2016年上半年，我国移动数据收首次超越移动语音成为电信业中占比最大的业务。而随着微信的普及，如今短信的存在感也越来越低，已沦为接受验证码的工具。就是这样一个似乎被人遗忘的功能，却被黑产盯上......

1

回复TD即可退订

网友一夜之间遭洗劫

两年前的4月，一名北京网友M发布的“为什么一条短信就能骗走我所有的财产？”的文章在网络引起关注。据M爆料，他在收到一条“订阅增值业务”的短信，根据提示回复了“取消+验证码”之后，半天之内支付宝、银行卡上的资金被席卷一空。

据反映，4月8日，在下班回家地铁上。M的手机忽然收到一条短信：显示来源为‘1065800’的号码发来了一条短信杂志，这种垃圾杂志看多了，我第一反应是回复‘TD’。该短信回复我‘发的指令不正确。

随后M相继收到显示为“10086”，以及“10658139013816280086”发来的信息，提示已开通“中广财经半年包业务”，“如需退订请编辑短信‘取消+校验码’至本条短信退订”。而在另一条显示来源为“10086”的信息中，该用户收到“尊敬的客户，您的USIM卡6位验证码为******”

在受到黑产给与的“订购”压力下，M于是按照“官方”提示进行了回复。随后，M经历了人生中最大的绝望：

M的支付宝、支付宝所绑定的招商银行账户，以及工商银行账户陆续发生转账。甚至在紧急解绑银行卡之后，发现密码已被篡改，中国银行、招商银行网银根本无法登录。而另一边，黑产已通过网银，将M洗劫一空！

2

“官方”短信来自哪里

仅凭短信如何完成转账

首先是“106短信平台”，该平台是基于中国移动，联通和电信直接提供的短信端口与互联网连接实现与客户指定号码进行短信批量发送和自定义发送的，它分为软件客户端CS 结构和网络共享版B/S 结构。

大家可以翻下手机，你收到的短信以10655开头的是联通，10657是移动，10659则是电信，再后面的两位是城市代码。

而这所谓的“官方”账号，其实是三大运营商将短信群发业务给到下有代理商手上的业务。而在某电商平台上可以找到大量网店售卖，价格有的低至3分钱/条。

Magiccc联系上了一家网店，对方表示，他们通过了三大运营商资质审核的，并拥有正规的电信增值业务许可证。作为代发渠道，对方表示他们的业务能够实现国内全网覆盖，移动、联通、电信三网，加上普通、170号段全覆盖。并且能够将我提供的用户信息，进行去重过滤、错号过滤以及二次过滤，保证信息在8秒钟之内到达，并且7*24小时全天发送。

另外，顺带也了解下当下一些代发短信的主流玩法：

常规的群发推送，不存在钓鱼诈骗风险。只是存在回复无法退订的情况。渠道商反馈，“退订回T”仅仅一种方法，无实际效果。就算你回几百遍‘T’，也无法退订；

因为此类长号发送的推销短信，触及商家、短信代发渠道和短信接收方（即用户）三方。针对部分无良商家，如果用户回复短信退订，则会被系统认为是活跃用户，之后的推送将会更加频繁；

最后第三类，黑产会通过在后台设置参数，回复关键字退订之后，后台触发执行“注册”、“同意”等操作，如上述操作进行项目订购，或者直接实施诈骗。

而所谓“10086”则是黑产通过伪基站或伪装主叫号码等手段，进行重复发送短信或者彩信，比如10658000端口发送手机报，或者“10086” 短信通知。具体操作：

1、        黑产首先会弄到你的全套个人信息；

2、        把所有验证过密码的手机号码编组，先行取得白卡（即空中写卡的目标卡），然后利用伪基站重复发送短信或者彩信，比如10658000端口发送手机报；

3、        在第1步中，发送成功的号码（伪基站设备有日志），再次利用伪基站发送短信，比如“三分钟退订不收费”，提示已经订制XX包年业务，并且余额不足，提醒交费。此时用户开始紧张，并关注系统退订提示信息；

4、        利用已知密码，在运营商网站订制换卡业务，并推送获取运营商网站验证短信。此时用户手机从系统端口得到“USIM验证码XXXXXX”的信息；

5、        用提前获取的短信端口，向第2步发送成功客户发送信息“如要取消，请回复取消+验证码”

6、        用户向此端口回复信息

7、        利用用户回复的验证码，自助换卡成功，然后利用此卡完成后续转帐等操作。

3

隐私泄露

网上冲浪变网上“裸泳”

Magiccc曾经多次报道有关用户隐私泄露的报道，如今随着自社交媒体，论坛应用，甚至是购物网站，在平台账号进行注册的时候，都需要填写极为详细的个人资料。这其中，就包括：姓名、手机号、身份证等敏感隐私信息。在利益的驱使下，一方面是企业以及机构内部人员进行用户资料售卖，另外一方面则是黑产通过撞库、洗库后获取的账号信息。

你手持身份证自拍的照片，黑产都拿去干了啥？

而当黑产一旦弄到全套用户信息后，类似M的遭遇就会发生！

4

垃圾广告短信

浅谈解决方案

大部分的网站和移动应用在注册时使用手机号码作为平台账号，利用短信验证来鉴别手机号是否属于用户本人。因此，我们在各类平台的注册场景经常见到短信验证。然而，这种验证工具背后却暗藏许多安全隐患，其中最主要的一种就是黑产利用各类平台的短信验证接口进行短信轰炸，也就是我们今天提到的垃圾广告短信。

当然，还有一种极端的，常常出现在网店的报复行为——短信轰炸。通过各平台获取短信验证码，达到恶意发送垃圾短信的工具。这种“短信炸弹”主要是通过特制的软件不断往一个手机号码发重复的垃圾短信，以达到骚扰目标用户的效果。

一个强大的短信轰炸机能做到每秒发送上百条短信！那么对于企业以及个人而言，我们应该怎样去保护自己的资产呢？

对于个人跟企业，而言，可以考虑以下几点：

1.针对单个手机号码每天限定短信发送次数

解决思路：

每个手机号码每天只允许发送固定数量的短信，那么短信接口就不会被滥用了。

实际效果：

短信轰炸机的工作原理是攻击某个手机号时，攻击程序同时请求无数的短信接口，绝大部分情况下，每个网站的接口都只请求一两次，并不会触发短信发送数量上限。因此这种防护方式并没有什么效果，对于网站来说，看到的仍然是无数的手机号，每个都发送一两条短信，但是无法区分，哪些手机号是真正的用户，哪些是被攻击的号码。

2.针对来源ip限制接口请求次数或频率

解决思路：

限定单个ip地址的请求，即使一次攻击多个号码，也可以有效识别。

实际效果：

获取一个ip实在太廉价了，普通家用宽带都可以分分钟通过断开再拨号获取多个ip。网上各种提供代理ip的网站上都有无数的代理ip可以使用，甚至淘宝上还有提供随时拨号的动态vps服务器。

3.每条短信发送之前都加上验证码校验

解决思路：

提供正确的验证码，才发送短信，彻底解决脚本问题

实际效果：

普普通通的验证码，通过OCR识别的方式可以瞬间转成文本。稍复杂的验证码也可通过OCR+简单机器学习破解。

另外，早在2015年，我国发布的《通信短信息服务管理规定》中便明确要求：“短信息服务提供者、短消息内容提供者，未经用户同意或请求，不得向其发送商业性短消息……”因此，很多公司发送营销短信，多会加上退订方式。

欢迎持续关注我们微信公众号（geetest_jy），还可以添加技术助理微信“geetest1024”微信，一起交流进步！