惡碼與免費寫個短信評數據意代隱私轟炸差庫竟可得就被

　　又到各大電商平台“6·18年中大促”。差评“買買買”過後，写个信轰如果你遇到產品質量等問題，被短會給商家打“差評”嗎？炸恶會否因擔心商家報複而打消“差評”念頭？

　　南都大數據研究院監測發現，近期不少網友在社交平台上反映自己在電商平台打“差評”後遭遇短信轟炸，意代嚴重影響日常生活。码隐調查發現，私数盡管公安部門長期對“呼死你”“短信轟炸”等網絡違法犯罪保持高壓嚴打態勢，据库竟免但仍有不法分子不斷變換搜索關鍵詞以逃避打擊，差评更有不法分子將短信轟炸技術與包含大量個人隱私數據的写个信轰“社工庫”相結合，形成從人肉搜索到打擊報複的被短“一條龍服務”。

　　網購後發表“差評”遭遇短信轟炸

　　南都大數據研究院監測發現，炸恶近期國內多個社交平台上有網友反映遭遇短信轟炸，意代一天多達數百條，码隐不勝其擾。私数南都研究員在某消費投訴平台上以關鍵詞“差評+轟炸”檢索，發現超300條相關投訴。投訴案例集中反映，消費者由於網購商品質量問題、協商退款退貨難等而給商家打“差評”，隨後就遭遇短信轟炸等惡意騷擾。

　　南都研究員留意到，多名網友反映其收到的轟炸短信為來自不同網站的登錄驗證碼，其中不乏知名銀行、保險公司、電信運營商等平台。不少網友因此擔心其個人信息可能遭遇泄露。

某消費投訴平台上，有超過300條關於短信轟炸的投訴內容。

　　手段：惡意代碼劫持網站短信接口

　　這些驗證碼短信從何而來？有網絡安全專家向南都研究員介紹，這類短信轟炸主要通過劫持網站短信接口實現：不法分子使用惡意代碼劫持多個正規網站的短信驗證登錄接口，就可以同時利用多個網站的短信驗證登錄功能，向特定手機號碼連續發送大量驗證碼短信，實現轟炸效果。

　　網絡安全專家解釋稱，這類劫持行為一般隻觸及短信接口，不會直接入侵網站。但如果用戶手機同時安裝了可竊取短信內容的不良應用，或手機附近存在短信嗅探設備，網站下發的驗證碼就可能被不法分子獲取，進而導致用戶賬號被入侵。

有網友在社交平台上展示其短時間內收到的大量驗證碼短信。

　　風險：代碼公開分享，頁麵免費使用

　　網絡安全專家還表示，盡管公安部門長期對這類網絡違法犯罪保持高壓嚴打態勢，不少網站也已采取多項安全措施防範劫持行為。但隻要網站提供“短信驗證登錄”功能，代碼的工作原理就依然有效。不法分子仍可對代碼加以改進或另尋其他防護不到位的接口繼續實現劫持。

　　更令人擔憂的是，類似的惡意代碼其實並不複雜，其中不少關鍵內容已在互聯網上直接公開，近年甚至出現免費工具包和在線轟炸頁麵。如今不隻專業的灰黑產團夥，就連不掌握相關專業知識的普通網民，也可隨意使用類似工具，實現“一鍵轟炸”。

　　南都研究員實測發現，在公安部門對違法行為的持續打擊下，如今搜索“呼死你”“轟炸”等關鍵詞，已很難尋覓到與短信轟炸相關的軟件或商家。但若更換為一些新興關鍵詞進行搜索，就可發現不少與短信轟炸相關的惡意代碼仍在互聯網上公開流傳。

大量與短信轟炸相關的惡意代碼內容在互聯網上公開流傳。

　　南都研究員還發現，甚至有部分網民以所謂“技術研究”“學習分享”等名義，將相關惡意代碼與被劫持的短信接口打包部署，製作成可供訪問者免費使用的短信轟炸網站。訪問者隻需輸入目標手機號碼，即可自行對該號碼啟動短信轟炸。

　　南都研究員使用個人手機號碼對其中一個提供在線轟炸的網站頁麵進行測試。僅在一分鍾內，南都研究員的手機就收到了10條驗證碼短信。從內容來看，這些短信分別來自中國聯通、天鵝到家、巨人網絡、滬江網校等多個知名平台。

某個提供在線短信轟炸的網站頁麵。

　　產業鏈：免費“社工庫”為短信轟炸提供“助力”

　　短信轟炸，其實現方式始終是向手機號碼發送大量短信。那麽是否隻要隱藏好自己的真實手機號碼，就能避免騷擾？答案可能令人失望。

　　在調查過程中，有部分網友向南都研究員反映，自己已使用電商或物流平台提供的隱私號碼保護服務，商家理應無法知曉其真實號碼，但仍遭遇短信轟炸；甚至有網友稱自己僅在社交平台發帖表達對某一產品或商家的不滿，在未透露具體訂單信息的情況下同樣遭遇精準的短信轟炸，對商家獲取個人信息的手段感到疑惑。

　　南都研究員深入調查發現，隨著相關灰黑產業鏈不斷發展，一些不法分子已將短信轟炸技術與“社工庫”相結合，形成從人肉搜索到打擊報複的“一條龍服務”。

　　所謂“社工庫”，指“社會工程學數據庫”，是黑客通過攻擊網站、欺詐用戶等手段獲取大量個人隱私數據，再整合分析、集中歸檔形成的數據庫。

　　在某個提供在線短信轟炸的網站上，南都研究員留意到其同時接入了一個免費查詢的“社工庫”，為用戶提供“QQ反查”“微博反查”等服務。用戶隻需輸入QQ號碼或微博ID，即可檢索到該賬號綁定的手機號碼，進而對目標發起短信轟炸。

某在線短信轟炸網站同時提供“QQ反查”等服務。

　　困局：轟炸成本為零，用戶防不勝防

　　關於這類免費“社工庫”，有網絡安全專家表示，這應該是一些早年間泄露的網站數據，由於經曆多次交易，灰黑產行業內幾乎“人手一份”，難以繼續出售牟利。因此也有一些灰黑產團夥將其主動公開，用於吸引流量、招徠顧客。

　　該名網絡安全專家強調，雖然這些免費“社工庫”在灰黑產團夥眼裏“不值錢”，但其中依然包含大量個人隱私信息，存在巨大的數據安全風險。

　　網絡安全專家坦言，近年來，一些灰黑產團夥為彰顯實力、招攬生意，有意用免費“社工庫”、短信轟炸等低成本工具吸引用戶，再引誘用戶購買更多付費服務。

　　“你不需要學習任何的技術知識，隻需要掌握對方一個社交賬號的名稱，就能快速查到對方的真實聯係方式；再點一下鼠標，還能直接向對方發起短信轟炸。最重要的是，整個過程你一分錢都不用花，是真真正正的零成本。”在低門檻、零成本的誘惑下，一些不法商家願意采取類似手段惡意騷擾客戶。

　　建議：遭遇轟炸及時投訴，不知名平台不留個人信息

　　事實上，短信轟炸等網絡犯罪行為一直都是相關部門嚴厲打擊的對象。

　　例如在2021年9月初，福建泉州網安民警巡查中發現，有網民在境外即時通訊群組中售賣多款短信轟炸、軟暴力催收軟件。經過縝密偵查，網安部門成功挖掘出一個從批發商、銷售商到買家的利用發卡平台對受害者精準實施短信轟炸的網絡犯罪團夥。

　　2023年2月，四川遂寧大英縣公安局網安大隊根據省廳網安總隊線索抓獲犯罪嫌疑人熊某。經查，熊某通過修改從網上獲取的短信轟炸源代碼，劫持多個商業網站注冊接口，編寫短信轟炸軟件並推廣出售，非法獲利10萬餘元。

　　2023年3月，湖南長沙市長沙縣警方抓獲犯罪嫌疑人朱某和。經審訊得知，2021年1月，朱某和因一次偶然機會接觸到短信轟炸軟件，見有利可圖，便開始研究其背後原理，自行研發同類軟件並對外出售。經查，犯罪嫌疑人朱某和共售賣軟件200多人次，從中獲利8000餘元。

　　有網絡安全專家指出，毫無疑問的是，構建“社工庫”、提供短信轟炸服務均屬違法行為。我國《網絡安全法》已明確規定，任何個人和組織不得從事非法侵入他人網絡、幹擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。

　　但是，由於早年間國內外不少網站對數據安全重視程度不足，發生過多起信息泄露事件，很多數據庫經曆多次流轉，已很難追尋源頭並封堵。同樣，短信驗證碼給手機用戶帶來不少便利，若為解決短信轟炸問題而禁止該功能，似乎是“因噎廢食”。在如何治理相關違法犯罪問題方麵，仍需平台企業、公安部門集思廣益、謀劃良策。

　　有網絡安全專家指出，這類短信轟炸行為單靠個人維權存在較大難度，建議遭遇騷擾的用戶及時向運營商和12321網絡不良與垃圾信息舉報受理中心反映情況，或報警求助，交由專業人士進行偵查。

　　同時，互聯網用戶平時要養成保護個人隱私的意識，一些不知名的網絡平台盡量不留身份、住址、電話等個人信息，以免信息泄露。

　　也有網絡安全專家對平台側提出建議：當短信平台檢測到某一號碼短時間內大量、頻繁申請短信時，應及時識別告警，並與該號碼用戶取得聯係，了解情況，必要時暫停下發短信，阻止轟炸行為。

　　此外，網站平台可采用加強人機驗證、限製單IP請求次數、限製用戶短信請求間隔等方式保護自身短信接口。隻要下發的短信無法實現“轟炸”效果，不法分子自然會放棄使用這一手段攻擊目標用戶。

　　不同運營商用戶應急防護服務開通方式：

　　移動用戶：可通過營業廳、10086熱線或網上營業廳免費訂購“短信炸彈”短信應急防護服務。開通該服務後，除10086開頭短信號碼，其他所有端口類短信均將被攔截。用戶可根據自身需要設置防護服務有效期（默認一天，最長一年，最小防護單位為“天”）。

　　聯通用戶：可關注微信公眾號“智慧沃服務”，免費開通“聯通手機管家”服務，開啟“營銷短信攔截”功能。

　　電信用戶：可關注微信公眾號“天翼防騷擾”，免費開通防騷擾服務。

　　短信轟炸投訴方式：

　　若遭遇短信或電話轟炸，可登錄12321網絡不良與垃圾信息舉報受理中心（https://www.12321.cn），選擇“投訴短信/電話轟炸”，填寫投訴信息。

　　出品：南都大數據研究院 數據安全治理與發展研究課題組

　　采寫：南都研究員 李偉鋒 實習生 曹瑾怡 陳嘉寶