今天小編分享的财經經驗:20元轟炸六小時,一分鍾内40條驗證碼!起底“呼不停”灰產,歡迎閱讀。
作 者丨劉悅行,肖潇
編 輯丨王俊
圖 源丨圖蟲
打開軟體,輸入登錄手機号,收到短信驗證碼,已經是我們習以為常的日常。但有沒有想過,僅僅幾分鍾内,手機可能被數百條來自不同平台的短信驗證碼圍攻?
此時,手機的正常使用變得異常困難,螢幕頻繁彈出驗證短信,間隔幾秒便躍轉至通話頁面,要麼拔卡,要麼關機。這便是 " 呼不停 ""24 小時滴滴 " 這類技術的威力。
自移動通信普及以來,短信、電話騷擾從未消停。" 黑貓投訴 " 平台顯示,截至今年 12 月 21 日,超 4 萬條投訴中包含關鍵詞 " 電話轟炸 ",另有 2 萬多條投訴提及 " 短信轟炸 "。這些騷擾信息大多與債務催收相關,部分涉及電商平台的交易糾紛,甚至包括私人情感報復。
盡管公安部門一直高壓嚴打短信轟炸等網絡違法犯罪行為,但騷擾總是變着花樣出現。21 世紀經濟報道記者觀察到,近期出現了一種新型的騷擾形式——短信驗證碼轟炸。僅需支付幾十塊錢,就能買到百度、騰訊、千圖網等多個網站的短信驗證碼轟炸。個體想要挾私報復,商家變換搜索詞藏身于各大平台,正規網站存在一定安全漏洞,這些因素共同作用," 合謀 " 構建通信轟炸網絡。
300 元騷擾到換卡
在淘寶輸入關鍵詞 " 電話 ",平台自動關聯了 " 電話狂響 "、" 電話騷擾 "、" 電話叫不停 " 等詞條。
但點進這些詞條,第一眼幾乎看不出端倪,仔細看還像一場猜謎遊戲:封面圖寫着 " 一對一定制 "" 下單前聯系客服 ";商品名為 " 全自動撥号客服撥号用營銷機座機無線插卡電話 ",或者 " 懂得都懂 ";詳情頁面也沒有任何描述。直到進入單獨的客服聊天界面,帶有報復和騷擾暗示的店鋪名才圖窮匕見—— " 解壓解氣 "" 呼不停 "" 仇人克星 ""24 小時滴滴 "。
記者咨詢了數個類似店鋪的客服,根據客服介紹,店鋪商品均為 " 短信+電話 " 的騷擾轟炸業務。
此類轟炸通常按一小時、十二小時、二十四小時、一周、一月時間收費。問及騷擾頻率,一位客服表示 " 短信一直不斷、電話三到四分鍾一個 "。有的店鋪直接在報價單标注,電話一分鍾六到八個,短信一分鍾 50 到 60 條。客服向記者保證:" 不會留下記錄 ",而且 " 只要您不去挑釁,就不會(被發現)"。
通信轟炸服務的價格并不高。一些店鋪顯示,轟炸六小時只需 20 元,包月 170 元,甚至提供 " 代操作到對方換卡 " 的選項,也就是沒有時間上限的持續轟炸。記者以自己的手機号進行測試,一分鍾内收到了 39 條短信,5 個電話。
(圖:淘寶客服向記者發送的服務單)
除了在搜索入口猜謎語,轟炸内容也有很強的隐蔽性,幾乎不可能追溯騷擾者的身份。比如記者收到的所有轟炸短信,均為平台驗證碼,多為注冊、登錄用途。這些驗證碼來自 " 婦產科在線 "" 互助賣房 "" 叮嗒出行 " 等平台,也有 " 百度 "" 騰訊科技 "" 鳳凰網 " 這類知名門戶網站,其中,百度 8 分鍾發來 8 條動态驗證碼。
騷擾電話則均以 "00" 開頭,除标記為 " 中國香港 " 的号碼外,其餘都有詐騙電話的标記。電話響鈴時間很短,撥出一秒到四秒後立馬挂斷。
(圖:記者收到的短信驗證碼轟炸)
月銷十萬件的隐形市場
短信驗證碼轟炸,并非淘寶的小眾生意。作為挾私報復的常用手段,通信轟炸需求火熱,各大平台都有一個地下市場。
以淘寶為例,在上文提到的店鋪中,記者随機點進某單品鏈接,銷量達 300 件以上。而且該商品還參與了淘寶 " 跨店滿減每 200 減 30" 的活動,收獲諸多 " 追債神器 "、" 下次遇到 **,還支持老板服務 "、" 快準狠 " 等五星好評。在拼多多上,記者也發現了大量名為 " 手機被拉黑打通情侶分手對象 " 的商品,有些甚至已拼單 10 萬件以上。客服告訴記者,只需要向客服提供對方的手機号碼,改成虛拟号碼後即可打通。
另一個 " 售賣 " 短信騷擾業務的平台是 B 站,不過并非以買賣的形式。B 站此前報告顯示,平台超過 40% 的内容是泛知識視頻。記者在 B 站搜索短信轟炸,能找到相關的 " 腳本教學視頻 ",僅有小部分視頻投稿者會标注:" 僅用于技術交流,切勿用于違法犯罪 "。
而一旦碰上通信轟炸,被騷擾者往往苦不堪言。" 黑貓投訴 " 網站中,今年 11 月 9 日的一條投訴顯示,用戶投訴 " 分期樂服務 " 平台,表示 " 頻繁發送驗證碼短信已經造成生活困擾 "。同日,另一位用戶投訴 " 羊小咩 " 借貸平台暴力催收,受到短信驗證碼轟炸," 越向客服反饋轟炸越來越厲害,短短時間内幾百上千條短信。不只我本人,第三方聯系人也受到這樣的轟炸。" 在該投訴網站上,借貸平台用戶和電商平台用戶,是通信轟炸的兩大重災區。
這些平台只是通信轟炸問題的冰山一角。需求量大、入口隐秘、騷擾難以溯源和阻止,都是當下通信轟炸的特點。
轟炸門檻為零,安全漏洞遍布互聯網
通信轟炸為何随處可見?技術門檻有多高,是不是普通網民就可以在 B 站 " 學習入門 "?
北京漢華飛天信安科技有限公司總經理彭根告訴記者,電話騷擾的技術原理其實很簡單。用軟體接入手機,就會不斷地通過自動化的方式打電話。電話響兩聲挂斷,如此反復。" 這樣主要會產生兩個問題,第一就是騷擾,第二通話渠道堵塞,一直被無效占用的情況下,其他電話無法接通,影響正常生活。" 彭根說。
對于短信騷擾,彭根指出有兩種技術:一種類似上述電話騷擾原理,另一種則利用了發送短信驗證碼的接口。
具體來說,如今注冊登錄各類網站、軟體時,通常需要向手機發送短信驗證碼驗證。驗證碼轟炸的黑色產業鏈正是利用了這類接口,通過技術手段搜集大量正常企業網站的發送短信接口,調用到 " 轟炸 " 網站或軟體上。一旦發出指令,大量企業網站正常的驗證碼信息,會在短時間内發送到指定手機号碼上。
此外,短信轟炸已經形成一條產業鏈,每一環的技術門檻也因此被攤勻至無限低。" 騰訊黑鏡 " 兩年前的一項研究指出,一條短信轟炸鏈條上通常有三方角色:技術開發者負責尋找、販賣沒有防護的短信驗證碼接口;網站運營者把接口產品化,也就是搭建成上文提到的轟炸平台或軟體,方便傳播;最下遊的角色,才是擔任 " 代理商 " 的賣家。他們可以完全不懂技術,向個體兜售產品即可。上述淘寶商家告訴記者,自己的轟炸程式就是花錢買來的。
(圖:客服向記者展示的轟炸軟體頁面)
更令人擔憂的是,該研究發現,業内有 2000 多個網站 3500 個驗證碼接口、24000 個短信接口。其中,注冊場景的驗證碼占據 23% 的比例,其次是登錄場景。由于轟炸者調用的是這些網站 APP 真實的注冊驗證碼,轟炸短信往往難以攔截。
彭根進一步補充道:"發送短信驗證碼不收費,利用短信驗證碼轟炸,只有技術研發成本,其他基本沒有成本。"
可以說,驗證碼轟炸的生產成本低、技術門檻幾乎為零,但能帶來穩定獲利,因此成為黑色產業非法獲取利潤的一大利器。只要互聯網平台存在防護不到位的短信接口,短信轟炸的鏈條似乎就能運轉下去。
用技術 " 打敗 " 技術
通信轟炸造成用戶手機通訊阻塞,極大地影響用戶的正常生活。不僅如此,手機号被洩露還有種種隐憂。
北京大成(上海)律師事務所合夥人彭凱律師接受 21 記者采訪時表示,手機号洩露可能衍生諸多風險。比如,不法分子可以利用洩露的手機号碼詐騙,冒充熟人或官方機構要求轉賬。手機号一旦被用于欺詐活動,個人的信用記錄就會受到影響。此外,許多在線服務和應用程式都使用手機号作為賬戶恢復或驗證的方式之一,手機号洩露可能導致賬戶被非法訪問或劫持。
彭凱指出,通信轟炸的底層邏輯是違規處理個人信息,可能涉及三類法律問題:如果違規出售、提供、獲取公民個人信息的,将涉嫌構成《刑法》規定的侵犯公民個人信息罪;如果多次打騷擾電話或發送騷擾短信侮辱、恐吓他人,幹擾他人正常生活的,可能侵犯了他人的隐私權;騷擾内容具有恐吓性質,嚴重至影響身心健康的,還可能侵犯健康權。
需要注意,轟炸團隊就算不涉及犯罪,也可能面臨行政處罰。2017 年開始實施的《網絡安全法》明确禁止個人和組織從事非法侵入他人網絡、幹擾他人網絡正常功能、竊取網絡數據等活動,亦不得提供專門用于從事侵入網絡、幹擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程式、工具。違規者将被處以沒收違法所得、拘留及罰款等處罰。
如何破局通信轟炸?對于正規互聯網平台,彭根從技術角度建議,在發送短信驗證碼時,可以加入 " 是否由真人操作 " 的驗證環節。這類技術本身已經比較成熟,接入到平台後,對解決短信轟炸問題能有所幫助。
而對于被騷擾的當事人,彭凱表示向公安機關報警、向人民法院提起訴訟,都是可行的法律途徑。
除此之外,也可以嘗試一些自救方式。記者了解到中國互聯網協會設立了公眾投訴受理機構 "12321 網絡不良與垃圾信息舉報受理中心 "。轟炸被投訴後,涉嫌騷擾的手機号碼會被限制服務。不過,此類投訴針對固定号碼的騷擾,受理中心表示,驗證碼轟炸屬于平台的正常業務被利用,受理中心暫時沒有辦法處理。
(圖:12321 網絡不良與垃圾信息舉報受理中心官網)
更立竿見影的方法,則是開啟技術防護工具。有的手機自帶騷擾攔截的功能,可以使用攔截響鈴一聲的來電、設定黑白名單和攔截阈值等功能進行攔截。不同運營商也有單獨的防騷擾工具,比如中國移動客服提示,可以通過微信公眾号 " 中國移動高頻騷擾電話防護 ",設定黑名單、白名單和騷擾攔截;中國聯通客服表示有 " 手機管家 " 功能;中國電信同樣通過公眾号 " 天翼防騷擾 plus",在騷擾電話攔截能力基礎上,提供攔截驗證、來電驗證、陌生攔截等功能。
上述淘寶商家曾告訴記者," 那些(質量)差的短信可以被攔住。"根據記者的測試,防騷擾功能的确能攔截短信驗證碼,但會屏蔽部分正常的短信,需要在過濾記錄中手動查看。
彭凱也向記者坦言,通過現有技術,運營商很難準确判斷哪些是騷擾電話和短信,這種被動式防御難以根治問題。另一方面,騷擾電話和短信常常通過虛拟号碼或者 IP 發出,甚至大部分伺服器部署在境外,因此追蹤發送者比較困難,執法機關也難以固證。
在這場與通信轟炸的較量中,似乎沒有完美的解決方案。提高尊重隐私的自覺、加強技術安全措施、強化法律法規,或許是今後解決通信轟炸問題的關鍵。
SFC
本期編輯 劉雪瑩 實習生 譚雅涵
