超過3500個驗證介面面臨攻擊風險,騰訊安全天御助力企業打造驗證碼安全風控能力

Editor 發表於 2021-10-13
騰訊

“呼死你”簡訊轟炸作為一種非法的惡性騷擾行為,近年來不僅侵害了使用者個人權益,對不少企業的品牌聲譽也造成不良影響,甚至帶來了利益損失。由於黑產團伙隱蔽性強且產業鏈分散,簡訊轟炸案件破獲難度較大。為了避免企業的傳送簡訊介面(CGI介面)被不法分子利用,騰訊安全天御推出了號碼認證替換簡訊認證和圖形驗證碼等能力,在不損害使用者體驗的同時,幫助企業有效規避下行驗證的風險。

 

“呼死你”危害頻發,單日轟炸簡訊高達160萬次

 

“呼死你”,是簡訊轟炸的一種通俗叫法,不法分子利用轟炸軟體,讓目標使用者手機短時間接收到大量的驗證簡訊,有甚者1分鐘內可以向目標使用者手機號傳送上千條騷擾簡訊,持續以高密度簡訊傳送形成“轟炸”效果,嚴重干擾了使用者手機正常的使用。


相關資料顯示,簡訊轟炸黑產目前危害涉及超2000個網站的3500多個驗證碼介面和2400簡訊介面,每天全網發生的轟炸簡訊多達160萬+次。從非法軟體的開發,交由運營人員進行渠道售賣,或通過多層級的代理下線發展有簡訊轟炸需求的人員,為其提供簡訊轟炸服務,簡訊轟炸儼然已經形成了一套完整的產業鏈,加之不少開發和運營者,通過軟體打包部署在雲端伺服器的方式,極大的降低了終端人員的使用門檻和成本,更是促成了產業鏈的迅速擴大。

 

超過3500個驗證介面面臨攻擊風險,騰訊安全天御助力企業打造驗證碼安全風控能力

 

而簡訊轟炸鏈條中,被利用下發驗證簡訊的企業常常因此遭受企業利益損失和品牌信任危機。部分企業網站的簡訊驗證的安全防禦能力不足,在被轟炸軟體盯上後,企業網站如果不作出有效應對措施,將成為簡訊轟炸軟體的“肉雞”,頻繁發出無意義的驗證簡訊,不僅嚴重干擾網站正常的使用者運營,服務成本上升,還可能因簡訊騷擾行為讓使用者對品牌產生信任危機。

 

安全和體驗兼得,騰訊天御驗證碼助力企業建立有效防控機制

 

騰訊安全天御風控專家楊紅介紹道,實現“呼死你”的原理,是非法轟炸軟體,通過爬蟲手段蒐集大量正常企業網站的傳送簡訊介面(CGI介面),整合到轟炸網站或者轟炸軟體上,通過短時間訪問大量網站,以正常申請簡訊息驗證服務的方式,將驗證簡訊通過運營商的介面傳送到目標使用者的手機上。驗證碼簡訊本身可能並沒有潛在危害,但當同時數百上千條簡訊持續不斷地湧入同一部手機,轟炸式的騷擾導致使用者無法正常使用手機,嚴重侵犯了使用者權益。

 

超過3500個驗證介面面臨攻擊風險,騰訊安全天御助力企業打造驗證碼安全風控能力

 

風險防控,從源頭開始。解決了企業網站被簡訊轟炸軟體利用的問題,就能夠從源頭杜絕惡意事件的發生。騰訊安全天御團隊通過分析被簡訊轟炸軟體利用的網站,發現易遭受侵害的網站往往在簡訊驗證風控方面較為缺失,通常表現為只需輸入一個手機號,即可無阻礙成功請求簡訊驗證碼,或者安全驗證機制容易被破解。在被簡訊轟炸軟體盯上後,網站將成為不斷髮出騷擾簡訊的源頭,對企業自身影響極大。因此,事前防治的關鍵是建立有效風控機制。


騰訊安全天御風控專家楊紅建議,企業在服務端防控方面可以通過號碼認證替換簡訊驗證碼,以上行驗證方式規避下行驗證的風險,使用者登陸時可一鍵驗證本機號碼,無需通過接受驗證碼做驗證,首先在源頭上規避被簡訊轟炸軟體利用的風險。其次,部分特殊情況下,使用者依然需要驗證碼登入時,企業可以通過“圖形驗證碼”來對登入行為進行安全驗證,過濾掉來自簡訊轟炸軟體的機器批量請求。


在使用者登陸時,基於騰訊安全天御簡訊風控的智慧大腦,能夠毫秒級分辨登入使用者是可信使用者、可疑使用者、惡意使用者,並針對性為可信使用者免驗證提高使用者體驗,為可疑使用者設定圖形驗證碼,以及為惡意使用者設定VTT動態語義驗證,提供針對性驗證提升服務安全性,讓好人通過更輕鬆,機器作惡更困難。


除了風控的主動智慧防禦外,騰訊安全天御簡訊風控還能夠為企業網站提供簡訊驗證自我防禦控制檯,能夠自主精準限制簡訊驗證碼頻率,防止突發性簡訊轟炸問題發生,進一步加強驗證碼防盜刷能力。


通過一整套的智慧分級和裝置指紋、Pow認證、黑名單庫等十項防護能力,以及簡訊驗證自我防禦控制檯,騰訊安全天御簡訊風控系統能夠助力企業網站實現安全和體驗兼得。