,湖南长沙市长沙县警方抓获犯罪嫌疑人朱某和。经审讯得知,2021年1月,朱某和因一次偶然机会接触到短信轰炸软件,见有利可图,便开始研究其背后原理,自行研发同类软件并对外出售。经查,犯罪嫌疑人朱某和共售卖软件200多人次,从中获利8000余元。
有网络安全专家指出,毫无疑问的是,构建“社工库”、提供短信轰炸服务均属违法行为。我国《网络安全法》已明确规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
但是,由于早年间国内外不少网站对数据安全重视程度不足,发生过多起信息泄露事件,很多数据库经历多次流转,已很难追寻源头并封堵。同样,短信验证码给手机用户带来不少便利,若为解决短信轰炸问题而禁止该功能,似乎是“因噎废食”。在如何治理相关违法犯罪问题方面,仍需平台企业、公安部门集思广益、谋划良策。
有网络安全专家指出,这类短信轰炸行为单靠个人维权存在较大难度,建议遭遇骚扰的用户及时向运营商和12321网络不良与垃圾信息举报受理中心反映情况,或报警求助,交由专业人士进行侦查。
同时,互联网用户平时要养成保护个人隐私的意识,一些不知名的网络平台尽量不留身份、住址、电话等个人信息,以免信息泄露。
也有网络安全专家对平台侧提出建议:当短信平台检测到某一号码短时间内大量、频繁申请短信时,应及时识别告警,并与该号码用户取得联系,了解情况,必要时暂停下发短信,阻止轰炸行为。
此外,网站平台可采用加强人机验证、限制单IP请求次数、限制用户短信请求间隔等方式保护自身短信接口。只要下发的短信无法实现“轰炸”效果,不法分子自然会放弃使用这一手段攻击目标用户。
不同运营商用户应急防护服务开通方式:
移动用户:可通过营业厅、10086热线或网上营业厅免费订购“短信炸弹”短信应急防护服务。开通该服务后,除10086开头短信号码,其他所有端口类短信均将被拦截。用户可根据自身需要设置防护服务有效期(默认一天,最长一年,最小防护单位为“天”)。
联通用户:可关注微信公众号“智慧沃服务”,免费开通“联通手机管家”服务,开启“营销短信拦截”功能。
电信用户:可关注微信公众号“天翼防骚扰”,免费开通防骚扰服务。
短信轰炸投诉方式:
若遭遇短信或电话轰炸,可登录12321网络不良与垃圾信息举报受理中心(https://www.12321.cn),选择“投诉短信/电话轰炸”,填写投诉信息。
出品:南都大数据研究院 数据安全治理与发展研究课题组
采写:南都研究员 李伟锋 实习生 曹瑾怡 陈嘉宝