2016年上半年，我國移動數據收首次超越移動語音成為電信業中占比最大的業務。而隨著微信的普及，如今短信的存在感也越來越低，已淪為接受驗證碼的工具。就是這樣一個似乎被人遺忘的功能，卻被黑產盯上......

1

回復TD即可退訂

網友一夜之間遭洗劫

兩年前的4月，一名北京網友M發布的“為什么一條短信就能騙走我所有的財產？”的文章在網絡引起關注。據M爆料，他在收到一條“訂閱增值業務”的短信，根據提示回復了“取消+驗證碼”之后，半天之內支付寶、銀行卡上的資金被席卷一空。

據反映，4月8日，在下班回家地鐵上。M的手機忽然收到一條短信：顯示來源為‘1065800’的號碼發來了一條短信雜志，這種垃圾雜志看多了，我第一反應是回復‘TD’。該短信回復我‘發的指令不正確。

隨后M相繼收到顯示為“10086”，以及“10658139013816280086”發來的信息，提示已開通“中廣財經半年包業務”，“如需退訂請編輯短信‘取消+校驗碼’至本條短信退訂”。而在另一條顯示來源為“10086”的信息中，該用戶收到“尊敬的客戶，您的USIM卡6位驗證碼為******”

在受到黑產給與的“訂購”壓力下，M于是按照“官方”提示進行了回復。隨后，M經歷了人生中最大的絕望：

M的支付寶、支付寶所綁定的招商銀行賬戶，以及工商銀行賬戶陸續發生轉賬。甚至在緊急解綁銀行卡之后，發現密碼已被篡改，中國銀行、招商銀行網銀根本無法登錄。而另一邊，黑產已通過網銀，將M洗劫一空！

2

“官方”短信來自哪里

僅憑短信如何完成轉賬

首先是“106短信平臺”，該平臺是基于中國移動，聯通和電信直接提供的短信端口與互聯網連接實現與客戶指定號碼進行短信批量發送和自定義發送的，它分為軟件客戶端CS 結構和網絡共享版B/S 結構。

大家可以翻下手機，你收到的短信以10655開頭的是聯通，10657是移動，10659則是電信，再后面的兩位是城市代碼。

而這所謂的“官方”賬號，其實是三大運營商將短信群發業務給到下有代理商手上的業務。而在某電商平臺上可以找到大量網店售賣，價格有的低至3分錢/條。

Magiccc聯系上了一家網店，對方表示，他們通過了三大運營商資質審核的，并擁有正規的電信增值業務許可證。作為代發渠道，對方表示他們的業務能夠實現國內全網覆蓋，移動、聯通、電信三網，加上普通、170號段全覆蓋。并且能夠將我提供的用戶信息，進行去重過濾、錯號過濾以及二次過濾，保證信息在8秒鐘之內到達，并且7*24小時全天發送。

另外，順帶也了解下當下一些代發短信的主流玩法：

常規的群發推送，不存在釣魚詐騙風險。只是存在回復無法退訂的情況。渠道商反饋，“退訂回T”僅僅一種方法，無實際效果。就算你回幾百遍‘T’，也無法退訂；

因為此類長號發送的推銷短信，觸及商家、短信代發渠道和短信接收方（即用戶）三方。針對部分無良商家，如果用戶回復短信退訂，則會被系統認為是活躍用戶，之后的推送將會更加頻繁；

最后第三類，黑產會通過在后臺設置參數，回復關鍵字退訂之后，后臺觸發執行“注冊”、“同意”等操作，如上述操作進行項目訂購，或者直接實施詐騙。

而所謂“10086”則是黑產通過偽基站或偽裝主叫號碼等手段，進行重復發送短信或者彩信，比如10658000端口發送手機報，或者“10086” 短信通知。具體操作：

1、????????黑產首先會弄到你的全套個人信息；

2、????????把所有驗證過密碼的手機號碼編組，先行取得白卡（即空中寫卡的目標卡），然后利用偽基站重復發送短信或者彩信，比如10658000端口發送手機報；

3、????????在第1步中，發送成功的號碼（偽基站設備有日志），再次利用偽基站發送短信，比如“三分鐘退訂不收費”，提示已經訂制XX包年業務，并且余額不足，提醒交費。此時用戶開始緊張，并關注系統退訂提示信息；

4、????????利用已知密碼，在運營商網站訂制換卡業務，并推送獲取運營商網站驗證短信。此時用戶手機從系統端口得到“USIM驗證碼XXXXXX”的信息；

5、????????用提前獲取的短信端口，向第2步發送成功客戶發送信息“如要取消，請回復取消+驗證碼”

6、????????用戶向此端口回復信息

7、????????利用用戶回復的驗證碼，自助換卡成功，然后利用此卡完成后續轉帳等操作。

3

隱私泄露

網上沖浪變網上“裸泳”

Magiccc曾經多次報道有關用戶隱私泄露的報道，如今隨著自社交媒體，論壇應用，甚至是購物網站，在平臺賬號進行注冊的時候，都需要填寫極為詳細的個人資料。這其中，就包括：姓名、手機號、身份證等敏感隱私信息。在利益的驅使下，一方面是企業以及機構內部人員進行用戶資料售賣，另外一方面則是黑產通過撞庫、洗庫后獲取的賬號信息。

你手持身份證自拍的照片，黑產都拿去干了啥？

而當黑產一旦弄到全套用戶信息后，類似M的遭遇就會發生！

4

垃圾廣告短信

淺談解決方案

大部分的網站和移動應用在注冊時使用手機號碼作為平臺賬號，利用短信驗證來鑒別手機號是否屬于用戶本人。因此，我們在各類平臺的注冊場景經常見到短信驗證。然而，這種驗證工具背后卻暗藏許多安全隱患，其中最主要的一種就是黑產利用各類平臺的短信驗證接口進行短信轟炸，也就是我們今天提到的垃圾廣告短信。

當然，還有一種極端的，常常出現在網店的報復行為——短信轟炸。通過各平臺獲取短信驗證碼，達到惡意發送垃圾短信的工具。這種“短信炸彈”主要是通過特制的軟件不斷往一個手機號碼發重復的垃圾短信，以達到騷擾目標用戶的效果。

一個強大的短信轟炸機能做到每秒發送上百條短信！那么對于企業以及個人而言，我們應該怎樣去保護自己的資產呢？

對于個人跟企業，而言，可以考慮以下幾點：

1.針對單個手機號碼每天限定短信發送次數

解決思路：

每個手機號碼每天只允許發送固定數量的短信，那么短信接口就不會被濫用了。

實際效果：

短信轟炸機的工作原理是攻擊某個手機號時，攻擊程序同時請求無數的短信接口，絕大部分情況下，每個網站的接口都只請求一兩次，并不會觸發短信發送數量上限。因此這種防護方式并沒有什么效果，對于網站來說，看到的仍然是無數的手機號，每個都發送一兩條短信，但是無法區分，哪些手機號是真正的用戶，哪些是被攻擊的號碼。

2.針對來源ip限制接口請求次數或頻率

解決思路：

限定單個ip地址的請求，即使一次攻擊多個號碼，也可以有效識別。

實際效果：

獲取一個ip實在太廉價了，普通家用寬帶都可以分分鐘通過斷開再撥號獲取多個ip。網上各種提供代理ip的網站上都有無數的代理ip可以使用，甚至淘寶上還有提供隨時撥號的動態vps服務器。

3.每條短信發送之前都加上驗證碼校驗

解決思路：

提供正確的驗證碼，才發送短信，徹底解決腳本問題

實際效果：

普普通通的驗證碼，通過OCR識別的方式可以瞬間轉成文本。稍復雜的驗證碼也可通過OCR+簡單機器學習破解。

另外，早在2015年，我國發布的《通信短信息服務管理規定》中便明確要求：“短信息服務提供者、短消息內容提供者，未經用戶同意或請求，不得向其發送商業性短消息……”因此，很多公司發送營銷短信，多會加上退訂方式。

歡迎持續關注我們微信公眾號（geetest_jy），還可以添加技術助理微信“geetest1024”微信，一起交流進步！