大部分的網站和移動應用在註冊時使用手機號碼作為平臺賬號，利用短信驗證來鑒別手機號是否屬於用戶本人。因此，我們在各類平臺的註冊場景經常見到短信驗證。然而，這種驗證工具背後卻暗藏許多安全隱患。其中最主要的一種就是黑產利用各類平臺的短信驗證接口進行短信轟炸。

短信轟炸造成短信通道阻塞、企業品牌形象受損、短信費用被大量惡意消耗等負面影響，若被用戶投訴，還將導致短信接口封禁，直接影響網站正常業務。

下面將詳細給大家介紹短信轟炸的流程以及幾種應對方式的分析：

何為短信轟炸

短信轟炸是通過各平臺獲取短信驗證碼，達到惡意發送垃圾短信的工具。這種“短信炸彈”主要是通過特制的軟件不斷往一個手機號碼發重復的垃圾短信，以達到騷擾目標用戶的效果。

一個強大的短信轟炸機能做到每秒發送上百條短信。

短信轟炸原理

1.惡意攻擊者在前端頁面輸入被攻擊者的手機號

2.短信轟炸後臺服務器，將該手機號與互聯網收集的可不需要經過認證即可發送動態短信的URL進行組合，形成可發送動態短信的URL請求

3.通過後臺請求頁面，偽造用戶的請求發給不同的業務服務器

4.業務服務器收到該請求後，發送動態短信到被攻擊用戶的手機上

利用短信接口的攻擊方式

1.針對某個網站短信接口集中惡意攻擊

2.短信轟炸機調用接口

短信轟炸實例

以下為下載轟炸軟件後多次親測效果圖

APP端轟炸機

Web端轟炸機

轟炸結果

攻擊之後在5分鐘之內連續收到70條信息（部分截圖省略）

短信轟炸價格

某寶上價格為：

500條20元

1200條50元

2500條100元

開通會員無限制次數150元一年

目前解決方式

1.針對單個手機號碼每天限定短信發送次數

解決思路：

每個手機號碼每天只允許發送固定數量的短信，那麽短信接口就不會被濫用了。

實際效果：

短信轟炸機的工作原理是攻擊某個手機號時，攻擊程序同時請求無數的短信接口，絕大部分情況下，每個網站的接口都只請求一兩次，並不會觸發短信發送數量上限。因此這種防護方式並沒有什麽效果，對於網站來說，看到的仍然是無數的手機號，每個都發送一兩條短信，但是無法區分，哪些手機號是真正的用戶，哪些是被攻擊的號碼。

2.針對來源ip限制接口請求次數或頻率

解決思路：

限定單個ip地址的請求，即使一次攻擊多個號碼，也可以有效識別。

實際效果：

獲取一個ip實在太廉價了，普通家用寬帶都可以分分鐘通過斷開再撥號獲取多個ip。網上各種提供代理ip的網站上都有無數的代理ip可以使用，甚至淘寶上還有提供隨時撥號的動態vps服務器。

3.每條短信發送之前都加上驗證碼校驗

解決思路：

提供正確的驗證碼，才發送短信，徹底解決腳本問題

實際效果：

普普通通的驗證碼，通過OCR識別的方式可以瞬間轉成文本。稍復雜的驗證碼也可通過OCR+簡單機器學習破解。

結語

註冊場景作為每個平臺的入口，是非常核心的交互場景。保障註冊場景的交互安全與交互體驗也是每個平臺需要不斷思考和優化的課題。實際上，各大運營商也專門規定短信驗證碼必須加上圖形驗證碼的保護。但是傳統的圖形驗證已經不再安全，同時又非常影響用戶的交互體驗。網站與應用管理者，需要探尋更佳優質的解決方案。而極驗的基於深度學習驗證安全服務無疑是當下最合適的一種。

簡析短信轟炸給平臺註冊場景帶來的交互安全威脅