又到各大電商平臺“6·18年中大促”

“買買買”過后

如果你遇到產品質量等問題

會給商家打“差評”嗎？

會否因擔心商家報復而打消“差評”念頭？

近期

不少網友在社交平臺上反映

自己在電商平臺打“差評”后遭遇短信轟炸

嚴重影響日常生活

在此背后

暗藏從人肉搜索到打擊報復的“一條龍服務”

一起來關注

南都大數(shù)據研究院監(jiān)測發(fā)現(xiàn)，近期國內多個社交平臺上有網友反映遭遇短信轟炸，一天多達數(shù)百條，不勝其擾。研究員在某消費投訴平臺上以關鍵詞“差評+轟炸”檢索，發(fā)現(xiàn)超300條相關投訴。投訴案例集中反映，消費者由于網購商品質量問題、協(xié)商退款退貨難等而給商家打“差評”，隨后就遭遇短信轟炸等惡意騷擾。

研究員留意到，多名網友反映其收到的轟炸短信為來自不同網站的登錄驗證碼，其中不乏知名銀行、保險公司、電信運營商等平臺。不少網友因此擔心其個人信息可能遭遇泄露。

某消費投訴平臺上，有超過300條關于短信轟炸的投訴內容

這些驗證碼短信從何而來？有網絡安全專家向研究員介紹，這類短信轟炸主要通過劫持網站短信接口實現(xiàn)——

網絡安全專家解釋稱，這類劫持行為一般只觸及短信接口，不會直接入侵網站。但如果用戶手機同時安裝了可竊取短信內容的不良應用，或手機附近存在短信嗅探設備，網站下發(fā)的驗證碼就可能被不法分子獲取，進而導致用戶賬號被入侵。

有網友在社交平臺上展示其短時間內收到的大量驗證碼短信

網絡安全專家還表示，盡管公安部門長期對這類網絡違法犯罪保持高壓嚴打態(tài)勢，不少網站也已采取多項安全措施防范劫持行為。但只要網站提供“短信驗證登錄”功能，代碼的工作原理就依然有效。不法分子仍可對代碼加以改進或另尋其他防護不到位的接口繼續(xù)實現(xiàn)劫持。

研究員實測發(fā)現(xiàn)，在公安部門對違法行為的持續(xù)打擊下，如今搜索“呼死你”“轟炸”等關鍵詞，已很難尋覓到與短信轟炸相關的軟件或商家。但若更換為一些新興關鍵詞進行搜索，就可發(fā)現(xiàn)不少與短信轟炸相關的惡意代碼仍在互聯(lián)網上公開流傳。

大量與短信轟炸相關的惡意代碼內容在互聯(lián)網上公開流傳

研究員還發(fā)現(xiàn)，甚至有部分網民以所謂“技術研究”“學習分享”等名義，將相關惡意代碼與被劫持的短信接口打包部署，制作成可供訪問者免費使用的短信轟炸網站。訪問者只需輸入目標手機號碼，即可自行對該號碼啟動短信轟炸。

研究員使用個人手機號碼對其中一個提供在線轟炸的網站頁面進行測試。僅在一分鐘內，研究員的手機就收到了10條驗證碼短信。從內容來看，這些短信分別來自中國聯(lián)通、天鵝到家、巨人網絡、滬江網校等多個知名平臺。

某個提供在線短信轟炸的網站頁面

短信轟炸，其實現(xiàn)方式始終是向手機號碼發(fā)送大量短信。那么是否只要隱藏好自己的真實手機號碼，就能避免騷擾？答案可能令人失望。

在調查過程中，有部分網友向研究員反映，自己已使用電商或物流平臺提供的隱私號碼保護服務，商家理應無法知曉其真實號碼，但仍遭遇短信轟炸；甚至有網友稱自己僅在社交平臺發(fā)帖表達對某一產品或商家的不滿，在未透露具體訂單信息的情況下同樣遭遇精準的短信轟炸，對商家獲取個人信息的手段感到疑惑。

研究員深入調查發(fā)現(xiàn)，隨著相關灰黑產業(yè)鏈不斷發(fā)展，一些不法分子已將短信轟炸技術與“社工庫”相結合，形成從人肉搜索到打擊報復的“一條龍服務”。

在某個提供在線短信轟炸的網站上，研究員留意到其同時接入了一個免費查詢的“社工庫”，為用戶提供“QQ反查”“微博反查”等服務。用戶只需輸入QQ號碼或微博ID，即可檢索到該賬號綁定的手機號碼，進而對目標發(fā)起短信轟炸。

某在線短信轟炸網站同時提供“QQ反查”等服務

關于這類免費“社工庫”，有網絡安全專家表示，這應該是一些早年間泄露的網站數(shù)據，由于經歷多次交易，灰黑產行業(yè)內幾乎“人手一份”，難以繼續(xù)出售牟利。因此也有一些灰黑產團伙將其主動公開，用于吸引流量、招徠顧客。

該名網絡安全專家強調，雖然這些免費“社工庫”在灰黑產團伙眼里“不值錢”，但其中依然包含大量個人隱私信息，存在巨大的數(shù)據安全風險。

網絡安全專家坦言，近年來，一些灰黑產團伙為彰顯實力、招攬生意，有意用免費“社工庫”、短信轟炸等低成本工具吸引用戶，再引誘用戶購買更多付費服務。

“你不需要學習任何的技術知識，只需要掌握對方一個社交賬號的名稱，就能快速查到對方的真實聯(lián)系方式；再點一下鼠標，還能直接向對方發(fā)起短信轟炸。最重要的是，整個過程你一分錢都不用花，是真真正正的零成本�！痹诘烷T檻、零成本的誘惑下，一些不法商家愿意采取類似手段惡意騷擾客戶。

事實上

短信轟炸等網絡犯罪行為

一直都是相關部門嚴厲打擊的對象

有網絡安全專家指出

毫無疑問的是

構建“社工庫”、提供短信轟炸服務

均屬違法行為

我國《網絡安全法》已明確規(guī)定，任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數(shù)據等危害網絡安全的活動。

但是，由于早年間國內外不少網站對數(shù)據安全重視程度不足，發(fā)生過多起信息泄露事件，很多數(shù)據庫經歷多次流轉，已很難追尋源頭并封堵。同樣，短信驗證碼給手機用戶帶來不少便利，若為解決短信轟炸問題而禁止該功能，似乎是“因噎廢食”。在如何治理相關違法犯罪問題方面，仍需平臺企業(yè)、公安部門集思廣益、謀劃良策。

如果個人遭遇短信轟炸

該如何維權呢？

壓實網站平臺主體責任

也是必不可少的反短信轟炸手段

有網絡安全專家對平臺側提出建議：當短信平臺檢測到某一號碼短時間內大量、頻繁申請短信時，應及時識別告警，并與該號碼用戶取得聯(lián)系，了解情況，必要時暫停下發(fā)短信，阻止轟炸行為。

此外，網站平臺可采用加強人機驗證、限制單IP請求次數(shù)、限制用戶短信請求間隔等方式保護自身短信接口。只要下發(fā)的短信無法實現(xiàn)“轟炸”效果，不法分子自然會放棄使用這一手段攻擊目標用戶。

目前

已有多家運營商為用戶提供應急防護服務

開通方式如下

☛ 移動用戶

可通過營業(yè)廳、10086熱線或網上營業(yè)廳免費訂購“短信炸彈”短信應急防護服務。開通該服務后，除10086開頭短信號碼，其他所有端口類短信均將被攔截。用戶可根據自身需要設置防護服務有效期（默認一天，最長一年，最小防護單位為“天”）。

☛ 聯(lián)通用戶

可關注微信公眾號“智慧沃服務”，免費開通“聯(lián)通手機管家”服務，開啟“營銷短信攔截”功能。

☛ 電信用戶

可關注微信公眾號“天翼防騷擾”，免費開通防騷擾服務。

對此你有哪些想說的

快來評論區(qū)留言吧！