社會(huì)問(wèn)題

[[352638]]

先講一個(gè)發(fā)生在我身上的真(xin)實(shí)(suan)往事：2015年某天，天氣晴朗，萬(wàn)里無(wú)云，我的手機(jī)突然一震：難不成是我前幾天告白的男神回心轉(zhuǎn)意，決定接受我的告白，和我開(kāi)始一段浪漫的旅程?……喂!快醒醒!!!

好吧，其實(shí)那天的天氣晴不晴朗我已經(jīng)全然沒(méi)有印象，只記得表弟在微信上說(shuō)有個(gè)好玩的東西給我……猝不及防間，我的手機(jī)不斷地收到各種莫名短信，大多都是來(lái)自常見(jiàn)公司的注冊(cè)碼、驗(yàn)證碼之類的，原來(lái)他在網(wǎng)上發(fā)現(xiàn)了一個(gè)“呼死你”平臺(tái)，想要研究一下，又苦于沒(méi)有騷擾對(duì)象，于是乎盯上了我。更可恨的是，我反應(yīng)過(guò)來(lái)立馬聯(lián)系他，他竟然不接我電話，導(dǎo)致我持續(xù)不停地收到垃圾短信，無(wú)法正常使用手機(jī)。

時(shí)間轉(zhuǎn)到2020年4月，廣東清遠(yuǎn)市的黃先生搭乘網(wǎng)約車出行，到達(dá)目的地后，黃先生發(fā)現(xiàn)資費(fèi)過(guò)高，遠(yuǎn)超日常搭乘經(jīng)歷，他懷疑司機(jī)“繞路了”。于是黃先生便與司機(jī)發(fā)生了爭(zhēng)執(zhí)，最終不歡而散。回家后的黃先生在平臺(tái)上給了司機(jī)差評(píng)。沒(méi)過(guò)多久，黃先生的手機(jī)開(kāi)始接到莫名其妙的來(lái)電，而且頻率越來(lái)越高，短短半天里就有成千上萬(wàn)個(gè)不同的號(hào)碼呼入，導(dǎo)致手機(jī)直接“爆機(jī)”，日常生活和工作都受到嚴(yán)重影響，最后報(bào)警才解決問(wèn)題。

2020年7月，殷女士也遇到了相似的問(wèn)題，他的手機(jī)在上班時(shí)間接到40余條手機(jī)驗(yàn)證碼，發(fā)送平臺(tái)全是正規(guī)企業(yè)、機(jī)構(gòu)，包括支付寶、騰訊科技、高德地圖、大眾點(diǎn)評(píng)、新浪微博、餓了么、阿里巴巴、美團(tuán)網(wǎng)、途牛旅游網(wǎng)、58同城、百果園等。殷女士懷疑是被人惡意騷擾。

百度搜索關(guān)鍵字：“呼死你”，可以看到今年仍舊有大量相關(guān)事件不斷發(fā)生：

名詞解釋：

“呼死你”(Call you to death)是指利用通訊費(fèi)用低廉的網(wǎng)絡(luò)電話作為呼叫平臺(tái)，采用國(guó)際先進(jìn)網(wǎng)絡(luò)電話通訊技術(shù)進(jìn)行信息(語(yǔ)音電話呼叫、短信)轟炸。下圖是今年某一個(gè)新聞里的截圖，從截圖中可以看到被黑產(chǎn)利用的系統(tǒng)不僅僅歸屬中小企業(yè)，也不乏有銀行、政府機(jī)構(gòu)等單位。

注：新聞內(nèi)容及截圖來(lái)自網(wǎng)絡(luò)，僅供參考。

攻擊原理

(1) “呼死你”完整攻擊流程圖

• 壞人充值購(gòu)買惡意服務(wù)，并指定“目標(biāo)”受害者手機(jī)號(hào);
• “呼死你”平臺(tái)模擬各個(gè)網(wǎng)站正常短信調(diào)用請(qǐng)求，調(diào)用各網(wǎng)站“短信”接口，請(qǐng)求向“目標(biāo)”手機(jī)號(hào)發(fā)送短信;
• 各網(wǎng)站處理客戶端請(qǐng)求，向受害者手機(jī)發(fā)送短信;
• 受害者手機(jī)收到若干短信，遭受短信轟炸攻擊。

(2) 調(diào)用短信接口發(fā)送短信

“呼死你”攻擊流程上最重要的一步是：調(diào)用短信接口發(fā)送短信，技術(shù)實(shí)現(xiàn)上也比較簡(jiǎn)單，無(wú)非以下幾步：

① 尋找能發(fā)手機(jī)短信驗(yàn)證的頁(yè)面。

② 構(gòu)造http發(fā)包請(qǐng)求，樣例：

#!/usr/bin/python 
import httplib 
headers = { 
     "User-Agent": Mozilla/5.0 "(compatible; MSIE 9.0;XXXXXX)", 
     "Referer": " ",          
     "Host": " "}        
params = " "  
con = httplib.HTTPConnection("www.abc.com")    # 
con.request("POST", "/send_mes.jsp?xxxxxx=aaaaa",params,headers)    
response = con.getresponse() 
con.close() 

③ 采用單機(jī)IP或分布式代理IP，頻繁調(diào)用短信發(fā)送接口。

企業(yè)危害

防范此類網(wǎng)絡(luò)攻擊，需要公安機(jī)關(guān)、運(yùn)營(yíng)商、企業(yè)協(xié)調(diào)努力。歷年來(lái)公安部“凈網(wǎng)行動(dòng)”一直在持續(xù)打擊該類違法犯罪，2018年6月，在公安部的協(xié)調(diào)下，廣東省公安廳組織廣州、深圳等15個(gè)地市公安機(jī)關(guān)，在四川、河南、廣東等多個(gè)省市同步開(kāi)展“安網(wǎng)2號(hào)”打擊“呼死你”黑灰產(chǎn)業(yè)鏈專案收網(wǎng)行動(dòng)，成功打掉“瘋狂云呼”和“嘔死他”兩個(gè)“呼死你”犯罪團(tuán)伙。比如今年四月份廣東網(wǎng)警就對(duì)一個(gè)以熊某為首的利用互聯(lián)網(wǎng)制販“呼死你”軟件的違法犯罪團(tuán)伙進(jìn)行了打擊。此外，運(yùn)營(yíng)商也一直對(duì)“呼死你”平臺(tái)持零容忍的態(tài)度。

雖然公安部“凈網(wǎng)行動(dòng)”已經(jīng)打掉了一批“呼死你”平臺(tái)，運(yùn)營(yíng)商也在致力于積極防御此類攻擊行為。但在利益驅(qū)動(dòng)下，“呼死你”平臺(tái)更趨于多變、隱蔽，惡意騷擾現(xiàn)象不會(huì)完全斷絕。

因此，企業(yè)同樣需要做好網(wǎng)絡(luò)安全防護(hù)。做好企業(yè)系統(tǒng)網(wǎng)絡(luò)安全工作，一方面可以杜絕資源被惡意利用，另一方面承擔(dān)了《網(wǎng)絡(luò)安全法》中應(yīng)盡的義務(wù)，同時(shí)也避免影響公司品牌形象。

企業(yè)如何防御

針對(duì)此類攻擊行為，一般考慮如下防御手段：

• 在系統(tǒng)發(fā)送短信驗(yàn)證碼處增加圖形驗(yàn)證碼，防止機(jī)器高頻調(diào)用行為;
• 檢測(cè)惡意調(diào)用接口行為，及時(shí)進(jìn)行封堵。

當(dāng)前大多數(shù)企業(yè)客戶平臺(tái)自身可以增加驗(yàn)證方式，但是沒(méi)有有效的抓手去檢測(cè)此類惡意調(diào)用行為。針對(duì)此類痛點(diǎn)，企業(yè)可以考慮通過(guò)SIEM、SOC、態(tài)勢(shì)感知平臺(tái)、大數(shù)據(jù)分析平臺(tái)等幫助實(shí)現(xiàn)及時(shí)檢測(cè)功能。

(1) 檢測(cè)惡意調(diào)用接口行為

這里提供給各位安全小伙伴一些檢測(cè)思路，通過(guò)分析得出，此類攻擊具有以下通用特征：

• 單一來(lái)源IP，短時(shí)間段內(nèi)頻繁調(diào)用短信接口;
• 不同來(lái)源IP，短時(shí)間段內(nèi)高頻次對(duì)同一目標(biāo)手機(jī)號(hào)碼調(diào)用發(fā)送請(qǐng)求。

針對(duì)以上特征，我們可以采用如下技術(shù)手段檢測(cè)：

(2) 技術(shù)一：配置專項(xiàng)“業(yè)務(wù)接口”檢測(cè)規(guī)則

• 梳理業(yè)務(wù)接口：包含但不限于登錄入口、密碼找回入口、注冊(cè)入口、訂單查看接口等存在短信發(fā)送的業(yè)務(wù)點(diǎn)URL;
• 選擇數(shù)據(jù)源：web中間件日志、全流量解析數(shù)據(jù);
• 設(shè)置告警觸發(fā)條件：同一源IP 60秒內(nèi)對(duì)同一接口調(diào)用超過(guò)10次 or 不同源IP 60秒鐘內(nèi)對(duì)同一手機(jī)號(hào)碼調(diào)用請(qǐng)求超過(guò)10次;(根據(jù)具體情況設(shè)置)
• 選擇告警通知方式：可選擇通過(guò)郵件、短信對(duì)源IP告警;
• 聯(lián)動(dòng)處置：通過(guò)soar或一鍵處置等方式，聯(lián)動(dòng)防火墻、WAF、DDOS類設(shè)備進(jìn)行阻斷處理。

圖：檢測(cè)規(guī)則截圖

圖：自動(dòng)化編排截圖

(3) 技術(shù)二：配置專項(xiàng)“業(yè)務(wù)接口”監(jiān)控儀表盤(pán)

• 梳理業(yè)務(wù)接口：包含但不限于登錄入口、密碼找回入口、注冊(cè)入口、訂單查看接口等存在短信發(fā)送的業(yè)務(wù)點(diǎn)URL;
• 選擇數(shù)據(jù)源：web中間件日志、全流量解析數(shù)據(jù);
• 選擇展示圖表：可選擇柱狀圖、餅狀圖、折線圖等;
• 配置展示主題：數(shù)據(jù)量趨勢(shì)類圖表、攻擊占比類圖表、攻擊IP分布類圖表、攻擊事件Top N類圖表。

圖：監(jiān)控儀表盤(pán)截圖​

寫(xiě)在最后

​隨著網(wǎng)絡(luò)服務(wù)的應(yīng)用和普及，網(wǎng)絡(luò)運(yùn)營(yíng)者(企業(yè))占據(jù)了大量社會(huì)資源，也應(yīng)當(dāng)承擔(dān)相應(yīng)的義務(wù)。此外，《網(wǎng)絡(luò)安全法》也明確了網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)運(yùn)行安全義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全義務(wù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)義務(wù)、公民個(gè)人信息保護(hù)義務(wù)、網(wǎng)絡(luò)信息安全管理義務(wù)等。

社會(huì)上的每個(gè)人也應(yīng)當(dāng)從自身做起，不要購(gòu)買此類騷擾業(yè)務(wù)。當(dāng)然，也不建議自己從網(wǎng)上下載所謂“呼死你”軟件，很多軟件不僅僅是無(wú)法使用，甚至可能是“掛羊頭賣狗肉”的木馬程序，會(huì)帶來(lái)更多的安全問(wèn)題。最后，愿大家永遠(yuǎn)不會(huì)遇上和我一樣的辛酸經(jīng)歷呀!