21世纪经济报道 见习记者肖潇 实习生刘悦行 北京报道
打开软件,输入登录手机号,收到短信验证码,已经是我们习以为常的日常。但有没有想过,仅仅几分钟内,手机可能被数百条来自不同平台的短信验证码围攻?
此时,手机的正常使用变得异常困难,屏幕频繁弹出验证短信,间隔几秒便跃转至通话页面,要么拔卡,要么关机。这便是“呼不停”“24小时滴滴”这类技术的威力。
自移动通信普及以来,短信、电话骚扰从未消停。“黑猫投诉”平台显示,截至今年12月21日,超4万条投诉中包含关键词“电话轰炸”,另有2万多条投诉提及“短信轰炸”。这些骚扰信息大多与债务催收相关,部分涉及电商平台的交易纠纷,甚至包括私人情感报复。
尽管公安部门一直高压严打短信轰炸等网络违法犯罪行为,但骚扰总是变着花样出现。21世纪经济报道记者观察到,近期出现了一种新型的骚扰形式——短信验证码轰炸。仅需支付几十块钱,就能买到百度、腾讯、千图网等多个网站的短信验证码轰炸。个体想要挟私报复,商家变换搜索词藏身于各大平台,正规网站存在一定安全漏洞,这些因素共同作用,“合谋”构建通信轰炸网络。
300元骚扰到换卡
在淘宝输入关键词“电话”,平台自动关联了“电话狂响”、“电话骚扰”、“电话叫不停”等词条。
但点进这些词条,第一眼几乎看不出端倪,仔细看还像一场猜谜游戏:封面图写着“一对一定制”“下单前联系客服”;商品名为“全自动拨号客服拨号用营销机座机无线插卡电话”,或者“懂得都懂”;详情页面也没有任何描述。直到进入单独的客服聊天界面,带有报复和骚扰暗示的店铺名才图穷匕见——“解压解气”“呼不停”“仇人克星”“24小时滴滴”。
记者咨询了数个类似店铺的客服,根据客服介绍,店铺商品均为“短信+电话”的骚扰轰炸业务。
此类轰炸通常按一小时、十二小时、二十四小时、一周、一月时间收费。问及骚扰频率,一位客服表示“短信一直不断、电话三到四分钟一个”。有的店铺直接在报价单标注,电话一分钟六到八个,短信一分钟50到60条。客服向记者保证:“不会留下记录”,而且“只要您不去挑衅,就不会(被发现)”。
通信轰炸服务的价格并不高。一些店铺显示,轰炸六小时只需20元,包月170元,甚至提供“代操作到对方换卡”的选项,也就是没有时间上限的持续轰炸。记者以自己的手机号进行测试,一分钟内收到了39条短信,5个电话。
(图:淘宝客服向记者发送的服务单)
除了在搜索入口猜谜语,轰炸内容也有很强的隐蔽性,几乎不可能追溯骚扰者的身份。比如记者收到的所有轰炸短信,均为平台验证码,多为注册、登录用途。这些验证码来自“妇产科在线”“互助卖房”“叮嗒出行”等平台,也有“百度”“腾讯科技”“凤凰网”这类知名门户网站,其中,百度8分钟发来8条动态验证码。
骚扰电话则均以“00”开头,除标记为“中国香港”的号码外,其余都有诈骗电话的标记。电话响铃时间很短,拨出一秒到四秒后立马挂断。
(图:记者收到的短信验证码轰炸)
月销十万件的隐形市场
短信验证码轰炸,并非淘宝的小众生意。作为挟私报复的常用手段,通信轰炸需求火热,各大平台都有一个地下市场。
以淘宝为例,在上文提到的店铺中,记者随机点进某单品链接,销量达300件以上。而且该商品还参与了淘宝“跨店满减每200减30”的活动,收获诸多“追债神器”、“下次遇到**,还支持老板服务”、“快准狠”等五星好评。在拼多多上,记者也发现了大量名为“手机被拉黑打通情侣分手对象”的商品,有些甚至已拼单10万件以上。客服告诉记者,只需要向客服提供对方的手机号码,改成虚拟号码后即可打通。
另一个“售卖”短信骚扰业务的平台是B站,不过并非以买卖的形式。B站此前报告显示,平台超过40%的内容是泛知识视频。记者在B站搜索短信轰炸,能找到相关的“脚本教学视频”,仅有小部分视频投稿者会标注:“仅用于技术交流,切勿用于违法犯罪”。
值得注意的是,在社交属性强的平台中,灰色交易更为隐蔽。比如在小红书的相关笔记下,经常能看见用户评论“我有轰炸软件”“找我帮你轰炸”等,不少人跟评“求一个”“多少米”,或有用户直接评论“我要轰炸谁会啊”。这避免了在淘宝开店铺需要的流程、审核和交易记录,用户也不需要填写收件人、收件地址、手机号码等个人隐私信息。记者私信了一位小红书卖家,对方表示加QQ号联系,提供的业务除了代为操作,还可以自己购买“高频电话软件”,软件标价198元。
而一旦碰上通信轰炸,被骚扰者往往苦不堪言。“黑猫投诉”网站中,今年11月9日的一条投诉显示,用户投诉“分期乐服务”平台,表示“频繁发送验证码短信已经造成生活困扰”。同日,另一位用户投诉“羊小咩”借贷平台暴力催收,受到短信验证码轰炸,“越向客服反馈轰炸越来越厉害,短短时间内几百上千条短信。不只我本人,第三方联系人也受到这样的轰炸。” 在该投诉网站上,借贷平台用户和电商平台用户,是通信轰炸的两大重灾区。
这些平台只是通信轰炸问题的冰山一角。需求量大、入口隐秘、骚扰难以溯源和阻止,都是当下通信轰炸的特点。
轰炸门槛为零,安全漏洞遍布互联网
通信轰炸为何随处可见?技术门槛有多高,是不是普通网民就可以在B站“学习入门”?
北京汉华飞天信安科技有限公司总经理彭根告诉记者,电话骚扰的技术原理其实很简单。用软件接入手机,就会不断地通过自动化的方式打电话。电话响两声挂断,如此反复。“这样主要会产生两个问题,第一就是骚扰,第二通话渠道堵塞,一直被无效占用的情况下,其他电话无法接通,影响正常生活。”彭根说。
对于短信骚扰,彭根指出有两种技术:一种类似上述电话骚扰原理,另一种则利用了发送短信验证码的接口。
具体来说,如今注册登录各类网站、软件时,通常需要向手机发送短信验证码验证。验证码轰炸的黑色产业链正是利用了这类接口,通过技术手段搜集大量正常企业网站的发送短信接口,调用到“轰炸”网站或软件上。一旦发出指令,大量企业网站正常的验证码信息,会在短时间内发送到指定手机号码上。
此外,短信轰炸已经形成一条产业链,每一环的技术门槛也因此被摊匀至无限低。“腾讯黑镜”两年前的一项研究指出,一条短信轰炸链条上通常有三方角色:技术开发者负责寻找、贩卖没有防护的短信验证码接口;网站运营者把接口产品化,也就是搭建成上文提到的轰炸平台或软件,方便传播;最下游的角色,才是担任“代理商”的卖家。他们可以完全不懂技术,向个体兜售产品即可。上述淘宝商家告诉记者,自己的轰炸程序就是花钱买来的。
(图:客服向记者展示的轰炸软件页面)
更令人担忧的是,该研究发现,业内有2000多个网站3500个验证码接口、24000个短信接口。其中,注册场景的验证码占据23%的比例,其次是登录场景。由于轰炸者调用的是这些网站APP真实的注册验证码,轰炸短信往往难以拦截。
彭根进一步补充道:“发送短信验证码不收费,利用短信验证码轰炸,只有技术研发成本,其他基本没有成本。”
可以说,验证码轰炸的生产成本低、技术门槛几乎为零,但能带来稳定获利,因此成为黑色产业非法获取利润的一大利器。只要互联网平台存在防护不到位的短信接口,短信轰炸的链条似乎就能运转下去。
用技术“打败”技术
通信轰炸造成用户手机通讯阻塞,极大地影响用户的正常生活。不仅如此,手机号被泄露还有种种隐忧。
北京大成(上海)律师事务所合伙人彭凯律师接受21记者采访时表示,手机号泄露可能衍生诸多风险。比如,不法分子可以利用泄露的手机号码诈骗,冒充熟人或官方机构要求转账。手机号一旦被用于欺诈活动,个人的信用记录就会受到影响。此外,许多在线服务和应用程序都使用手机号作为账户恢复或验证的方式之一,手机号泄露可能导致账户被非法访问或劫持。
彭凯指出,通信轰炸的底层逻辑是违规处理个人信息,可能涉及三类法律问题:如果违规出售、提供、获取公民个人信息的,将涉嫌构成《刑法》规定的侵犯公民个人信息罪;如果多次打骚扰电话或发送骚扰短信侮辱、恐吓他人,干扰他人正常生活的,可能侵犯了他人的隐私权;骚扰内容具有恐吓性质,严重至影响身心健康的,还可能侵犯健康权。
需要注意,轰炸团队就算不涉及犯罪,也可能面临行政处罚。2017年开始实施的《网络安全法》明确禁止个人和组织从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等活动,亦不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。违规者将被处以没收违法所得、拘留及罚款等处罚。
如何破局通信轰炸?对于正规互联网平台,彭根从技术角度建议,在发送短信验证码时,可以加入“是否由真人操作”的验证环节。这类技术本身已经比较成熟,接入到平台后,对解决短信轰炸问题能有所帮助。
而对于被骚扰的当事人,彭凯表示向公安机关报警、向人民法院提起诉讼,都是可行的法律途径。
除此之外,也可以尝试一些自救方式。记者了解到中国互联网协会设立了公众投诉受理机构“12321网络不良与垃圾信息举报受理中心”。轰炸被投诉后,涉嫌骚扰的手机号码会被限制服务。不过,此类投诉针对固定号码的骚扰,受理中心表示,验证码轰炸属于平台的正常业务被利用,受理中心暂时没有办法处理。
(图:12321网络不良与垃圾信息举报受理中心官网)
更立竿见影的方法,则是开启技术防护工具。有的手机自带骚扰拦截的功能,可以使用拦截响铃一声的来电、设置黑白名单和拦截阈值等功能进行拦截。不同运营商也有单独的防骚扰工具,比如中国移动客服提示,可以通过微信公众号"中国移动高频骚扰电话防护",设置黑名单、白名单和骚扰拦截;中国联通客服表示有“手机管家”功能;中国电信同样通过公众号“天翼防骚扰plus”,在骚扰电话拦截能力基础上,提供拦截验证、来电验证、陌生拦截等功能。
上述淘宝商家曾告诉记者,“那些(质量)差的短信可以被拦住。”根据记者的测试,防骚扰功能的确能拦截短信验证码,但会屏蔽部分正常的短信,需要在过滤记录中手动查看。
彭凯也向记者坦言,通过现有技术,运营商很难准确判断哪些是骚扰电话和短信,这种被动式防御难以根治问题。另一方面,骚扰电话和短信常常通过虚拟号码或者IP发出,甚至大部分服务器部署在境外,因此追踪发送者比较困难,执法机关也难以固证。
在这场与通信轰炸的较量中,似乎没有完美的解决方案。提高尊重隐私的自觉、加强技术安全措施、强化法律法规,或许是今后解决通信轰炸问题的关键。