本是APP注冊(cè)、網(wǎng)站登錄用于身份驗(yàn)證的手機(jī)短信驗(yàn)證碼，搖身一變反倒成了騷擾手機(jī)用戶的幫兇。

　　近期，本報(bào)接到不少用戶投訴，反映自己手機(jī)突然“抽風(fēng)”：在非本人操作情況下，每分鐘都收到幾條用自己手機(jī)號(hào)登錄注冊(cè)的驗(yàn)證碼短信，一天能接收數(shù)百條這樣的短信，不勝其擾。

　　這到底怎么回事？湖北日?qǐng)?bào)全媒記者進(jìn)行了調(diào)查。

　　武漢一男子月收3萬(wàn)余條騷擾驗(yàn)證碼

　　7月17日，市民殷女士向記者透露，當(dāng)日17時(shí)至18時(shí)30分，她的手機(jī)突然接到40余條手機(jī)短信驗(yàn)證碼，短信號(hào)碼以“106”開頭，發(fā)送短信的平臺(tái)全是正規(guī)機(jī)構(gòu)，包括支付寶、騰訊科技、高德地圖、大眾點(diǎn)評(píng)、新浪新聞、餓了么、阿里巴巴、美團(tuán)網(wǎng)、途牛旅游網(wǎng)、58同城、百果園等。

　　“自己當(dāng)時(shí)還未下班，根本沒(méi)時(shí)間玩手機(jī)，短時(shí)間大量登錄注冊(cè)，這絕非自己所為。”殷女士表示，估計(jì)自己在被人惡意騷擾。

　　根據(jù)殷女士反映的問(wèn)題，記者咨詢湖北移動(dòng)公司得知，這屬于黑客程序“短信轟炸機(jī)”的惡意攻擊。這種軟件利用網(wǎng)站或APP的“發(fā)送手機(jī)驗(yàn)證碼”接口，可實(shí)現(xiàn)海量網(wǎng)站給同一個(gè)手機(jī)號(hào)碼發(fā)送多條驗(yàn)證碼信息。最厲害的“短信轟炸機(jī)”能1分鐘內(nèi)給同一個(gè)手機(jī)號(hào)發(fā)送超過(guò)100條短信。

　　湖北移動(dòng)公司10086客服平臺(tái)后臺(tái)記錄顯示：近期，武漢一男用戶手機(jī)1個(gè)月內(nèi)，收到3萬(wàn)多條網(wǎng)站注冊(cè)或找回密碼的短信，用戶有時(shí)只能無(wú)奈關(guān)機(jī)。

　　不法分子用垃圾短信惡意騷擾并不鮮見(jiàn)。幾年前，就有浙江和廣東的手機(jī)用戶，因網(wǎng)購(gòu)中給商家“差評(píng)”遭對(duì)方用垃圾短信報(bào)復(fù)。公安機(jī)關(guān)接到報(bào)案后，曾挖出“短信轟炸機(jī)”背后的黑色產(chǎn)業(yè)利益鏈條，并逮捕了相關(guān)涉案人員。

　　如今，網(wǎng)上雖然赤裸裸的“短信轟炸”軟件不見(jiàn)蹤影，但不少刷好評(píng)、點(diǎn)贊、粉絲數(shù)量等刷單軟件具備短信轟炸功能。記者在軟件論壇，下載了多款用于淘寶、新浪、陌陌等網(wǎng)站用戶賬號(hào)注冊(cè)、驗(yàn)證的小程序，這些軟件在“參數(shù)設(shè)置”選項(xiàng)上，都具備自動(dòng)復(fù)制手機(jī)號(hào)、自動(dòng)復(fù)制短信、每5秒自動(dòng)獲取驗(yàn)證碼等功能。

　　一位網(wǎng)站維護(hù)工程師告訴記者，對(duì)專業(yè)人士而言，制作“短信轟炸機(jī)”程序非常簡(jiǎn)單，集成海量網(wǎng)站短信驗(yàn)證碼接口鏈接，再循環(huán)利用指定手機(jī)號(hào)發(fā)送用戶注冊(cè)、密碼修改等正常驗(yàn)證碼請(qǐng)求，便可達(dá)到騷擾的目的。

　　束手無(wú)策，運(yùn)營(yíng)商只能暫停用戶驗(yàn)證短信接收功能

　　對(duì)于廣告推銷類垃圾短信，我省通信運(yùn)營(yíng)商已有應(yīng)對(duì)之策。

　　省通信管理局?jǐn)?shù)據(jù)顯示：2007年，垃圾短信問(wèn)題開始在我省“冒泡”。隨后，在主管部門要求下，運(yùn)營(yíng)商將原來(lái)3分錢至5分錢一條的廣告營(yíng)銷類短信，價(jià)格升至0.1元一條，并設(shè)置了每小時(shí)短信發(fā)送條數(shù)限制（不得超過(guò)500條）等技術(shù)門檻。

　　2015年以來(lái)，運(yùn)營(yíng)商與騰訊、360等企業(yè)合作，建立了垃圾短信攔截系統(tǒng)，通過(guò)關(guān)鍵字、多音字、諧音字、特殊符號(hào)等關(guān)聯(lián)分析，將短信來(lái)源列入黑名單，實(shí)現(xiàn)垃圾短信自動(dòng)攔截。今年上半年，我省廣告營(yíng)銷類短信業(yè)務(wù)量同比降幅超過(guò)20%。

　　湖北移動(dòng)公司一位技術(shù)專家表示，通過(guò)價(jià)格杠桿和技術(shù)手段，可逐步解決廣告推銷類垃圾短信，但驗(yàn)證碼短信基本來(lái)自運(yùn)營(yíng)商監(jiān)控“白名單”里的平臺(tái)（微博、支付寶等），運(yùn)營(yíng)商很難甄別用戶手機(jī)是正常登錄驗(yàn)證行為，還是不法分子用“短信轟炸機(jī)”的惡意騷擾行為。

　　不堪其擾的殷女士通過(guò)咨詢，編輯短信502發(fā)送給10086，開通“短信炸彈防護(hù)功能”后，驗(yàn)證碼騷擾短信才得以終止。但是，該防護(hù)功能是把“雙刃劍”，相當(dāng)于運(yùn)營(yíng)商關(guān)閉用戶驗(yàn)證短信接收功能，這會(huì)影響用戶的銀行交易、電商購(gòu)物等正常驗(yàn)證碼使用。

　　“目前，業(yè)界還沒(méi)有有效的攔截手段?！焙彪娦殴炯夹g(shù)專家表示，運(yùn)營(yíng)商服務(wù)器不可能被“短信轟炸機(jī)”攻擊，類似殷女士這樣被騷擾的用戶，一般是因手機(jī)號(hào)碼泄漏，遭到不法分子非法利用導(dǎo)致。在未經(jīng)過(guò)用戶許可的前提下，運(yùn)營(yíng)商不敢擅自關(guān)閉用戶的短信接收功能。

　　加強(qiáng)端口管控，驗(yàn)證碼防護(hù)體系亟待建立

　　省通信管理局專家認(rèn)為，阻止“短信轟炸機(jī)”攻擊，可借鑒攔截騷擾電話經(jīng)驗(yàn)，通過(guò)大數(shù)據(jù)主動(dòng)識(shí)別特征，主動(dòng)標(biāo)記問(wèn)題手機(jī)號(hào)的異常登錄注冊(cè)行為，系統(tǒng)再根據(jù)攔截標(biāo)準(zhǔn)，進(jìn)行機(jī)器干預(yù)或人工干預(yù)。

　　目前“騷擾電話預(yù)警系統(tǒng)”可監(jiān)控用戶的通話行為，當(dāng)發(fā)現(xiàn)一個(gè)號(hào)碼1小時(shí)內(nèi)通話次數(shù)超過(guò)100次，且多數(shù)通話時(shí)長(zhǎng)不超過(guò)10秒鐘，系統(tǒng)就能智能分析，自主生成騷擾電話號(hào)碼庫(kù)，實(shí)現(xiàn)系統(tǒng)主動(dòng)攔截?！艾F(xiàn)在的難點(diǎn)在于確定標(biāo)準(zhǔn)，如同一手機(jī)號(hào)在單位時(shí)間內(nèi)接收多少驗(yàn)證碼屬于騷擾等，這需要行業(yè)主管部門與運(yùn)營(yíng)商協(xié)同完成，目前公司已啟動(dòng)專題技術(shù)調(diào)研?！焙币苿?dòng)公司技術(shù)人員透露。

　　從事驗(yàn)證碼產(chǎn)品開發(fā)的武漢極意網(wǎng)絡(luò)科技有限公司技術(shù)專家告訴記者，目前，全國(guó)每年各類APP、網(wǎng)站發(fā)送的短信驗(yàn)證碼條數(shù)在1000億至2000億條，接收短信的用戶雖然不用掏錢，但這些APP、網(wǎng)站的運(yùn)營(yíng)企業(yè)需要向通信運(yùn)營(yíng)商繳納每條3分錢至5分錢的費(fèi)用，若有“短信轟炸機(jī)”惡意發(fā)送驗(yàn)證碼，不但騷擾了用戶，也增加了企業(yè)不必要的資費(fèi)開支。建議各APP、網(wǎng)站的運(yùn)營(yíng)企業(yè)加強(qiáng)端口管控，在用戶輸入手機(jī)號(hào)發(fā)送驗(yàn)證碼前，增加數(shù)字、圖片、行為等“二次驗(yàn)證”，以及限制單IP請(qǐng)求次數(shù)、發(fā)送驗(yàn)證條數(shù)等，增加一把安全鎖。