“短信轟炸”與手機病毒短信治理技術(shù)研究

［劉誠 黃凱方 吳文波］

1 引言

不法份子通過“短信轟炸”、發(fā)送手機病毒短信，不停的騷擾用戶并獲取用戶隱私，謀取非法收益并形成了一個龐大的黑色產(chǎn)業(yè)鏈。廣大用戶面對不法份子的這些惡行，自身能夠采取的自我保護手段極其有效并且效果不好，往往不堪其擾、苦不堪言。

電信運營商主動擔負起更大的社會責任，對“短信轟炸”、手機病毒短信主動出擊，采用新思路和新方法進行治理，有效的遏制了“短信轟炸”、手機病毒短信泛濫的局面，贏得了廣大用戶的好評，維護了社會秩序。

2 防“短信轟炸”技術(shù)介紹

2.1 “短信轟炸”的概念及其危害

目前用戶注冊、登錄登錄網(wǎng)站或APP 應(yīng)用時（例如登錄網(wǎng)上銀行、注冊微信賬號），網(wǎng)站或者APP 的服務(wù)提供者常常是通過給用戶手機下發(fā)“驗證碼”短信方式，來確定用戶合法身份，從而保護用戶的信息安全。但凡事有利就有弊，一個用戶如果1 小時如果只是收到幾條此類短信，那么用戶完全可以接受。但是如果一個用戶1 小時收到了成千上萬條此類短信，那用戶將會是怎樣的一種感受呢？

不法份子就是利用互聯(lián)網(wǎng)服務(wù)提供者這種下發(fā)“驗證碼”短信進行用戶身份驗證的機制，在用戶不知情的情況下，模擬用戶在短時間內(nèi)向成千上萬的網(wǎng)站、APP 進行注冊、登錄操作，導(dǎo)致用戶在短短一分鐘就收到多達上百條驗證碼短信，形成“短信轟炸”效果，如圖1 所示。

圖1 “短信轟炸”示意圖

目前“短信轟炸”已經(jīng)形成了一個規(guī)模龐大的灰色產(chǎn)業(yè)，不法份子對受害者手機進行大量短信惡意下發(fā)，影響用戶正常生活。更有甚者，他們專門挑選午休或凌晨時分對用戶進行短信轟炸，受害者往往突然被頻繁的短信通知聲從睡夢中驚醒，嚴重影響用戶的身心健康。

2.2 傳統(tǒng)防“短信轟炸”方法的缺陷

目前受害者對“短信轟炸”，很難進行有效的防御，困難主要是以下兩點。

（1）受害者無法預(yù)知“短信轟炸”何時發(fā)生。不法份子進行“短信轟炸”的時間是隨機的，因為短信接收功能太重要用戶也無法關(guān)閉短信接收功能，所以用戶只能被短信轟炸。

（2）“短信轟炸”的主叫號碼千變?nèi)f化，受害者無法精準設(shè)置短信黑名單號碼。受害者被短信轟炸后，部分對手機終端操作比較熟悉的用戶，會主動在智能手機上進行短信主叫黑名單設(shè)置，但這種被動的防御方式只適用于事后補救，并且因為主叫號碼千變?nèi)f化，根本無法精準設(shè)置短信黑名單號碼，所以防止效果極差。

2.3 新型防“短信轟炸”技術(shù)研究

針對目前“短信轟炸”受害者只能在手機上進行短信黑名單設(shè)置并且效果極差的現(xiàn)狀，某運營商通過從轟炸短信普遍具備的短時間大量這一典型特征，行業(yè)內(nèi)首創(chuàng)“防短信轟炸”技術(shù)，從用戶手機終端被動防治變?yōu)檫\營商網(wǎng)絡(luò)側(cè)主動治理，并取得了很好的治理效果。具體方法如下：

某運營商垃圾短信治理系統(tǒng)先通過特征識別能力，識別出用戶接收的短信是否是“驗證碼”短信，然后判斷某個用戶在某個周期內(nèi)（例如5 分鐘）接收的所有的“驗證碼”短信數(shù)量是否超量，如果超量（例如超過10 條）則自動對該用戶啟動“防短信轟炸”保護。在保護時段內(nèi)（例如24 小時）系統(tǒng)會自動將給用戶發(fā)送的所有“驗證碼”短信進行攔截，避免用戶收到騷擾。

此外，為避免誤攔用戶正常驗證碼信息，系統(tǒng)自動收集被利用轟炸的端口或簽名，僅攔截被利用轟炸的端口或簽名短信。

3 垃圾短信的概念和類型

3.1 手機病毒短信的概念和危害

手機病毒短信（以下簡稱病毒短信）是指在短信中含有一個網(wǎng)址鏈接并且此鏈接指向一個手機病毒下載地址的短信。一旦短信接收者點擊短信中的網(wǎng)址，就會自動觸發(fā)病毒下載和安裝，導(dǎo)致智能手機終端中毒。

病毒短信的危害性極大，主要體現(xiàn)在以下兩點。

（1）導(dǎo)致用戶隱私泄露和財產(chǎn)損失。用戶智能手機中毒后，病毒會將用戶保存在智能手機中的通訊錄、通話記錄、短信記錄、銀行賬號、照片、QQ 微信聊天紀錄、網(wǎng)絡(luò)購物記錄等信息上傳到不法份子的服務(wù)器中，不但導(dǎo)致用戶隱私泄露。更有甚者，不法份子利用獲取的用戶隱私信息，有針對性的設(shè)計詐騙方案，讓用戶防不勝防，給用戶造成重大經(jīng)濟損失。

（2）傳播隱蔽且極其迅速。病毒短信通常經(jīng)過精心的設(shè)計，常常與時事、社會熱點相結(jié)合（例如新冠防控、ETC、教育雙減），偽裝性極強，老人、初高中學生等大量擁有智能手機人群因為缺乏相關(guān)的防手機病毒知識和防范意識，往往被不法份子精心設(shè)計的病毒短信所欺騙且長期蒙在鼓中。此外病毒短信通常具備獲取用戶通訊錄后然后主動廣播發(fā)送病毒短信功能，一傳十、十傳百，短時間內(nèi)導(dǎo)致大量用戶終端中毒，危害極其巨大。

3.2 病毒短信傳統(tǒng)治理方法的缺陷

為了避免用戶手機遭受病毒短信的侵害，傳統(tǒng)的兩種方法是。

（1）手機上安裝殺毒軟件。

（2）加大反病毒短信知識宣傳，提高用戶警惕性，不點擊不明網(wǎng)址、不下載安裝不明手機應(yīng)用。

以上兩種防治方法均屬于用戶側(cè)被動防治并且效果不佳。安裝殺毒軟件不適合缺乏相關(guān)的IT 知識的人群，另外即使安裝了殺毒軟件也會導(dǎo)致用戶手機運行速度變慢影響用戶體驗，有時用戶甚至需要購買性能更好的手機導(dǎo)致額外花費；加大反病毒短信知識宣傳力度的局限性也很大，存在成本高、見效慢、時效性差的缺點。所以以上兩種防治病毒短信的方法難以有效的遏止病毒短信傳播。

3.3 病毒短信新型治理技術(shù)介紹

針對當前病毒短信只能由用戶單方面在手機上進行被動防御且防治效果較差的痛點，某運營商改變防治思路，從用戶側(cè)防治變?yōu)檫\營商網(wǎng)絡(luò)側(cè)防治，從用戶手機終端被動防治變?yōu)檫\營商網(wǎng)絡(luò)側(cè)主動治理，并取得了很好的治理效果，具體流程如圖2 所示。

當運營商短信反詐系統(tǒng)接收到一條短信后，先判斷該短信是否包括網(wǎng)址信息。如果短信中包括網(wǎng)址信息，就以這個網(wǎng)址為關(guān)鍵詞，分析新接收到的包括該網(wǎng)址的所有短信的發(fā)送行為特征，這些特征包括主叫號碼數(shù)量、短信發(fā)送數(shù)量、發(fā)送時間分布、被叫號碼發(fā)送離散度等，然后對這個網(wǎng)址的危害度進行評估。

如果網(wǎng)址經(jīng)評估后的危害級別為高，系統(tǒng)就通過爬蟲技術(shù)訪問網(wǎng)址獲取網(wǎng)址所承載的特征信息，其中特征包括靜態(tài)特征（網(wǎng)址長度特征、網(wǎng)址詞匯特征、網(wǎng)址相似特征、頂級域名等特征）和動態(tài)特征（瀏覽器特征、頁面跳轉(zhuǎn)特征、IP 地理位置的特征、安裝程序下載特征、文件屬性特征和程序行為特征），使用決策樹模型計算出綜合得分，判斷該短信是否為病毒短信并決定是否采取攔截。

4 結(jié)束語

本文介紹了“短信轟炸”、手機病毒短信的概念、對用戶的危害和傳統(tǒng)治理手段存在的缺陷，然后詳細介紹了某運營商在防“短信轟炸”、反手機病毒短信工作中采用的新思路和新方法。

圖2 病毒短信發(fā)現(xiàn)流程圖