*转载文章不代表本站观点。

本文来自微信公众号“腾讯安全战略研究”（tencentCCC），作者：腾讯安全专家黄汉川、陈磊、王颖及腾讯黑镜团队

大家好，我是鹅师傅。

每当逢年过节，不少人的手机会被祝福短信“持续轰炸”，这属于人缘好的“甜蜜烦恼”。而如果遇到“垃圾短信轰炸”，轻则令人生气，重则令人抑郁。

所谓“短信轰炸”指的是短时间内向被害人手机大量发送短信的一种违法行为，有的能达到1分钟上百条短信。

“短信轰炸”不是新鲜事物，其早在移动通讯诞生之初就有了。最早，“短信轰炸”是为了工程人员或者运维人员对消息接收设备进行压力测试使用，看看这款手机能不能短时间内接受大量短信。后来被政府部门用来治理街头小广告，采用“手机短信轰炸机”软件可无限发送垃圾短信到牛皮癣小广告的手机号码上，使对方的手机快速消耗电量，变成高频率振动棒，且无法正常使用。“短信轰炸机”一度在打击城市“牛皮癣”领域发挥了积极作用。

但近年来“短信轰炸”被不法分子使用的越来越多，其实个中原理或者说“技术手段”非常简单，但是长期以来问题得不到根本解决的原因在于“媒介的合法化”与“防御的被动化”。

短信轰炸的“发动机”在哪？

鹅师傅现在上网冲浪，登录各种网站或APP都需要往手机下发验证码，所以短信轰炸就是通过爬虫手段搜集了大量正常企业网站的发送短信接口（CGI接口），然后集成到轰炸网站或者轰炸软件上，供他人免费或者收费使用。轰炸网站或软件发出指令后，这些企业网站的大量正常验证码信息在短时间内一并发送到指定手机上，甚至可以实现单一网站可以给同一手机号发送多条验证码信息。那些正常的网站在这里无意成为了短信轰炸的“帮凶”，不停地给受害人发送验证短信。

“短信轰炸”已成为挟私报复的常用手段

根据相关报道发现，大多数“短信轰炸”都是为了报复受害者或者推送垃圾短信。如江苏南通的一位房地产中介代某，就是因为看房子的问题与加害人黄某发生口角，便被黄某利用“名流短信”软件进行短信轰炸，而这款软件是黄某曾在朋友圈看到有人售卖时购买的。

再比如，北京的李女士突然收到一百多条短信息，都是来自各个网站公司的验证码短信，其中不乏人X、百X、陌X、顺X等公司，因为设置了震动模式，她的手机开始了将近五分钟时长的震动。类似这样的“短信轰炸”在当天一共来了3次，每次连发上百条，一共持续了三天。至今，李女士都不知道这些短信由谁而发。

拿什么保护你？我的手机号

第一，最可能是熟人作案，熟悉你手机号码的债主、因工作生活产生纠纷的人，如电商/o2o等在线服务出现纠纷导致等等。第二，通过侵犯隐私方式购买获取的手机号码，就像经常接到各类诈骗或中介电话一样。购买手机号主要有两种途径：一是内鬼出售，据统计，大部分公民个人信息泄露案件缘于内部人员作案；二是黑客入侵，通过技术手段侵入、破坏计算机系统盗取信息。

短信轰炸为何防不住？

短信轰炸是利用手机验证码机制，由于轰炸者调用的是各类网站APP真实的注册验证码，是非常难拦截的。

即便被调用短信接口的企业有防范措施，但因该类网站或软件一般集成的短信发送接口都会放在本机上调用，这样措施只会对当前使用网站或软件的作恶人员IP有用，其他不同IP则不受限制。而有些短信轰炸软件为了提高可用度，会在软件内置代理IP来绕过短信接口的限制，达到无限制对外发送大量短信的目的。

以上网站验证码短信接口，通常被黑产大量搜集做成api的集成服务，采用代理商分发模式，供短信轰炸平台对外售卖使用。“腾讯黑镜”研究发现，主要分为两种架构：

（1）攻击代码部署在服务端上。这种类型的网站/软件，用户在使用的时候只需要把被攻击的手机号码提交到后台，后台程序会读取并发起攻击。

（2）攻击代码部署在客户端上。这种类型的网站/软件，用户可以直接在本机上运行发起攻击。

对比来看，第一种架构对攻击代码的保护比较好，外部人员想知道哪些短信CGI被利用很难分析得到，缺点是会增加攻击工具提供方的服务器运营成本。对第二种而言，外部人员很容易分析得到被利用的短信CGI接口有哪些。

短信轰炸产业链如何运作

运作短信轰炸离不开技术开发者、网站/APP运营者与使用者三类群体。其中，技术开发者负责分析发现未采取防护措施的短信接口，编写代码调用接口并将其产品化；网站/APP运营者负责前端开发，帮助使用者便捷的使用和付费，甚至通过代理商分发模式大肆售卖；使用者在相应的网站/APP购买服务，输入“被轰炸”用户的手机号即可通过调用前述短信接口发起攻击。

黑产通过谷歌搜索、Telegram、各类社群等渠道推广短信轰炸平台，让使用者去指定平台购买日/周/月/年卡来注册和使用轰炸平台进行获利，以网络第三方支付作为主要收款方式，其主要销售链条如下：

说短信轰炸“祸国殃民”毫不为过

一是严重影响社会稳定。黑产团伙借助非法网络平台侵害用户合法权益，助长恶意报复、软暴力催收等行为，群众反响强烈，社会关注度高，很可能引起社会事件，影响社会稳定。

二是严重影响正规企业网站的短信验证码功能。黑产团伙调用短信接口服务能力不但影响正常用户的短信验证功能，有损企业形象，也增加了企业不必要的费用开支。

三是严重影响用户正常生产生活。与垃圾信息和诈骗信息不同，垃圾信息、诈骗信息内容多为商业营销类、违法犯罪类，用户可通过退订、投诉举报等方式拒绝接收，并不影响用户正常短信接收功能，且目前有明确的法律惩戒依据。而短信轰炸发送时间集中、短信内容多为“正常”的验证码，若被动地关闭本机所有短信接收功能，则严重影响用户正常手机通信。

黑产团伙手中的“枪弹”有多少

据“腾讯黑镜”研究表明，业内2000余个网站约3500个验证码接口、2400个短信接口（其中106XX的短信占了95%以上）、数百个短信轰炸软件/网站被黑产团队利用掌握，数百个短信轰炸网站疑似被用于实施短信轰炸。其中，注册场景验证码占23%、登录场景验证码占13%，其余未知场景占64%。

由被动防御走向主动治理

面对防不胜防的短信轰炸，即使相关移动通信商推出特定防护措施，即在设定的防护有效期内，对所有发往本机的端口类短信(包含端口、固话、国际号码)进行全量拦截，语音通话、上网、点对点手机短信等通信不受影响，但其本质上属于被动防御，也会影响正常接收验证码。如果选择报警，往往也很难找出“短信轰炸”背后指使者。

因此，面对“积重已久”的短信轰炸需要政府与企业共治。

（1）持续加大对互联网平台（含信息发布平台、电商平台、应用软件分发平台和社交平台）“呼死你”“短信轰炸”等软件/网站的相关销售推广信息清理力度，切断相关软件、设备在互联网上的搜索、发布、下载、交易渠道。各企业通过建立动态查处清理机制，让相关软件和设备信息“发不出、搜不到、用不了”，发现一起清除一起。

（2）对于被黑产利用的验证码接口增加人机验证，如图形验证码等基础防范策略，提高黑产团队恶意利用接口的门槛；也鼓励提供短信验证服务的企业将改下行短信验证为上行验证，进一步压缩黑产生存空间。

（3）由于缺少被利用的业务全貌，各个业务方都无法独自判断某条短信下发请求是否用于轰炸。根据短信轰炸的两个特点，一是单个业务接口被利用的频率低，二是黑产工具集合多个业务的短信接口短时发起大量攻击，在行业内汇集了所有业务短信下发的相关信息形成数据协同，统一审计、制定风控拦截策略。

（4）加大司法惩处力度

一是，对于制作短信轰炸工具的，如果该工具具备侵入和非法控制对端服务器的技术特征，通常按提供侵入、非法控制计算机信息系统程序、工具罪论处。

在温州中院判决的（2019）浙03刑终935号与武汉中院判决的（2019）鄂01刑终1334号两起案件中，被告人均制作了短信轰炸软件，采取非法控制网络商家“短信验证接口”服务器，向目标手机持续发送短信达到轰炸目的。这两起已判决案件中，其工具符合非法控制特点，终审都是按照提供侵入、非法控制计算机信息系统程序、工具罪判决。

二是，专门制作短信轰炸类软件或程序供他人使用或购买相关软件违法使用，造成严重后果的，适用破坏计算机信息系统罪。

广东清远判决的（2019）粤1802刑初305号案件中，被告人编写了“顺子轰炸机”软件对外销售。购买激活后使用该软件，可以长时间发送垃圾短信、拨打骚扰电话，致使目标手机不能正常使用。而广西柳州判决的（2018）桂0204刑初705号案件中，被告人从网上购买“呼死你”软件，对13人进行电话轰炸并索取钱财，致使被害人共计15台手机、12部座机无法正常使用。这两种行为均违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重。

三是，将短信轰炸工具售卖给犯罪团伙用于实施犯罪，适用帮助信息网络犯罪活动罪，对于直接参与下游犯罪的按共犯处理。

广东韶关市曲江区法院判决的（2020）粤0205刑初196号案件中，被告人明知对方使用“轰炸机”软件用于违法犯罪，仍然将“轰炸机”软件卖给恶势力团伙用于实施寻衅滋事犯罪，法院认定为帮助信息网络犯罪活动罪。此外，一些恶势力犯罪案件中，对参与恶势力使用短信轰炸进行暴力催债的，被判寻衅滋事罪。

四是，自制恶意呼叫设备，非法占用频段，造成周边无线网络拥塞的，适用扰乱无线电通讯管理秩序罪。

江西赣州市章贡区法院判处的(2019)赣0702刑初218号案件中，被告人在未取得国家无线电发射设备型号核准，也没有在无线电管理机构办理手续情况下，使用频率包括890MHZ-960MHZ，制作了13台短信“恶意呼叫”设备，共恶意呼叫约4000个号码，造成周边移动、联通无线网络拥塞，大量用户无法正常拨打电话，联通、移动损失共计23万元等后果。该团伙被判扰乱无线电通讯管理秩序罪。

五是，尚不构成犯罪的，也难逃行政处罚。

《网络安全法》明确禁止任何个人和组织从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，或者提供这些危害网络安全的工具，或者为其提供推广、支付结算等帮助活动。

同时规定尚不构成犯罪的，由公安机关没收违法所得，可处以拘留和罚款，同时五年内不得从事网络安全管理和网络运营关键岗位的工作。

相伴而生的电话轰炸

与短信轰炸类似的还有电话轰炸，也就是传说中的“呼死你”。“呼死你”是利用网络电话通讯技术，疯狂打骚扰电话的一种软件，这种软件能够实现几秒钟一来电，基本上能将手机打爆，通讯完全中断，然后达到报复或者敲诈勒索目的。其基本原理与治理思路与短信轰炸大同小异，只不过转换了另一幅嘴脸罢了。

最后，大家如果遇到上述短信轰炸或电话轰炸，可以点击下方网址进行举报哦！

https://www.12321.cn/bomber