超过3500个验证接口面临攻击风险,腾讯安全天御助力企业打造验证码安全风控能力

2021-10-14
“呼死你”短信轰炸作为一种非法的恶性骚扰行为,近年来不仅侵害了用户个人权益,对不少企业的品牌声誉也造成不良影响,甚至带来了利益损失。

“呼死你”短信轰炸作为一种非法的恶性骚扰行为,近年来不仅侵害了用户个人权益,对不少企业的品牌声誉也造成不良影响,甚至带来了利益损失。由于黑产团伙隐蔽性强且产业链分散,短信轰炸案件破获难度较大。为了避免企业的发送短信接口(CGI接口)被不法分子利用,腾讯安全天御推出了号码认证替换短信认证,以及图形验证码等能力,在不损害用户体验的同时,帮助企业有效规避下行验证的风险。

“呼死你”危害频发,单日轰炸短信160

“呼死你”是短信轰炸的一种通俗叫法,不法分子利用轰炸软件,让目标用户手机短时间内接收到大量的验证短信,有甚者1分钟内可以向目标用户手机号发送上千条骚扰短信,持续以高密度短信发送形成“轰炸”效果,严重干扰了用户正常使用手机。

腾讯安全天御风控专家杨红介绍道,实现“呼死你”的原理,是非法短信轰炸软件,通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到轰炸网站或者轰炸软件上,通过短时间访问大量网站,以正常申请短信验证服务的方式,将验证短信通过运营商的接口发送到目标用户的手机上。验证短信本身可能并没有潜在危害,但当同时数百上千条短信持续不断地涌入同一部手机,轰炸式的骚扰导致用户无法正常使用手机,严重侵犯了用户权益。

相关数据显示,目前短信轰炸黑产危害超2000个网站的3500多个验证码接口和2400多个短信接口,每天全网发生的轰炸短信多达160万余次。从开发非法软件,到交由运营人员进行渠道售卖,或通过多层级的代理下线发展有短信轰炸需求的人员,再到为其提供短信轰炸服务,短信轰炸俨然已经形成了一套完整的产业链,加之不少开发和运营者通过软件打包部署在云端服务器的方式,降低了终端人员的使用门槛和成本,更是促成了产业链的迅速扩大。

而短信轰炸链条中,被利用下发验证短信的企业也常常因此遭受利益损失和品牌信任危机。部分企业网站的短信验证的安全防御能力不足,在被轰炸软件盯上后,企业网站如果不做出有效应对措施,将成为短信轰炸软件的“肉鸡”,频繁发出无意义的验证短信,不仅严重干扰网站正常的用户运营,影响运营判断,还可能因短信骚扰行为让用户对品牌产生信任危机。

安全和体验兼得,腾讯天御验证码助力企业建立有效防控机制

风险防控,从源头开始。解决了企业网站被短信轰炸软件利用的问题,就能够从源头杜绝恶意事件的发生。腾讯安全天御团队通过分析被短信轰炸软件利用的网站,发现易遭受侵害的网站往往在短信验证风控方面较为缺失,通常表现为只需输入一个手机号,即可无阻碍成功请求短信验证码,或者安全验证机制容易被破解。在被短信轰炸软件盯上后,网站将成为不断发出骚扰短信的源头,对企业自身影响较大。因此,事前防治的关键是建立有效风控机制。

腾讯安全天御风控专家杨红建议,企业在服务端防控方面可以通过号码认证替换短信验证码,以上行验证方式规避下行验证的风险,用户登录时可一键验证本机号码,无需通过接收验证码做验证,首先在源头上规避被短信轰炸软件利用的风险。其次,部分特殊情况下,用户依然需要验证码登录时,企业可以通过“图形验证码”来对登录行为进行安全验证,过滤掉来自短信轰炸软件的机器批量请求。

在用户登录时,基于腾讯安全天御短信风控的智能大脑,能够毫秒级分辨登录用户是可信用户、可疑用户,还是恶意用户,并针对性为可信用户免验证提高用户体验,为可疑用户设置图形验证码,以及为恶意用户设置VTT动态语义验证,提供针对性验证提升服务安全性,让好人通过更轻松,机器作恶更困难。

除了风控的主动智能防御外,腾讯安全天御短信风控还能够为企业网站提供短信验证自我防御控制台,能够自主精准限制短信验证码频率,防止突发性短信轰炸问题发生,进一步加强验证码防盗刷能力。

在通过一整套的智能分级和设备指纹、Pow认证、黑名单库等十项防护能力,以及短信验证自我防御控制台等措施安全加持后,腾讯安全天御短信风控系统能够助力企业网站实现安全和体验兼得。

不只是应对短信轰炸黑产的入侵风险,企业在业务运营中,也常常受到撞库攻击、注册机批量注册、爬虫盗取内容数据等基于短信验证码规则的恶意行为,时刻威胁企业数据安全和利益。此外还有点赞发帖、活动秒杀等营销活动,也往往因为恶意灌水、刷票、薅羊毛等行为,让活动运营出现诸多风险导致企业利益受损。从企业的长期发展来看,建立有效的风控防护机制,是维护企业稳定发展的重要手段。

来源:美通社