又到各大电商平台“6・18年中大促”。“买买买”过后,如果你遇到产品质量等问题,会给商家打“差评”吗?会否因担心商家报复而打消“差评”念头?
近期不少网友在社交平台上反映自己在电商平台打“差评”后遭遇短信轰炸,严重影响日常生活。
调查发现,尽管公安部门长期对“呼死你”“短信轰炸”等网络违法犯罪保持高压严打态势,但仍有不法分子不断变换搜索关键词以逃避打击,更有不法分子将短信轰炸技术与包含大量个人隐私数据的“社工库”相结合,形成从人肉搜索到打击报复的“一条龙服务”。
网购后发表“差评”遭遇短信轰炸
近期国内多个社交平台上有网友反映遭遇短信轰炸,一天多达数百条,不胜其扰。
某消费投诉平台上以关键词“差评+轰炸”检索,发现超300条相关投诉。投诉案例集中反映,消费者由于网购商品质量问题、协商退款退货难等给商家打“差评”,随后就遭遇短信轰炸等恶意骚扰。
多名网友反映其收到的轰炸短信为来自不同网站的登录验证码,其中不乏知名银行、保险公司、电信运营商等平台。不少网友因此担心其个人信息可能遭遇泄露。
某消费投诉平台上,有超过300条关于短信轰炸的投诉内容。
手段:恶意代码劫持网站短信接口
这些验证码短信从何而来?
网络安全专家介绍,这类短信轰炸主要通过劫持网站短信接口实现:不法分子使用恶意代码劫持多个正规网站的短信验证登录接口,就可以同时利用多个网站的短信验证登录功能,向特定手机号码连续发送大量验证码短信,实现轰炸效果。
网络安全专家解释称,这类劫持行为一般只触及短信接口,不会直接入侵网站。
但如果用户手机同时安装了可窃取短信内容的不良应用,或手机附近存在短信嗅探设备,网站下发的验证码就可能被不法分子获取,进而导致用户账号被入侵。
风险:代码公开分享,页面免费使用
网络安全专家还表示,尽管公安部门长期对这类网络违法犯罪保持高压严打态势,不少网站也已采取多项安全措施防范劫持行为。但只要网站提供“短信验证登录”功能,代码的工作原理就依然有效。不法分子仍可对代码加以改进或另寻其他防护不到位的接口继续实现劫持。
更令人担忧的是,类似的恶意代码其实并不复杂,其中不少关键内容已在互联网上直接公开,近年甚至出现免费工具包和在线轰炸页面。
如今不只专业的灰黑产团伙,就连不掌握相关专业知识的普通网民,也可随意使用类似工具,实现“一键轰炸”。
大量与短信轰炸相关的恶意代码内容在互联网上公开流传。
困局:轰炸成本为零,用户防不胜防
在调查过程中,有部分网友反映,自己已使用电商或物流平台提供的隐私号码保护服务,商家理应无法知晓其真实号码,但仍遭遇短信轰炸。
随着相关灰黑产业链不断发展,一些不法分子已将短信轰炸技术与“社工库”相结合,形成从人肉搜索到打击报复的“一条龙服务”。
所谓“社工库”,指“社会工程学数据库”,是黑客通过攻击网站、欺诈用户等手段获取大量个人隐私数据,再整合分析、集中归档形成的数据库。
关于这类免费“社工库”,有网络安全专家表示,这应该是一些早年间泄露的网站数据,由于经历多次交易,灰黑产行业内几乎“人手一份”,难以继续出售牟利。因此也有一些灰黑产团伙将其主动公开,用于吸引流量、招徕顾客。
网络安全专家坦言,近年来,一些灰黑产团伙为彰显实力、招揽生意,有意用免费“社工库”、短信轰炸等低成本工具吸引用户,再引诱用户购买