近日，廣西壯族自治區來賓市公安局網安支隊聯合武宣警方，經過近兩個月的奮戰，成功破獲廣西首例短信轟炸案件。

今年6月，來賓市公安局網安支隊接到舉報，有人在互聯網上搭建網站開展短信轟炸、遊戲外挂等黑産違法犯罪行為。針對相關線索，在騰訊守護者計劃安全團隊的協助下，來賓市公安局網安支隊通過調查，最終鎖定犯罪嫌疑人并實施抓捕行動。經審訊，犯罪嫌疑人卓某健交代其代理短信轟炸（又稱“呼死你”）等非法服務，并以發展下線轉包服務的形式從中賺取差價牟利，截至被公安機關查獲時，卓某健發展的下級代理人員已超過450人，其中僅河南開封的一個代理就購買服務并實施了短信轟炸500多萬條。

“呼死你”短信轟炸作為一種非法的惡性騷擾行為，近年來嚴重侵害了用戶個人權益，也對部分企業造成不良影響。由于黑産團夥隐蔽性強且産業鍊分散，短信轟炸案件破獲難度較大。作為此次案件偵破的線索提供方，騰訊公司近日聯合廣西警方在北京召開“‘呼死你’短信轟炸黑産治理媒體溝通會”，現場公布案情細節，披露短信轟炸黑産數據，呼籲社會各界共同關注短信轟炸黑産治理。

“呼死你”危害頻發，單日轟炸短信達160萬餘次

“呼死你”是短信轟炸的一種通俗叫法，不法分子利用轟炸軟件，讓目标用戶手機短時間内接收到大量的驗證短信，有甚者1分鐘内可以向目标用戶手機号發送上千條騷擾短信，持續以高密度短信發送形成“轟炸”效果，嚴重幹擾了用戶正常使用手機。

相關數據顯示，目前短信轟炸黑産危害超2000個網站的3500多個驗證碼接口和2400多個短信接口，每天全網發生的轟炸短信多達160萬餘次。從開發非法軟件，到交由運營人員進行渠道售賣，或通過多層級的代理下線發展有短信轟炸需求的人員，再到為其提供短信轟炸服務，短信轟炸俨然已經形成了一套完整的産業鍊，加之不少開發和運營者通過軟件打包部署在雲端服務器的方式，降低了終端人員的使用門檻和成本，更是促成了産業鍊的迅速擴大。

而短信轟炸鍊條中，普通用戶隻是受害者之一，被利用下發驗證短信的企業也常常因此遭受企業利益損失和品牌信任危機。部分企業網站的短信驗證的安全防禦能力不足，在被轟炸軟件盯上後，企業網站如果不做出有效應對措施，将成為短信轟炸軟件的“肉雞”，頻繁發出無意義的驗證短信，不僅嚴重幹擾網站正常的用戶運營，影響運營判斷，還可能因短信騷擾行為讓用戶對品牌産生信任危機。

安全和體驗兼得，騰訊安全助力企業建立有效防控機制

騰訊安全天禦風控專家楊紅通過模拟轟炸軟件，現場演示了短信轟炸的過程，隻需要輸入手機号，該号碼所屬的手機随後便持續收到各種短信驗證碼，直至關閉程序才終止了短信轟炸。

楊紅介紹道，實現“呼死你”的原理，是非法短信轟炸軟件，通過爬蟲手段搜集大量正常企業網站的發送短信接口（CGI接口），集成到轟炸網站或者轟炸軟件上，通過短時間訪問大量網站，以正常申請短信驗證服務的方式，将驗證短信通過運營商的接口發送到目标用戶的手機上。驗證短信本身可能并沒有潛在危害，但當同時數百上千條短信持續不斷地湧入同一部手機，轟炸式的騷擾導緻用戶無法正常使用手機，嚴重侵犯了用戶權益。

解決了企業網站被短信轟炸軟件利用的問題，就能夠從源頭杜絕惡意事件的發生。騰訊安全天禦團隊通過分析被短信轟炸軟件利用的網站，發現易遭受侵害的網站往往在短信驗證風控方面較為缺失，通常表現為隻需輸入一個手機号，即可無阻礙成功請求短信驗證碼，或者安全驗證機制容易被破解。在被短信轟炸軟件盯上後，網站将成為不斷發出騷擾短信的源頭，對企業自身影響較大。因此，事前防治的關鍵是建立有效風控機制。

騰訊安全天禦風控專家楊紅建議，企業在服務端防控方面可以通過号碼認證替換短信驗證碼，以上行驗證方式規避下行驗證的風險，用戶登錄時可一鍵驗證本機号碼，無需通過接收驗證碼做驗證，首先在源頭上規避被短信轟炸軟件利用的風險。其次，部分特殊情況下，用戶依然需要驗證碼登錄時，企業可以通過“圖形驗證碼”來對登錄行為進行安全驗證，過濾掉來自短信轟炸軟件的機器批量請求。

在用戶登錄時，基于騰訊安全天禦短信風控的智能大腦，能夠毫秒級分辨登錄用戶是可信用戶、可疑用戶、惡意用戶，并針對性為可信用戶免驗證提高用戶體驗，為可疑用戶設置圖形驗證碼，以及為惡意用戶設置VTT動态語義驗證，提供針對性驗證提升服務安全性，讓好人通過更輕松，機器作惡更困難。

除了風控的主動智能防禦外，騰訊安全天禦短信風控還能夠為企業網站提供短信驗證自我防禦控制台，能夠自主精準限制短信驗證碼頻率，防止突發性短信轟炸問題發生，進一步加強驗證碼防盜刷能力。通過一整套的智能分級和設備指紋、Pow認證、黑名單庫等十項防護能力，以及短信驗證自我防禦控制台，騰訊安全天禦短信風控系統能夠助力企業網站實現安全和體驗兼得。

一鍵開啟攔截能力，守護用戶手機清靜

除了幫助企業免遭黑産的利用，騰訊安全也緻力于保護個人用戶的權益。騰訊手機管家産品負責人戴月介紹，對于短信轟炸方面，騰訊手機管家的短信攔截引擎能力也進行了針對性升級，在騷擾驗證碼的判定攔截能力上，對于不含“驗證碼”關鍵詞的隐性騷擾短信也結合語義分析打造和升級攔截模型，再配合攔截模型規則的動态雲更新，能夠有效識别短信轟炸行為并進行智能攔截。用戶還可以通過騰訊手機管家APP的“一鍵攔截短信轟炸”功能，在遭受短信轟炸時，一鍵屏蔽驗證碼類短信，安全度過短信轟炸期。

目前騰訊手機管家已獲得人工标注聚類短信樣本48萬條、短信特征1.8萬個，并對短信進行14個大類、117個細分類的詳細梳理，能夠智能化識别違法、詐騙、廣告類短信。

文/北京青年報記者 溫婧

編輯/田野

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!