2016年上半年瓢湃，我國移動數(shù)據(jù)收首次超越移動語音成為電信業(yè)中占比最大的業(yè)務(wù)理张。而隨著微信的普及，如今短信的存在感也越來越低绵患，已淪為接受驗證碼的工具雾叭。就是這樣一個似乎被人遺忘的功能，卻被黑產(chǎn)盯上......

1

回復(fù)TD即可退訂

網(wǎng)友一夜之間遭洗劫

兩年前的4月落蝙，一名北京網(wǎng)友M發(fā)布的“為什么一條短信就能騙走我所有的財產(chǎn)织狐？”的文章在網(wǎng)絡(luò)引起關(guān)注。據(jù)M爆料筏勒，他在收到一條“訂閱增值業(yè)務(wù)”的短信移迫，根據(jù)提示回復(fù)了“取消+驗證碼”之后，半天之內(nèi)支付寶奏寨、銀行卡上的資金被席卷一空起意。

據(jù)反映，4月8日病瞳，在下班回家地鐵上揽咕。M的手機忽然收到一條短信：顯示來源為‘1065800’的號碼發(fā)來了一條短信雜志，這種垃圾雜志看多了套菜，我第一反應(yīng)是回復(fù)‘TD’亲善。該短信回復(fù)我‘發(fā)的指令不正確。

隨后M相繼收到顯示為“10086”逗柴，以及“10658139013816280086”發(fā)來的信息蛹头，提示已開通“中廣財經(jīng)半年包業(yè)務(wù)”，“如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂”戏溺。而在另一條顯示來源為“10086”的信息中渣蜗，該用戶收到“尊敬的客戶，您的USIM卡6位驗證碼為******”

在受到黑產(chǎn)給與的“訂購”壓力下旷祸，M于是按照“官方”提示進行了回復(fù)耕拷。隨后，M經(jīng)歷了人生中最大的絕望：

M的支付寶托享、支付寶所綁定的招商銀行賬戶骚烧，以及工商銀行賬戶陸續(xù)發(fā)生轉(zhuǎn)賬。甚至在緊急解綁銀行卡之后闰围，發(fā)現(xiàn)密碼已被篡改赃绊，中國銀行、招商銀行網(wǎng)銀根本無法登錄羡榴。而另一邊碧查，黑產(chǎn)已通過網(wǎng)銀，將M洗劫一空校仑！

2

“官方”短信來自哪里

僅憑短信如何完成轉(zhuǎn)賬

首先是“106短信平臺”忠售，該平臺是基于中國移動者冤，聯(lián)通和電信直接提供的短信端口與互聯(lián)網(wǎng)連接實現(xiàn)與客戶指定號碼進行短信批量發(fā)送和自定義發(fā)送的，它分為軟件客戶端CS 結(jié)構(gòu)和網(wǎng)絡(luò)共享版B/S 結(jié)構(gòu)档痪。

大家可以翻下手機涉枫，你收到的短信以10655開頭的是聯(lián)通，10657是移動腐螟，10659則是電信愿汰，再后面的兩位是城市代碼。

而這所謂的“官方”賬號乐纸，其實是三大運營商將短信群發(fā)業(yè)務(wù)給到下有代理商手上的業(yè)務(wù)衬廷。而在某電商平臺上可以找到大量網(wǎng)店售賣，價格有的低至3分錢/條汽绢。

Magiccc聯(lián)系上了一家網(wǎng)店吗跋，對方表示，他們通過了三大運營商資質(zhì)審核的宁昭，并擁有正規(guī)的電信增值業(yè)務(wù)許可證跌宛。作為代發(fā)渠道，對方表示他們的業(yè)務(wù)能夠?qū)崿F(xiàn)國內(nèi)全網(wǎng)覆蓋积仗，移動疆拘、聯(lián)通、電信三網(wǎng)寂曹，加上普通哎迄、170號段全覆蓋。并且能夠?qū)⑽姨峁┑挠脩粜畔⒙≡玻M行去重過濾漱挚、錯號過濾以及二次過濾，保證信息在8秒鐘之內(nèi)到達渺氧，并且7*24小時全天發(fā)送旨涝。

另外，順帶也了解下當(dāng)下一些代發(fā)短信的主流玩法：

常規(guī)的群發(fā)推送阶女，不存在釣魚詐騙風(fēng)險颊糜。只是存在回復(fù)無法退訂的情況哩治。渠道商反饋秃踩，“退訂回T”僅僅一種方法，無實際效果业筏。就算你回幾百遍‘T’憔杨，也無法退訂；

因為此類長號發(fā)送的推銷短信蒜胖，觸及商家消别、短信代發(fā)渠道和短信接收方（即用戶）三方抛蚤。針對部分無良商家，如果用戶回復(fù)短信退訂寻狂，則會被系統(tǒng)認(rèn)為是活躍用戶岁经，之后的推送將會更加頻繁；

最后第三類蛇券，黑產(chǎn)會通過在后臺設(shè)置參數(shù)缀壤，回復(fù)關(guān)鍵字退訂之后，后臺觸發(fā)執(zhí)行“注冊”纠亚、“同意”等操作塘慕，如上述操作進行項目訂購，或者直接實施詐騙蒂胞。

而所謂“10086”則是黑產(chǎn)通過偽基站或偽裝主叫號碼等手段图呢，進行重復(fù)發(fā)送短信或者彩信，比如10658000端口發(fā)送手機報骗随，或者“10086” 短信通知蛤织。具體操作：

1、????????黑產(chǎn)首先會弄到你的全套個人信息鸿染；

2瞳筏、????????把所有驗證過密碼的手機號碼編組，先行取得白卡（即空中寫卡的目標(biāo)卡）牡昆，然后利用偽基站重復(fù)發(fā)送短信或者彩信姚炕，比如10658000端口發(fā)送手機報；

3丢烘、????????在第1步中柱宦，發(fā)送成功的號碼（偽基站設(shè)備有日志），再次利用偽基站發(fā)送短信播瞳，比如“三分鐘退訂不收費”掸刊，提示已經(jīng)訂制XX包年業(yè)務(wù)，并且余額不足赢乓，提醒交費忧侧。此時用戶開始緊張，并關(guān)注系統(tǒng)退訂提示信息牌芋；

4蚓炬、????????利用已知密碼，在運營商網(wǎng)站訂制換卡業(yè)務(wù)躺屁，并推送獲取運營商網(wǎng)站驗證短信肯夏。此時用戶手機從系統(tǒng)端口得到“USIM驗證碼XXXXXX”的信息；

5、????????用提前獲取的短信端口驯击，向第2步發(fā)送成功客戶發(fā)送信息“如要取消烁兰，請回復(fù)取消+驗證碼”

6、????????用戶向此端口回復(fù)信息

7徊都、????????利用用戶回復(fù)的驗證碼沪斟，自助換卡成功，然后利用此卡完成后續(xù)轉(zhuǎn)帳等操作暇矫。

3

隱私泄露

網(wǎng)上沖浪變網(wǎng)上“裸泳”

Magiccc曾經(jīng)多次報道有關(guān)用戶隱私泄露的報道币喧，如今隨著自社交媒體，論壇應(yīng)用袱耽，甚至是購物網(wǎng)站杀餐，在平臺賬號進行注冊的時候，都需要填寫極為詳細(xì)的個人資料朱巨。這其中史翘，就包括：姓名、手機號冀续、身份證等敏感隱私信息琼讽。在利益的驅(qū)使下，一方面是企業(yè)以及機構(gòu)內(nèi)部人員進行用戶資料售賣洪唐，另外一方面則是黑產(chǎn)通過撞庫钻蹬、洗庫后獲取的賬號信息。

你手持身份證自拍的照片凭需，黑產(chǎn)都拿去干了啥问欠？

而當(dāng)黑產(chǎn)一旦弄到全套用戶信息后，類似M的遭遇就會發(fā)生粒蜈！

4

垃圾廣告短信

淺談解決方案

大部分的網(wǎng)站和移動應(yīng)用在注冊時使用手機號碼作為平臺賬號顺献，利用短信驗證來鑒別手機號是否屬于用戶本人。因此枯怖，我們在各類平臺的注冊場景經(jīng)常見到短信驗證注整。然而，這種驗證工具背后卻暗藏許多安全隱患度硝，其中最主要的一種就是黑產(chǎn)利用各類平臺的短信驗證接口進行短信轟炸肿轨，也就是我們今天提到的垃圾廣告短信。

當(dāng)然蕊程，還有一種極端的椒袍，常常出現(xiàn)在網(wǎng)店的報復(fù)行為——短信轟炸。通過各平臺獲取短信驗證碼存捺，達到惡意發(fā)送垃圾短信的工具槐沼。這種“短信炸彈”主要是通過特制的軟件不斷往一個手機號碼發(fā)重復(fù)的垃圾短信，以達到騷擾目標(biāo)用戶的效果捌治。

一個強大的短信轟炸機能做到每秒發(fā)送上百條短信岗钩！那么對于企業(yè)以及個人而言，我們應(yīng)該怎樣去保護自己的資產(chǎn)呢肖油？

對于個人跟企業(yè)兼吓，而言，可以考慮以下幾點：

1.針對單個手機號碼每天限定短信發(fā)送次數(shù)

解決思路：

每個手機號碼每天只允許發(fā)送固定數(shù)量的短信森枪，那么短信接口就不會被濫用了视搏。

實際效果：

短信轟炸機的工作原理是攻擊某個手機號時，攻擊程序同時請求無數(shù)的短信接口县袱，絕大部分情況下浑娜，每個網(wǎng)站的接口都只請求一兩次，并不會觸發(fā)短信發(fā)送數(shù)量上限署照。因此這種防護方式并沒有什么效果片部，對于網(wǎng)站來說详囤，看到的仍然是無數(shù)的手機號，每個都發(fā)送一兩條短信漓滔，但是無法區(qū)分，哪些手機號是真正的用戶乖篷，哪些是被攻擊的號碼响驴。

2.針對來源ip限制接口請求次數(shù)或頻率

解決思路：

限定單個ip地址的請求，即使一次攻擊多個號碼撕蔼，也可以有效識別豁鲤。

實際效果：

獲取一個ip實在太廉價了，普通家用寬帶都可以分分鐘通過斷開再撥號獲取多個ip鲸沮。網(wǎng)上各種提供代理ip的網(wǎng)站上都有無數(shù)的代理ip可以使用畅形，甚至淘寶上還有提供隨時撥號的動態(tài)vps服務(wù)器。

3.每條短信發(fā)送之前都加上驗證碼校驗

解決思路：

提供正確的驗證碼诉探，才發(fā)送短信日熬，徹底解決腳本問題

實際效果：

普普通通的驗證碼，通過OCR識別的方式可以瞬間轉(zhuǎn)成文本肾胯。稍復(fù)雜的驗證碼也可通過OCR+簡單機器學(xué)習(xí)破解竖席。

另外，早在2015年敬肚，我國發(fā)布的《通信短信息服務(wù)管理規(guī)定》中便明確要求：“短信息服務(wù)提供者毕荐、短消息內(nèi)容提供者，未經(jīng)用戶同意或請求艳馒，不得向其發(fā)送商業(yè)性短消息……”因此憎亚，很多公司發(fā)送營銷短信员寇，多會加上退訂方式。

歡迎持續(xù)關(guān)注我們微信公眾號（geetest_jy）第美，還可以添加技術(shù)助理微信“geetest1024”微信蝶锋，一起交流進步！