国际在线消息：在信息安全领域，腾讯安全平台部高级研究员程斐然曾提出，在2005年，猫池（一种扩充电话通信带宽和目标对象的装备，可同步拨打大批量的用户号码）通过连接小灵通可完成信息群发操作。当时，只需利用电脑上的“短信群发王”导入相关的发送目标手机号，即可完成发送操作。群发信息的“短信轰炸”成本较高，刨除主机和软件费用，每条短信的成本为0.1元，1万条短信需要上千元，所以此前这类短信发送方式主要应用于广告主的营销。

　　经过十余年的发展，“短信轰炸”产业链发生了变化。手机用户平时登录各种网站或APP时，往往需要往手机下发验证码，“短信轰炸”产业通过爬虫手段搜集大量正常企业网站的发送短信接口（CGI接口），集成到“轰炸”网站或者“轰炸”软件上，就用以非法牟利。“轰炸”网站或软件发出指令后，企业网站的正常验证码信息会在短时间内发送到指定手机上，甚至可以实现单一网站给同一手机号发送多条验证码信息。

短信轰炸技术原理

　　由于目前“短信轰炸”软件的生产成本低，这让越来越多的黑产倾向于云化改造——在境外的云主机上直接以低廉价格购买云服务，再通过发卡平台购买短信“轰炸”网站模板。其中，购买海外云主机的成本每个月需20元至30元，一个有3个月程序开发基础的“脚本小子”能在4小时内完成一个“短信轰炸”网站的部署和上线，每月成本不足50元，但非法获得的收入却可超过数千元。

　　腾讯安全平台部高级研究员程斐然介绍，“短信轰炸”已形成较完善的产业链。运作“短信轰炸”依赖于技术开发者、网站或APP运营者与使用者三类群体。其中，技术开发者负责分析发现未采取防护措施的短信接口，编写代码调用接口并将其产品化；网站或APP运营者负责前端开发，帮助使用者便捷使用和付费，甚至通过代理商分发模式大肆售卖；使用者在相应的网站或APP购买服务，输入“被轰炸”用户的手机号即可通过调用前述短信接口发起攻击。

　　据腾讯安全平台部对此类风险软件的深入调查，目前市面上可搜到的“短信轰炸”网站约有3000余个，有超过5000个的短信接口疑似被用于实施“短信轰炸”，接口类型包括各大互联网企业、运营商对外服务端口，甚至有政府服务类网站，这无疑严重影响正规企业网站的短信验证码功能，有损企业形象，增加了企业不必要的费用开支。

　　“短信轰炸”为何难治理？

　　“短信轰炸”会造成短信通道阻塞、企业品牌形象受损、短信费用被大量恶意消耗等负面影响，对用户的手机通信和正常生活带来困扰。如何破局“短信轰炸”，无疑是个亟待解决的问题，而其中的难点与互联网的产品形态息息相关。 

　　大部分的网站和移动应用APP在注册时需要手机号码获取验证码短信，利用短信验证鉴别手机号是否属于用户本人。然而，这种验证方式背后却有许多安全隐患。其中最主要的一种就是黑产利用各类平台的短信验证接口进行短信轰炸。

　　在下发验证码前加一层校验，可以有效地防止黑产恶意利用，但此时，企业也需要承担用户流失的风险，因为多加一步动作，就意味着用户转化率可能降低。

　　另一方面，由于这类“短信轰炸”模式利用的是海量网站，这就意味着传统单业务线频控的安全策略对这种模式无效，即便被调用短信接口的企业有防范措施，但因该类网站或软件一般集成的短信发送接口都会放在本机上调用，造成防护措施只会对当前使用网站或软件的作恶人员IP有用，其他不同IP不受限制。有些“短信轰炸”软件为了提高可用度，会在软件内置代理IP绕过短信接口的限制，达到无限制对外发送大量短信的目的。

　　破局“短信轰炸”主动出击才是上策

　　面对防不胜防的“短信轰炸”，需由被动防御走向主动治理，腾讯守护者计划安全团队针对企业从源头上防范“短信轰炸”黑产提供了几点建议。首先，对被黑产利用的验证码接口增加人机验证，如图形验证码等基础防范策略，提高黑产团队恶意利用接口的门槛，压缩黑产生存空间。腾讯验证码能根据用户多维环境因素，精确区分可信、可疑和恶意用户，弹出不同的验证方式，带来更精细化的验证体验。

　　其次，针对移动端打造一键验证方案，替换过时的短信验证码。腾讯云号码认证服务集成了三大运营商特有的网关取号、验证能力，自动通过底层数据网关和短信网关识别本机号码，在不泄漏用户信息的前提下，安全、快速地验证用户身份，一键免密注册和登录。

　　此外，互联网企业能通过统一风控服务，在下发短信验证码前根据风控结果有选择地打击；支持QQ、微信等授权登录方式，尽可能的减少短信验证带来的风险；针对短信验证码的发送量级做好监控，及时发现异常监控。（图/文 陈东）