陈梦 腾讯安全平台部高级安全产品经理

  我将会通过一个系列文章来给大家揭开这里的神秘面纱,看看究竟是谁坑走了创业者的钱。今天来看第一篇——年产值过亿的短信代收产业。
  【谁坑了创业者的钱1】短信代收,一个年产数亿的黑产链条
  云计算,已经不仅仅是互联网技术的一次革新,更是无数未来行业领袖成长的沃土。然而这条道路是艰辛的,是充满危机和挑战的。安全,就是创业者们首先要避开的大坑。那么,究竟是哪些安全问题在阻碍着创业者的前进?我们又能够为这些优秀的创业企业做些什么呢?
  从毕业后加入腾讯安全平台部,我从事黑产对抗的工作已经有4年了。这四年里,有亲身参与的,有听前辈描述的,几乎是了解了各个黑产链条里的对抗故事。而在接下来的一段日子里,我将会通过一个系列文章来给大家揭开这里的神秘面纱,看看究竟是谁坑走了创业者的钱。今天来看第一篇-年产值过亿的短信代收产业。
  █ 短信代收“年产值”数亿,涉及数千万个黑手机号
  首先给大家介绍一个背景,恶意批量注册。坏人在从事大多数黑产活动时,都会遇到一个问题,那就是拥有足够多的帐号。因此,批量的恶意注册小号,成为大多数黑产团伙都必须要做的事情,也是黑产获利的第一步。通过恶意注册而产生的大量小号,不但会增加运营成本,同时也存在着巨大的安全隐患。

  因此,就出现了一种大家都经历过的场景:在进行注册或某种操作时,系统会要求你输入一个手机号码接受短信验证码,并正确输入后才可完成操作。这就是现阶段大多数互联网企业用来打击黑产分子批量注册的方法。

▲ 图1:以短信平台为中枢的短信代收黑色产业链

  然而魔高一尺,这种对抗手法不但没把黑产从业者难住,反而催生了一个新的黑产——短信代收。所谓短信代收,就是黑产分子通过第三方平台完成接收和提交短信验证码的操作。通过短信代收,坏人可以进行批量注册、短信解封等各类黑产。这一产业的出现和不断发展,正在逐渐击溃互联网业务以短信验证码为盾设下的一道防线。

▲ 图2:用来接收或群发短信的“猫池”

  据安全平台部黑产情报团队分析调查,目前在短信代收产业链中,黑产从业人员达到上万人,涉及的黑手机号更是达到千万级,黑市上主要的短信代收平台就有上百个。以人均月收入6000元来推算,该产业链黑产人员的“年产值”保守估计达到7亿元。就如同任何的产业生态链一样,短信代收黑产分工明确,合作紧密,环环相扣。情报团队对其进行深入跟踪挖掘,基本还原了这一地下产业链的完整面貌。

▲ 图3:形形色色的卡商广告

▲ 图4:短信代收平台

  总而言之,凭借卡商提供的手机号资源,结合自动机调用短信平台的服务,坏人能够恶意拉取企业的短信验证码并批量提交,进而完成一系列的黑产业务。
  █ 除了黑产,还有谁会“偷”你的短信?
  世道险恶,除了成千上万的黑产大军,来自行业对手的恶性竞争以及短信轰炸平台的恶意侵扰,也让商家防不胜防。
  1、短信轰炸机

  短信轰炸平台对于商家的“攻击”更加野蛮,也更加无厘头。与短信平台不同,短信轰炸机并不在乎短信验证码的具体内容,纯粹是为了拉取接口、批量下发短信,从而达到整蛊或瘫痪用户手机的目的,因而工具的实现逻辑比较简单。这类短信轰炸机在黑市上也比较常见,价格在50~100元不等,市面上亦有免费版,效果不一。

▲ 图5:短信轰炸机

  2、竞争对手
  与短信轰炸平台相比,竞争对手的目的就更为险恶。竞争对手通过拉取目标商家的短信下发接口,以每日百万级的请求量向用户下发无效短信。一方面提高该商家的运营成本,另一方面以该商家之名对其客户造成严重骚扰,让企业声誉受损,陷入用户投诉的泥潭。竞争对手使用的这类短信群发工具在黑市上很难直接买到,一般需要向软件开发者私人订制。
  █ 90%的短信被坏人拉取,企业日均损失数万元

  目前,互联网的短信代收形势较为严峻。通过安平黑产情报团队的追踪调查,发现在今年10月底,某著名网上商城存在被恶意拉取短信验证码的问题。据统计,该商城单日最高恶意请求总量近140万,每日来自坏人的恶意请求量占了请求总量的90%以上。这就意味着,商家每下发100条短信验证码,就有90条落到了黑产分子或竞争对手的手中。如果按照一条短信0.1元来算,那么该商家一天光在短信费用这一块就白白损失了14万元。

▲ 图6:天御发现某网上商城被恶意拉取短信验证码

  实际上,短信费用损失还是其次,不管是黑产分子、竞争对手还是短信轰炸平台,他们都绝不仅仅是恶意拉取短信验证码那么简单,在这之后的垃圾注册、活动资源刷取、用户投诉、声誉受损才是商家真正头疼的问题。
  █ 那么,应该如何解决?
  黑产数据积累,这是解决短信代收和刷取最重要的要素。这里给大家举个例子,有一条美食街上开了100家餐馆,忽然有几百名恶霸开始挨家挨户的吃霸王餐。此时如果第一家被吃霸王餐的店主将这些恶霸的照片分发给各家各户,那么其他99家饭馆遇到恶霸时就能阻止他进店,自然不会被吃霸王餐。

  腾讯安全平台部,自04年成立以来,先后参与了QQ、微信、红包、游戏、微博、电商、金融等多个领域的安全对抗工作,可以说是见过了形形色色的“恶霸”。经过10余年的积累,腾讯安全平台部将所积累的“恶霸”信息,配合风控策略打造了腾讯云天御防刷体系,也期望能够为广大的创业者和互联网业务发展贡献一些力量。

▲ 图7:天御

  如今,“天御”已通过腾讯云为聚美优品、京东、58同城、滴滴出行、大众点评、携程、饿了么、7天连锁酒店等十余家行业领军企业提供了不同维度的安全服务,有效的防护避免了黑产团队对企业的侵害。后续腾讯安全平台部将开放更多的安全能力,把腾讯的经验和方法用于行业的发展,为更多企业的重大活动保驾护航。