社會問題

[[352638]]

先講一個發(fā)生在我身上的真(xin)實(suan)往事：2015年某天，天氣晴朗，萬里無云，我的手機突然一震：難不成是我前幾天告白的男神回心轉意，決定接受我的告白，和我開始一段浪漫的旅程?……喂!快醒醒!!!

好吧，其實那天的天氣晴不晴朗我已經全然沒有印象，只記得表弟在微信上說有個好玩的東西給我……猝不及防間，我的手機不斷地收到各種莫名短信，大多都是來自常見公司的注冊碼、驗證碼之類的，原來他在網上發(fā)現(xiàn)了一個“呼死你”平臺，想要研究一下，又苦于沒有騷擾對象，于是乎盯上了我。更可恨的是，我反應過來立馬聯(lián)系他，他竟然不接我電話，導致我持續(xù)不停地收到垃圾短信，無法正常使用手機。

時間轉到2020年4月，廣東清遠市的黃先生搭乘網約車出行，到達目的地后，黃先生發(fā)現(xiàn)資費過高，遠超日常搭乘經歷，他懷疑司機“繞路了”。于是黃先生便與司機發(fā)生了爭執(zhí)，最終不歡而散?；丶液蟮狞S先生在平臺上給了司機差評。沒過多久，黃先生的手機開始接到莫名其妙的來電，而且頻率越來越高，短短半天里就有成千上萬個不同的號碼呼入，導致手機直接“爆機”，日常生活和工作都受到嚴重影響，最后報警才解決問題。

2020年7月，殷女士也遇到了相似的問題，他的手機在上班時間接到40余條手機驗證碼，發(fā)送平臺全是正規(guī)企業(yè)、機構，包括支付寶、騰訊科技、高德地圖、大眾點評、新浪微博、餓了么、阿里巴巴、美團網、途牛旅游網、58同城、百果園等。殷女士懷疑是被人惡意騷擾。

百度搜索關鍵字：“呼死你”，可以看到今年仍舊有大量相關事件不斷發(fā)生：

名詞解釋：

“呼死你”(Call you to death)是指利用通訊費用低廉的網絡電話作為呼叫平臺，采用國際先進網絡電話通訊技術進行信息(語音電話呼叫、短信)轟炸。下圖是今年某一個新聞里的截圖，從截圖中可以看到被黑產利用的系統(tǒng)不僅僅歸屬中小企業(yè)，也不乏有銀行、政府機構等單位。

注：新聞內容及截圖來自網絡，僅供參考。

攻擊原理

(1) “呼死你”完整攻擊流程圖

• 壞人充值購買惡意服務，并指定“目標”受害者手機號;
• “呼死你”平臺模擬各個網站正常短信調用請求，調用各網站“短信”接口，請求向“目標”手機號發(fā)送短信;
• 各網站處理客戶端請求，向受害者手機發(fā)送短信;
• 受害者手機收到若干短信，遭受短信轟炸攻擊。

(2) 調用短信接口發(fā)送短信

“呼死你”攻擊流程上最重要的一步是：調用短信接口發(fā)送短信，技術實現(xiàn)上也比較簡單，無非以下幾步：

① 尋找能發(fā)手機短信驗證的頁面。

② 構造http發(fā)包請求，樣例：

#!/usr/bin/python 
import httplib 
headers = { 
     "User-Agent": Mozilla/5.0 "(compatible; MSIE 9.0;XXXXXX)", 
     "Referer": " ",          
     "Host": " "}        
params = " "  
con = httplib.HTTPConnection("www.abc.com")    # 
con.request("POST", "/send_mes.jsp?xxxxxx=aaaaa",params,headers)    
response = con.getresponse() 
con.close() 

③ 采用單機IP或分布式代理IP，頻繁調用短信發(fā)送接口。

企業(yè)危害

防范此類網絡攻擊，需要公安機關、運營商、企業(yè)協(xié)調努力。歷年來公安部“凈網行動”一直在持續(xù)打擊該類違法犯罪，2018年6月，在公安部的協(xié)調下，廣東省公安廳組織廣州、深圳等15個地市公安機關，在四川、河南、廣東等多個省市同步開展“安網2號”打擊“呼死你”黑灰產業(yè)鏈專案收網行動，成功打掉“瘋狂云呼”和“嘔死他”兩個“呼死你”犯罪團伙。比如今年四月份廣東網警就對一個以熊某為首的利用互聯(lián)網制販“呼死你”軟件的違法犯罪團伙進行了打擊。此外，運營商也一直對“呼死你”平臺持零容忍的態(tài)度。

雖然公安部“凈網行動”已經打掉了一批“呼死你”平臺，運營商也在致力于積極防御此類攻擊行為。但在利益驅動下，“呼死你”平臺更趨于多變、隱蔽，惡意騷擾現(xiàn)象不會完全斷絕。

因此，企業(yè)同樣需要做好網絡安全防護。做好企業(yè)系統(tǒng)網絡安全工作，一方面可以杜絕資源被惡意利用，另一方面承擔了《網絡安全法》中應盡的義務，同時也避免影響公司品牌形象。

企業(yè)如何防御

針對此類攻擊行為，一般考慮如下防御手段：

• 在系統(tǒng)發(fā)送短信驗證碼處增加圖形驗證碼，防止機器高頻調用行為;
• 檢測惡意調用接口行為，及時進行封堵。

當前大多數(shù)企業(yè)客戶平臺自身可以增加驗證方式，但是沒有有效的抓手去檢測此類惡意調用行為。針對此類痛點，企業(yè)可以考慮通過SIEM、SOC、態(tài)勢感知平臺、大數(shù)據(jù)分析平臺等幫助實現(xiàn)及時檢測功能。

(1) 檢測惡意調用接口行為

這里提供給各位安全小伙伴一些檢測思路，通過分析得出，此類攻擊具有以下通用特征：

• 單一來源IP，短時間段內頻繁調用短信接口;
• 不同來源IP，短時間段內高頻次對同一目標手機號碼調用發(fā)送請求。

針對以上特征，我們可以采用如下技術手段檢測：

(2) 技術一：配置專項“業(yè)務接口”檢測規(guī)則

• 梳理業(yè)務接口：包含但不限于登錄入口、密碼找回入口、注冊入口、訂單查看接口等存在短信發(fā)送的業(yè)務點URL;
• 選擇數(shù)據(jù)源：web中間件日志、全流量解析數(shù)據(jù);
• 設置告警觸發(fā)條件：同一源IP 60秒內對同一接口調用超過10次 or 不同源IP 60秒鐘內對同一手機號碼調用請求超過10次;(根據(jù)具體情況設置)
• 選擇告警通知方式：可選擇通過郵件、短信對源IP告警;
• 聯(lián)動處置：通過soar或一鍵處置等方式，聯(lián)動防火墻、WAF、DDOS類設備進行阻斷處理。

圖：檢測規(guī)則截圖

圖：自動化編排截圖

(3) 技術二：配置專項“業(yè)務接口”監(jiān)控儀表盤

• 梳理業(yè)務接口：包含但不限于登錄入口、密碼找回入口、注冊入口、訂單查看接口等存在短信發(fā)送的業(yè)務點URL;
• 選擇數(shù)據(jù)源：web中間件日志、全流量解析數(shù)據(jù);
• 選擇展示圖表：可選擇柱狀圖、餅狀圖、折線圖等;
• 配置展示主題：數(shù)據(jù)量趨勢類圖表、攻擊占比類圖表、攻擊IP分布類圖表、攻擊事件Top N類圖表。

圖：監(jiān)控儀表盤截圖​

寫在最后

​隨著網絡服務的應用和普及，網絡運營者(企業(yè))占據(jù)了大量社會資源，也應當承擔相應的義務。此外，《網絡安全法》也明確了網絡運營者的網絡運行安全義務、網絡產品和服務安全義務、關鍵信息基礎設施安全保護義務、公民個人信息保護義務、網絡信息安全管理義務等。

社會上的每個人也應當從自身做起，不要購買此類騷擾業(yè)務。當然，也不建議自己從網上下載所謂“呼死你”軟件，很多軟件不僅僅是無法使用，甚至可能是“掛羊頭賣狗肉”的木馬程序，會帶來更多的安全問題。最后，愿大家永遠不會遇上和我一樣的辛酸經歷呀!