“短信轟炸”與手機(jī)病毒短信治理技術(shù)研究

［劉誠 黃凱方 吳文波］

1 引言

不法份子通過“短信轟炸”、發(fā)送手機(jī)病毒短信，不停的騷擾用戶并獲取用戶隱私，謀取非法收益并形成了一個龐大的黑色產(chǎn)業(yè)鏈。廣大用戶面對不法份子的這些惡行，自身能夠采取的自我保護(hù)手段極其有效并且效果不好，往往不堪其擾、苦不堪言。

電信運(yùn)營商主動擔(dān)負(fù)起更大的社會責(zé)任，對“短信轟炸”、手機(jī)病毒短信主動出擊，采用新思路和新方法進(jìn)行治理，有效的遏制了“短信轟炸”、手機(jī)病毒短信泛濫的局面，贏得了廣大用戶的好評，維護(hù)了社會秩序。

2 防“短信轟炸”技術(shù)介紹

2.1 “短信轟炸”的概念及其危害

目前用戶注冊、登錄登錄網(wǎng)站或APP 應(yīng)用時（例如登錄網(wǎng)上銀行、注冊微信賬號），網(wǎng)站或者APP 的服務(wù)提供者常常是通過給用戶手機(jī)下發(fā)“驗證碼”短信方式，來確定用戶合法身份，從而保護(hù)用戶的信息安全。但凡事有利就有弊，一個用戶如果1 小時如果只是收到幾條此類短信，那么用戶完全可以接受。但是如果一個用戶1 小時收到了成千上萬條此類短信，那用戶將會是怎樣的一種感受呢？

不法份子就是利用互聯(lián)網(wǎng)服務(wù)提供者這種下發(fā)“驗證碼”短信進(jìn)行用戶身份驗證的機(jī)制，在用戶不知情的情況下，模擬用戶在短時間內(nèi)向成千上萬的網(wǎng)站、APP 進(jìn)行注冊、登錄操作，導(dǎo)致用戶在短短一分鐘就收到多達(dá)上百條驗證碼短信，形成“短信轟炸”效果，如圖1 所示。

圖1 “短信轟炸”示意圖

目前“短信轟炸”已經(jīng)形成了一個規(guī)模龐大的灰色產(chǎn)業(yè)，不法份子對受害者手機(jī)進(jìn)行大量短信惡意下發(fā)，影響用戶正常生活。更有甚者，他們專門挑選午休或凌晨時分對用戶進(jìn)行短信轟炸，受害者往往突然被頻繁的短信通知聲從睡夢中驚醒，嚴(yán)重影響用戶的身心健康。

2.2 傳統(tǒng)防“短信轟炸”方法的缺陷

目前受害者對“短信轟炸”，很難進(jìn)行有效的防御，困難主要是以下兩點。

（1）受害者無法預(yù)知“短信轟炸”何時發(fā)生。不法份子進(jìn)行“短信轟炸”的時間是隨機(jī)的，因為短信接收功能太重要用戶也無法關(guān)閉短信接收功能，所以用戶只能被短信轟炸。

（2）“短信轟炸”的主叫號碼千變?nèi)f化，受害者無法精準(zhǔn)設(shè)置短信黑名單號碼。受害者被短信轟炸后，部分對手機(jī)終端操作比較熟悉的用戶，會主動在智能手機(jī)上進(jìn)行短信主叫黑名單設(shè)置，但這種被動的防御方式只適用于事后補(bǔ)救，并且因為主叫號碼千變?nèi)f化，根本無法精準(zhǔn)設(shè)置短信黑名單號碼，所以防止效果極差。

2.3 新型防“短信轟炸”技術(shù)研究

針對目前“短信轟炸”受害者只能在手機(jī)上進(jìn)行短信黑名單設(shè)置并且效果極差的現(xiàn)狀，某運(yùn)營商通過從轟炸短信普遍具備的短時間大量這一典型特征，行業(yè)內(nèi)首創(chuàng)“防短信轟炸”技術(shù)，從用戶手機(jī)終端被動防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)主動治理，并取得了很好的治理效果。具體方法如下：

某運(yùn)營商垃圾短信治理系統(tǒng)先通過特征識別能力，識別出用戶接收的短信是否是“驗證碼”短信，然后判斷某個用戶在某個周期內(nèi)（例如5 分鐘）接收的所有的“驗證碼”短信數(shù)量是否超量，如果超量（例如超過10 條）則自動對該用戶啟動“防短信轟炸”保護(hù)。在保護(hù)時段內(nèi)（例如24 小時）系統(tǒng)會自動將給用戶發(fā)送的所有“驗證碼”短信進(jìn)行攔截，避免用戶收到騷擾。

此外，為避免誤攔用戶正常驗證碼信息，系統(tǒng)自動收集被利用轟炸的端口或簽名，僅攔截被利用轟炸的端口或簽名短信。

3 垃圾短信的概念和類型

3.1 手機(jī)病毒短信的概念和危害

手機(jī)病毒短信（以下簡稱病毒短信）是指在短信中含有一個網(wǎng)址鏈接并且此鏈接指向一個手機(jī)病毒下載地址的短信。一旦短信接收者點擊短信中的網(wǎng)址，就會自動觸發(fā)病毒下載和安裝，導(dǎo)致智能手機(jī)終端中毒。

病毒短信的危害性極大，主要體現(xiàn)在以下兩點。

（1）導(dǎo)致用戶隱私泄露和財產(chǎn)損失。用戶智能手機(jī)中毒后，病毒會將用戶保存在智能手機(jī)中的通訊錄、通話記錄、短信記錄、銀行賬號、照片、QQ 微信聊天紀(jì)錄、網(wǎng)絡(luò)購物記錄等信息上傳到不法份子的服務(wù)器中，不但導(dǎo)致用戶隱私泄露。更有甚者，不法份子利用獲取的用戶隱私信息，有針對性的設(shè)計詐騙方案，讓用戶防不勝防，給用戶造成重大經(jīng)濟(jì)損失。

（2）傳播隱蔽且極其迅速。病毒短信通常經(jīng)過精心的設(shè)計，常常與時事、社會熱點相結(jié)合（例如新冠防控、ETC、教育雙減），偽裝性極強(qiáng)，老人、初高中學(xué)生等大量擁有智能手機(jī)人群因為缺乏相關(guān)的防手機(jī)病毒知識和防范意識，往往被不法份子精心設(shè)計的病毒短信所欺騙且長期蒙在鼓中。此外病毒短信通常具備獲取用戶通訊錄后然后主動廣播發(fā)送病毒短信功能，一傳十、十傳百，短時間內(nèi)導(dǎo)致大量用戶終端中毒，危害極其巨大。

3.2 病毒短信傳統(tǒng)治理方法的缺陷

為了避免用戶手機(jī)遭受病毒短信的侵害，傳統(tǒng)的兩種方法是。

（1）手機(jī)上安裝殺毒軟件。

（2）加大反病毒短信知識宣傳，提高用戶警惕性，不點擊不明網(wǎng)址、不下載安裝不明手機(jī)應(yīng)用。

以上兩種防治方法均屬于用戶側(cè)被動防治并且效果不佳。安裝殺毒軟件不適合缺乏相關(guān)的IT 知識的人群，另外即使安裝了殺毒軟件也會導(dǎo)致用戶手機(jī)運(yùn)行速度變慢影響用戶體驗，有時用戶甚至需要購買性能更好的手機(jī)導(dǎo)致額外花費；加大反病毒短信知識宣傳力度的局限性也很大，存在成本高、見效慢、時效性差的缺點。所以以上兩種防治病毒短信的方法難以有效的遏止病毒短信傳播。

3.3 病毒短信新型治理技術(shù)介紹

針對當(dāng)前病毒短信只能由用戶單方面在手機(jī)上進(jìn)行被動防御且防治效果較差的痛點，某運(yùn)營商改變防治思路，從用戶側(cè)防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)防治，從用戶手機(jī)終端被動防治變?yōu)檫\(yùn)營商網(wǎng)絡(luò)側(cè)主動治理，并取得了很好的治理效果，具體流程如圖2 所示。

當(dāng)運(yùn)營商短信反詐系統(tǒng)接收到一條短信后，先判斷該短信是否包括網(wǎng)址信息。如果短信中包括網(wǎng)址信息，就以這個網(wǎng)址為關(guān)鍵詞，分析新接收到的包括該網(wǎng)址的所有短信的發(fā)送行為特征，這些特征包括主叫號碼數(shù)量、短信發(fā)送數(shù)量、發(fā)送時間分布、被叫號碼發(fā)送離散度等，然后對這個網(wǎng)址的危害度進(jìn)行評估。

如果網(wǎng)址經(jīng)評估后的危害級別為高，系統(tǒng)就通過爬蟲技術(shù)訪問網(wǎng)址獲取網(wǎng)址所承載的特征信息，其中特征包括靜態(tài)特征（網(wǎng)址長度特征、網(wǎng)址詞匯特征、網(wǎng)址相似特征、頂級域名等特征）和動態(tài)特征（瀏覽器特征、頁面跳轉(zhuǎn)特征、IP 地理位置的特征、安裝程序下載特征、文件屬性特征和程序行為特征），使用決策樹模型計算出綜合得分，判斷該短信是否為病毒短信并決定是否采取攔截。

4 結(jié)束語

本文介紹了“短信轟炸”、手機(jī)病毒短信的概念、對用戶的危害和傳統(tǒng)治理手段存在的缺陷，然后詳細(xì)介紹了某運(yùn)營商在防“短信轟炸”、反手機(jī)病毒短信工作中采用的新思路和新方法。

圖2 病毒短信發(fā)現(xiàn)流程圖