首页 > 业界 > 关键词  > 网站最新资讯  > 正文

揭秘“呼死你”背后黑产链:16年前已形成产业 26元可呼出5000次

2021-06-02 15:48 · 稿源: TechWeb.com.cn

【TechWeb】6月2日消息,生活中,有不少人遭到过“呼死你”软件的骚扰,不堪其苦。

“呼死你”又被称为手机轰炸软件,在智能手机上安装此软件,可向特定的联系人手机连续拨打电话或发送短信,使对方无法开展正常的通讯活动。而购买使用此软件的人,多用于讨债、敲诈勒索等非法活动,社会危害性极大。

近年来,手机用户被短信和电话骚扰的恶性事件越来越多。随着警方的深入打击,以及诸如腾讯安全平台等互联网企业的深入调查,“呼死你”软件背后的黑色产业链也逐渐浮出水面。

短信轰炸16年前已形成产业 犯罪成本不到50元

广州市番禺区的罗女士此前曾报案称,总是接到陌生来电,这些陌生电话每分钟就会响三、五次,每次响一下就挂断,被呼叫的手机基本处于瘫痪状态。近日,广州市公安局网络警察支队和白云区公安分局通过联合侦查,破获了该案。

据广州市公安局白云分局民警郭普生介绍,经过侦查发现,罗女士遭遇的是一款名为“24云呼”的恶意软件的攻击,该软件通过控制遍布全国的挂机手机对被害人实施“轰炸”,以软件“开发者”为源头,与“运营者”、“代理商”、“使用者”形成了一个完整的黑色产业链条。“云呼”使用者通过向代理商购买充值卡,在该平台充值26元就能恶意呼叫5000次。

与罗女士有同样遭遇的人不在少数。腾讯安全平台部高级研究员程斐然向TechWeb等表示,“短信轰炸”早在2005年“小灵通”时代就已形成产业,当时的猫池(一种扩充电话通信带宽和目标对象的装备,可同步拨打大批量的用户号码)通过连接小灵通来完成群发操作,只需利用电脑上的“短信群发王”导入相关的发送目标手机号,即可完成发送操作。这种“短信轰炸”方式成本较高,刨除主机和软件费用,每条短信的成本为0.1元,1万条短信就需要上千元,所以这类短信发送方式主要应用于广告主的营销。

经过十余年的发展,“短信轰炸”产业链发生了巨大变化,黑产从业人员开始利用互联网产品的短信验证服务,对受害者进行“轰炸”。用户平时登录各种网站或APP时,往往需要往手机下发验证码,“短信轰炸”黑产则瞄准了这一“商机”,通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到“轰炸”网站或者“轰炸”软件上,用以非法牟利。

“轰炸”网站或软件发出指令后,这些企业网站的大量正常验证码信息会在短时间内发送到指定手机上,甚至可以实现单一网站给同一手机号发送多条验证码信息。

由于“短信轰炸”软件的生产成本极低,并能带来稳定的获利,这让越来越多的黑产倾向于云化改造在境外的云主机上直接以极其低廉的价格购买云服务,再通过发卡平台购买短信“轰炸”网站的模板。这其中,购买海外云主机的成本每个月仅需20-30元,一个有3个月程序开发基础的“脚本小子”能在4小时内完成一个“短信轰炸”网站的部署和上线,每月成本不到50元,但是非法获得的收入却超过数千元,诱惑力十足的投入产出比也让更多“短信轰炸”黑产参与进来。

由于“短信轰炸”软件的生产成本极低,并能带来稳定的获利,这让越来越多的黑产倾向于云化改造在境外的云主机上直接以极其低廉的价格购买云服务,再通过发卡平台购买短信“轰炸”网站的模板。这其中,购买海外云主机的成本每个月仅需20-30元,一个有3个月程序开发基础的“脚本小子”能在4小时内完成一个“短信轰炸”网站的部署和上线,每月成本不到50元,但是非法获得的收入却超过数千元,诱惑力十足的投入产出比也让更多“短信轰炸”黑产参与进来。

腾讯安全平台部高级研究员程斐然介绍,“短信轰炸”已形成较完善的产业链。运作“短信轰炸”依赖于技术开发者、网站/APP运营者与使用者三类群体。其中,技术开发者负责分析发现未采取防护措施的短信接口,编写代码调用接口并将其产品化;网站/APP运营者负责前端开发,帮助使用者便捷地使用和付费,甚至通过代理商分发模式大肆售卖;使用者在相应的网站/APP购买服务,输入“被轰炸”用户的手机号即可通过调用前述短信接口发起攻击。

据腾讯安全平台部对此类风险软件的深入调查,目前市面上可搜到的“短信轰炸”网站约有3000余个、有超过5000个的短信接口疑似被用于实施“短信轰炸”,接口类型包括各大互联网企业、运营商对外服务端口、甚至有很多政府服务类网站,这无疑严重影响正规企业网站的短信验证码功能,有损企业形象,也增加了企业不必要的费用开支。

短信轰炸防不胜防 治理该如何破局?

短信轰炸对人们的正常手机通讯和生活带来了很大困扰。郭普生称,目前从警方接到的群众报案来看,大家对“呼死你”或者短信轰炸的维权意识在逐步提高,通过选择报警或者使用网上举报的方式进行。但对于警方来说,要对这些行为进行精准打击并不容易,其中的难点与互联网的产品形态息息相关。

大部分的网站和移动应用APP在注册时需要手机号码获取验证码短信,利用短信验证来鉴别手机号是否属于用户本人。然而,这种验证方式背后却暗藏许多安全隐患。其中最主要的一种就是黑产利用各类平台的短信验证接口进行短信轰炸。在下发验证码前加一层校验,可以有效地防止黑产恶意利用,但此时,企业也需要承担用户流失的风险,因为多加一步动作,就意味着用户转化率可能降低。

另一方面,由于这类“短信轰炸”模式利用的是海量网站,这就意味着传统单业务线频控的安全策略对这种利用无效,即便被调用短信接口的企业有防范措施,但因该类网站或软件一般集成的短信发送接口都会放在本机上调用,这样防护措施只会对当前使用网站或软件的作恶人员的IP有用,其他不同IP则不受限制。而有些“短信轰炸”软件为了提高可用度,会在软件内置代理IP绕过短信接口的限制,达到无限制对外发送大量短信的目的。

此外,程斐然还提到,短信轰炸软件目前主要在往境外迁移,“在境内的话可能会去投诉网站所在的云服务厂商,把相关的网站进行下线,如果迁移到境外的话,投诉和下架变得更加难去打击和处理,而且隐藏起来更难发现。”

可以说,呼死你或者短信轰炸是防不胜防的,需要由被动防御走向主动治理,腾讯守护者计划安全团队针对企业从源头上防范“短信轰炸”黑产提供了几点建议。

其一是对被黑产利用的验证码接口增加人机验证,如图形验证码等基础防范策略,提高黑产团队恶意利用接口的门槛,压缩黑产生存空间。比如腾讯验证码能根据用户多维环境因素,精确区分可信、可疑和恶意用户,弹出不同的验证方式,带来更精细化的验证体验。

其二是针对移动端打造一键验证方案,替换过时的短信验证码。如腾讯云号码认证服务集成了三大运营商特有的网关取号、验证能力,自动通过底层数据网关和短信网关识别本机号码,在不泄漏用户信息的前提下,安全、快速地验证用户身份,一键免密注册和登录。

此外,互联网企业还能通过统一风控服务,在下发短信验证码前,根据风控结果有选择地打击;支持QQ、微信等授权登录方式,尽可能的减少短信验证带来的风险;针对短信验证码的发送量级做好监控,及时发现异常监控。

举报

  • 相关推荐
  • 大家在看
  • Grok-1.5:带有改进的推理能力和128,000个标记的上下文长度。

    Grok-1.5是一种先进的大型语言模型,具有出色的长文本理解和推理能力。它可以处理高达128,000个标记的长上下文,远超以前模型的能力。在数学和编码等任务中,Grok-1.5表现出色,在多个公认的基准测试中获得了极高的分数。该模型建立在强大的分布式训练框架之上,确保高效和可靠的训练过程。Grok-1.5旨在为用户提供强大的语言理解和生成能力,助力各种复杂的语言任务。

  • Hoory:是一个AI助手,专门用于客户支持自动化,提供基于规则和基于知识的两种类型的助手

    Hoory提供了两种类型的AI助手,用于客户支持自动化。规则型助手遵循结构化的方法,使用动态流程图指导用户交互,而知识型助手则利用语言模型技术提供智能和情境相关的客户查询响应。用户可以根据需要选择和训练适合自己产品的AI助手。

  • Talkie AI:提供基于AI的对话平台,用于创建和部署智能对话助手

    Talkie AI是一个基于AI的对话平台,它允许用户轻松创建和部署智能对话助手。这些助手可以用于客户服务、销售支持、内容创作等多种场景,提供自然流畅的对话体验。

  • lmsys:开发中大规模模型系统的组织

    LMSYS Org 是一个组织,旨在使大型模型及其系统基础设施的技术民主化。他们开发了 Vicuna 聊天机器人,其在 7B/13B/33B 规模下可以印象 GPT-4,实现了 90% ChatGPT 质量。同时,还提供 Chatbot Arena 以众包和 Elo 评级系统进行大规模、游戏化评估 LLMs。SGLang 提供了复杂 LLM 程序的高效接口和运行时环境。LMSYS-Chat-1M 是一个大规模真实世界 LLM 对话数据集。FastChat 是一个用于训练、提供服务和评估基于 LLM 的聊天机器人的开放平台。MT-Bench 是一个用于评估聊天机器人的一组具有挑战性、多回合、开放式问题。

  • Alice App:是一个桌面应用程序,允许您与不同的模型聊天、处理图像、使用代码片段和键盘快捷键,所有这些都在超快速的应用中完成。

    Alice App是一款桌面应用程序,提供与各种AI模型交互的最快GPT体验。用户可以选择市场上最佳模型,包括GPT-4、Vision、Perplexity、Claude和Groq,以及本地模型如Ollama。Alice App支持创建个人助理,专注于营销、销售、法律等任务,并能够与您的应用程序进行通信,执行命令。

  • ObjectDrop:一种通过计数事实数据集和自举监督实现真实物体删除和插入的方法

    ObjectDrop是一种监督方法,旨在实现照片级真实的物体删除和插入。它利用了一个计数事实数据集和自助监督技术。主要功能是可以从图像中移除物体及其对场景产生的影响(如遮挡、阴影和反射),也能够将物体以极其逼真的方式插入图像。它通过在一个小型的专门捕获的数据集上微调扩散模型来实现物体删除,而对于物体插入,它采用自助监督方式利用删除模型合成大规模的计数事实数据集,在此数据集上训练后再微调到真实数据集,从而获得高质量的插入模型。相比之前的方法,ObjectDrop在物体删除和插入的真实性上有了显著提升。

  • Jamba:突破性SSM-Transformer开放模型

    Jamba是一款基于SSM-Transformer混合架构的开放语言模型,提供顶级的质量和性能表现。它融合了Transformer和SSM架构的优势,在推理基准测试中表现出色,同时在长上下文场景下提供3倍的吞吐量提升。Jamba是目前该规模下唯一可在单GPU上支持14万字符上下文的模型,成本效益极高。作为基础模型,Jamba旨在供开发者微调、训练并构建定制化解决方案。

  • Arteus AI:AI生成图像

    Arteus AI Image Generator是一款由Arteus AI开发的尖端工具,利用先进的人工智能技术从文本提示中创建图像。只需描述您想生成的内容,Arteus AI就能产生出来。该工具采用了生成对抗网络(GANs)或变分自编码器(VAEs)等复杂的深度学习算法,通过学习数据集中的模式并根据输入参数生成图像,从而确保高质量输出。Arteus AI Image Generator非常灵活,可以创建各种类型的图像,包括逼真的照片、抽象艺术、风景、肖像等。用户可以通过调整参数或提供具体指令来定制生成的图像。

  • ApyHub AI APIs:强大的开发者和团队实用API

    ApyHub是一个拥有100多个API的目录,从简单的工具到复杂的AI解决方案。找到、测试和管理最适合您应用程序的API。

  • SumyAI:视频摘要工具

    SumyAI是一款AI驱动的视频摘要工具,可以将冗长的视频压缩成关键要点,以便更快地吸收,节省时间并增强记忆力。定价:免费试用。

  • AI Girlfriend Emma:与AI女友Emma一起享受甜蜜时光

    AI女友Emma是一个可以与你进行交流的虚拟伴侣。她可以陪伴你聊天,提供情感支持和娱乐,为你带来温暖和快乐。免费用户每周可以发送30条消息,付费用户享受无限制的沟通。价格为1.99美元/周。

  • Emplibot:WordPress自动博客写作AI工具

    Emplibot是一个自动将高质量文章发布到WordPress博客的AI工具。它通过进行关键词研究、插入图片和内部链接等方式,自动完成文章的生成。它能为您的目标用户量身定制内容,提升博客的SEO效果,促进业务增长。

  • DocTranslator:AI 文件翻译工具

    DocTranslator 是世界上最好的 AI 翻译工具,支持超过 100 种语言,可快速翻译大型 PDF、Word、Excel、PPT 文件。提供免费试用计划和存储计划,支持 MS Word、Excel 和 PDF 格式,保留原始格式和布局。价格从 0.005 美元 / 单词起,满足各种用户需求。

  • sourcenext:梦幻 AI 翻译机

    ポケトーク是一款梦幻的 AI 翻译机,可以让无法交流的人进行对话,具有高度实用性和便携性,是旅行、商务等场景的理想助手。

  • chichi-pui:AI 画像专用的投稿和生成网站

    chichi-pui(ちちぷい)是一家 AI 画像专用的投稿和生成网站,用户可以在此分享和生成 AI 插画、AI 照片等作品。该网站拥有丰富的 AI 画像投稿和生成内容,适合对 AI 艺术感兴趣的用户使用。用户可在网站上参与不同的活动和投稿企划,与其他用户分享作品并获取灵感。

  • Al Comic Factory:自动生成有情感、有故事性的漫画内容

    Al Comic Factory利用大型语言模型和SDXL技术自动生成有情感、有故事性的漫画内容。用户只需提供简单文本提示,AI Comic Factory即可生成包含人物对话和场景描述的漫画。支持多种配置、用户交互、多语言内容创建、批量生成漫画变体等功能。

  • Chatmind AI:AI 原生思维导图在线工具

    Chatmind 是一款由 Xmind 团队推出的免费在线 AI 思维导图和头脑风暴工具,通过 ChatGPT 技术,帮助用户在几分钟内创建思维导图。用户可以通过简单的文本描述生成思维导图,快速总结文档或 URL 链接为思维导图,与 AI 对话产生创意并整合到思维导图中,描述文本即可立即生成图像,轻松为任何主题创建视觉内容,自动保存文件历史以便跨设备访问,编辑文本和重新排列主题轻松自如,将思维导图转化为幻灯片展示只需一键,轻松以多种格式分享思维导图。

  • Scribble Diffusion:将您的草图转化为精致图像

    Scribble Diffusion利用人工智能将您的草图转化为精致图像。用户可以上传草图并获得优化后的图像。产品定位为为用户提供便捷的图像处理功能,提升设计效率。

  • Sider:AI 助手,集成多功能 AI 工具

    Sider 是一款 AI 助手,集成了 ChatGPT 3.5/4、Gemini 和 Claude 等多功能 AI 工具,能够帮助用户进行聊天、写作、阅读、翻译、解释、图像测试等操作。用户可在任何网页上使用 Sider,提供强大的 AI 支持。

  • joyland:沉浸式 AI 聊天平台,创造自己的冒险!

    joyland是一个沉浸式 AI 聊天平台,用户可以在其中进行基于角色的对话,创造自己的冒险故事。通过与虚拟角色互动,用户可以逃离现实生活的平凡,沉浸于充满乐趣和想象力的互动体验中。乐园的定价灵活多样,适合不同用户需求。

今日大家都在搜的词: