[劉誠 黃凱方 吳文波]
不法份子通過“短信轟炸”、發(fā)送手機(jī)病毒短信,不停的騷擾用戶并獲取用戶隱私,謀取非法收益并形成了一個龐大的黑色產(chǎn)業(yè)鏈。廣大用戶面對不法份子的這些惡行,自身能夠采取的自我保護(hù)手段極其有效并且效果不好,往往不堪其擾、苦不堪言。
電信運(yùn)營商主動擔(dān)負(fù)起更大的社會責(zé)任,對“短信轟炸”、手機(jī)病毒短信主動出擊,采用新思路和新方法進(jìn)行治理,有效的遏制了“短信轟炸”、手機(jī)病毒短信泛濫的局面,贏得了廣大用戶的好評,維護(hù)了社會秩序。
目前用戶注冊、登錄登錄網(wǎng)站或APP 應(yīng)用時(例如登錄網(wǎng)上銀行、注冊微信賬號),網(wǎng)站或者APP 的服務(wù)提供者常常是通過給用戶手機(jī)下發(fā)“驗證碼”短信方式,來確定用戶合法身份,從而保護(hù)用戶的信息安全。但凡事有利就有弊,一個用戶如果1 小時如果只是收到幾條此類短信,那么用戶完全可以接受。但是如果一個用戶1 小時收到了成千上萬條此類短信,那用戶將會是怎樣的一種感受呢?
不法份子就是利用互聯(lián)網(wǎng)服務(wù)提供者這種下發(fā)“驗證碼”短信進(jìn)行用戶身份驗證的機(jī)制,在用戶不知情的情況下,模擬用戶在短時間內(nèi)向成千上萬的網(wǎng)站、APP 進(jìn)行注冊、登錄操作,導(dǎo)致用戶在短短一分鐘就收到多達(dá)上百條驗證碼短信,形成“短信轟炸”效果,如圖1 所示。
圖1 “短信轟炸”示意圖
目前“短信轟炸”已經(jīng)形成了一個規(guī)模龐大的灰色產(chǎn)業(yè),不法份子對受害者手機(jī)進(jìn)行大量短信惡意下發(fā),影響用戶正常生活。更有甚者,他們專門挑選午休或凌晨時分對用戶進(jìn)行短信轟炸,受害者往往突然被頻繁的短信通知聲從睡夢中驚醒,嚴(yán)重影響用戶的身心健康。
目前受害者對“短信轟炸”,很難進(jìn)行有效的防御,困難主要是以下兩點。
(1)受害者無法預(yù)知“短信轟炸”何時發(fā)生。不法份子進(jìn)行“短信轟炸”的時間是隨機(jī)的,因為短信接收功能太重要用戶也無法關(guān)閉短信接收功能,所以用戶只能被短信轟炸。
(2)“短信轟炸”的主叫號碼千變?nèi)f化,受害者無法精準(zhǔn)設(shè)置短信黑名單號碼。受害者被短信轟炸后,部分對手機(jī)終端操作比較熟悉的用戶,會主動在智能手機(jī)上進(jìn)行短信主叫黑名單設(shè)置,但這種被動的防御方式只適用于事后補(bǔ)救,并且因為主叫號碼千變?nèi)f化,根本無法精準(zhǔn)設(shè)置短信黑名單號碼,所以防止效果極差。
針對目前“短信轟炸”受害者只能在手機(jī)上進(jìn)行短信黑名單設(shè)置并且效果極差的現(xiàn)狀,某運(yùn)營商通過從轟炸短信普遍具備的短時間大量這一典型特征,行業(yè)內(nèi)首創(chuàng)“防短信轟炸”技術(shù),從用戶手機(jī)終端被動防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)主動治理,并取得了很好的治理效果。具體方法如下:
某運(yùn)營商垃圾短信治理系統(tǒng)先通過特征識別能力,識別出用戶接收的短信是否是“驗證碼”短信,然后判斷某個用戶在某個周期內(nèi)(例如5 分鐘)接收的所有的“驗證碼”短信數(shù)量是否超量,如果超量(例如超過10 條)則自動對該用戶啟動“防短信轟炸”保護(hù)。在保護(hù)時段內(nèi)(例如24 小時)系統(tǒng)會自動將給用戶發(fā)送的所有“驗證碼”短信進(jìn)行攔截,避免用戶收到騷擾。
此外,為避免誤攔用戶正常驗證碼信息,系統(tǒng)自動收集被利用轟炸的端口或簽名,僅攔截被利用轟炸的端口或簽名短信。
手機(jī)病毒短信(以下簡稱病毒短信)是指在短信中含有一個網(wǎng)址鏈接并且此鏈接指向一個手機(jī)病毒下載地址的短信。一旦短信接收者點擊短信中的網(wǎng)址,就會自動觸發(fā)病毒下載和安裝,導(dǎo)致智能手機(jī)終端中毒。
病毒短信的危害性極大,主要體現(xiàn)在以下兩點。
(1)導(dǎo)致用戶隱私泄露和財產(chǎn)損失。用戶智能手機(jī)中毒后,病毒會將用戶保存在智能手機(jī)中的通訊錄、通話記錄、短信記錄、銀行賬號、照片、QQ 微信聊天紀(jì)錄、網(wǎng)絡(luò)購物記錄等信息上傳到不法份子的服務(wù)器中,不但導(dǎo)致用戶隱私泄露。更有甚者,不法份子利用獲取的用戶隱私信息,有針對性的設(shè)計詐騙方案,讓用戶防不勝防,給用戶造成重大經(jīng)濟(jì)損失。
(2)傳播隱蔽且極其迅速。病毒短信通常經(jīng)過精心的設(shè)計,常常與時事、社會熱點相結(jié)合(例如新冠防控、ETC、教育雙減),偽裝性極強(qiáng),老人、初高中學(xué)生等大量擁有智能手機(jī)人群因為缺乏相關(guān)的防手機(jī)病毒知識和防范意識,往往被不法份子精心設(shè)計的病毒短信所欺騙且長期蒙在鼓中。此外病毒短信通常具備獲取用戶通訊錄后然后主動廣播發(fā)送病毒短信功能,一傳十、十傳百,短時間內(nèi)導(dǎo)致大量用戶終端中毒,危害極其巨大。
為了避免用戶手機(jī)遭受病毒短信的侵害,傳統(tǒng)的兩種方法是。
(1)手機(jī)上安裝殺毒軟件。
(2)加大反病毒短信知識宣傳,提高用戶警惕性,不點擊不明網(wǎng)址、不下載安裝不明手機(jī)應(yīng)用。
以上兩種防治方法均屬于用戶側(cè)被動防治并且效果不佳。安裝殺毒軟件不適合缺乏相關(guān)的IT 知識的人群,另外即使安裝了殺毒軟件也會導(dǎo)致用戶手機(jī)運(yùn)行速度變慢影響用戶體驗,有時用戶甚至需要購買性能更好的手機(jī)導(dǎo)致額外花費;加大反病毒短信知識宣傳力度的局限性也很大,存在成本高、見效慢、時效性差的缺點。所以以上兩種防治病毒短信的方法難以有效的遏止病毒短信傳播。
針對當(dāng)前病毒短信只能由用戶單方面在手機(jī)上進(jìn)行被動防御且防治效果較差的痛點,某運(yùn)營商改變防治思路,從用戶側(cè)防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)防治,從用戶手機(jī)終端被動防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)主動治理,并取得了很好的治理效果,具體流程如圖2 所示。
當(dāng)運(yùn)營商短信反詐系統(tǒng)接收到一條短信后,先判斷該短信是否包括網(wǎng)址信息。如果短信中包括網(wǎng)址信息,就以這個網(wǎng)址為關(guān)鍵詞,分析新接收到的包括該網(wǎng)址的所有短信的發(fā)送行為特征,這些特征包括主叫號碼數(shù)量、短信發(fā)送數(shù)量、發(fā)送時間分布、被叫號碼發(fā)送離散度等,然后對這個網(wǎng)址的危害度進(jìn)行評估。
如果網(wǎng)址經(jīng)評估后的危害級別為高,系統(tǒng)就通過爬蟲技術(shù)訪問網(wǎng)址獲取網(wǎng)址所承載的特征信息,其中特征包括靜態(tài)特征(網(wǎng)址長度特征、網(wǎng)址詞匯特征、網(wǎng)址相似特征、頂級域名等特征)和動態(tài)特征(瀏覽器特征、頁面跳轉(zhuǎn)特征、IP 地理位置的特征、安裝程序下載特征、文件屬性特征和程序行為特征),使用決策樹模型計算出綜合得分,判斷該短信是否為病毒短信并決定是否采取攔截。
本文介紹了“短信轟炸”、手機(jī)病毒短信的概念、對用戶的危害和傳統(tǒng)治理手段存在的缺陷,然后詳細(xì)介紹了某運(yùn)營商在防“短信轟炸”、反手機(jī)病毒短信工作中采用的新思路和新方法。
圖2 病毒短信發(fā)現(xiàn)流程圖