朋友被短信轰炸了——关于"短信轰炸"你知道多少
朋友被短信轰炸了——关于"短信轰炸"你知道多少
事情是这样的
上周六晚上十一点多,我正准备睡觉,一个朋友突然疯狂给我发微信:
"兄弟救命!!我手机出问题了!!" "一直在收到验证码短信!!停不下来!!" "已经收到一百多条了怎么办!!手机卡死了!!"
我当时第一反应是:被短信轰炸了。
让他先别慌,开了免扰模式,然后把来电拦截打开。接着让他截了几张图发过来。
一看,果然——各种平台的注册验证码、登录验证码、改密码验证码,密密麻麻。淘宝、京东、拼多多、抖音、快手、微博、知乎、B站、豆瓣、12306、移动、联通、电信……你能想到的App,全来了。
每条短信的内容都差不多:"您的验证码是XXXX,X分钟内有效"。
朋友说从晚上十点左右开始的,一个多小时已经收了将近200条,而且还在不停来。手机直接卡死,连正常微信都发不出去。
他问我是不是手机中毒了。
我说不是,你这是被人用短信轰炸搞了。
什么是短信轰炸
短信轰炸,也叫"短信炸弹"。说白了就是——有人用一个程序,疯狂地往你的手机号上发送验证码短信。
注意,不是那个人自己发短信给你。是程序自动去各大平台的注册/登录接口,提交你的手机号,让平台自动给你发验证码。
正常流程:
你自己注册淘宝 → 输入手机号 → 淘宝给你发验证码 → 你输入验证码 → 注册成功
短信轰炸流程:
程序自动收集了500个平台的注册接口
→ 循环500次
→ 每次往一个平台的接口提交你的手机号
→ 500个平台同时给你发验证码
→ 你收到500条短信
→ 过5分钟再来一轮
就这么简单。
没有高深的技术,没有黑客入侵,没有什么"控制了你的手机"。就是有人写了个循环,挨个调用网站的短信接口。
暴力,但有效。
原理有多简单
真的非常简单。简单到令人发指。
第一步:收集短信接口
网上有大量网站提供"手机号注册"、"手机号登录"、"手机号找回密码"的功能。这些功能背后,都有一个发送短信验证码的接口。
比如某个网站的注册流程是这样的:
POST /api/sendSms
{
"phone": "138xxxx1234"
}
返回:
{
"code": 200,
"message": "验证码已发送"
}
只要往这个接口POST一个手机号,网站就会给这个手机号发一条验证码短信。
这种接口,网上有成千上万个。
有些人在网上搜集、整理、打包这些接口,做成一个接口列表。这个列表通常会包含几百甚至上千个网站的短信发送地址。
第二步:写个循环
有了接口列表,接下来就是写代码了。用什么语言都行,核心逻辑就几行:
手机号 = "受害者的手机号"
接口列表 = 读取接口文件
for 每个接口 in 接口列表:
请求(接口地址, 参数={"phone": 手机号})
等待(0.5秒) // 别太快,太快了有些接口会拒绝
就这样。一个for循环,完事了。
稍微复杂一点的版本会加上多线程、代理IP、随机User-Agent这些,防止被网站封禁。但核心逻辑永远是那个for循环。
第三步:自动化运行
把脚本扔到服务器上,设个定时任务,每隔几分钟跑一轮。
受害者就会每隔几分钟收到一波验证码短信轰炸。
一天下来,几千条。手机基本废了。
为什么这么容易实现
关键问题在于:大部分网站的短信接口没有做好防护。
一个合格的短信接口应该做什么?
合格短信接口的自我修养:
──────────────────────────────────────────
1. 限制同一手机号的发送频率
→ 同一个号码,60秒内只能发一次
→ 同一个号码,一天最多发5次
2. 限制同一IP的请求频率
→ 同一个IP,一分钟最多请求10次
3. 人机验证
→ 发送前需要通过图形验证码或滑块验证
→ 确认是真人操作,不是脚本
4. 短信发送量监控
→ 某个手机号短时间内收到大量验证码
→ 自动触发告警,暂停发送
──────────────────────────────────────────
但现实是,很多网站——尤其是小网站、初创公司的网站——这些防护一个都没做。
只要POST一个手机号过去,验证码就发出去了。没有任何限制。
这就是短信轰炸能存在的根本原因——不是攻击者有多厉害,是防御者太拉胯。
短信轰炸从哪来的
大多数人接触到短信轰炸,是通过以下几种渠道:
渠道一:黑产工具
地下产业链里,短信轰炸工具是一个"老产品"了。有些人在暗网、Telegram群、各种灰产群里出售短信轰炸服务。
黑产市场的短信轰炸服务:
──────────────────────────────────────
淘宝式服务:
按次收费: 几块钱轰炸一次
包月套餐: 几十块钱一个月不限次
定时轰炸: 每天凌晨三点准时开始
套餐选择:
基础版: 100个接口,每小时200条
加强版: 500个接口,每小时1000条
豪华版: 1000个接口,全天不限量
──────────────────────────────────────
对,这东西已经产业化了。有人专门维护接口列表,有人专门做Web界面,有人专门负责推广接单。分工明确,流程标准化。
渠道二:GitHub上的"开源项目"
这个说出来可能有点讽刺。GitHub上确实存在一些公开的短信轰炸项目,打着"测试用"、"安全研究"的旗号。
这些项目通常会收集大量短信接口,提供现成的脚本。虽然大部分后来都被清理了,但镜像和fork遍地都是。
渠道三:网页版轰炸平台
更离谱的是,有些短信轰炸直接做成了网页。打开一个网址,输入目标手机号,点一下"开始轰炸",就行了。
连代码都不用写。
这些网页版的轰炸平台存活时间通常不长,被封了就换个域名再来。但就像打地鼠一样,打掉一个冒出来两个。
谁会被轰炸
大部分人被短信轰炸,不是因为得罪了什么黑客。原因通常很简单:
- 网购纠纷:和卖家吵架了,卖家报复
- 游戏冲突:游戏里和人互喷,对方炸你
- 感情纠纷:前任的报复手段
- 网络骂战:在论坛、贴吧、微博上和人吵起来了,对方搞你
- 纯随机:有些无聊的人随机输入手机号轰炸,纯看运气
说穿了,短信轰炸的门槛极低,动机也往往很幼稚。但给受害者造成的困扰是实打实的。
我是怎么帮朋友解决的
回到我朋友那个事。接到求救之后,我做了这么几步。
第一步:紧急止损
让他立刻做这几件事:
紧急操作:
──────────────────────────────────────
1. 打开手机"勿扰模式"(先不吵了)
2. 设置短信拦截(只拦截陌生号码的短信)
3. 如果手机支持,设置短信关键词过滤
→ 过滤"验证码"、"code"等关键词
4. 开启运营商的骚扰拦截服务
→ 移动: 发短信 KTFSR 到 10086
→ 联通: 发短信 KT 到 10010
→ 电信: 发短信 KTFSR 到 10001
──────────────────────────────────────
这几步做完之后,至少手机不会再每秒震动了。
第二步:联系运营商
打电话给运营商客服,说明情况,请求临时开启高频短信拦截。
运营商那边是有能力在系统层面拦截这种轰炸的。他们会把你这个号码加入短期监控名单,来自同一批次、同一特征的短信直接过滤掉。
朋友打完电话之后大概半小时,短信量从每小时上百条降到了个位数。
第三步:等它过去
短信轰炸一般不会持续太久。因为攻击者也是要成本的——不管是花钱买的服务,还是自己搭的服务器,持续轰炸意味着持续消耗资源。
大部分轰炸持续几个小时到一两天就停了。因为对方觉得差不多了,或者忘了,或者工具到期了。
第四步:事后清理
轰炸停止之后,该做的清理工作:
清理清单:
──────────────────────────────────────
1. 删除所有轰炸期间的垃圾短信(不要点里面的链接)
2. 检查是否有重要的短信被淹没了(比如银行通知)
3. 检查各个App是否有被恶意注册的情况
→ 如果发现某个App被注册了,立刻去注销
4. 关闭勿扰模式,恢复正常
──────────────────────────────────────
还有一个容易被忽略的点:轰炸期间,你的手机号可能被注册了很多网站的账号。建议过一段时间后,在各大平台搜索一下自己的手机号有没有新注册的账号。
怎么预防
完全避免短信轰炸比较难,因为攻击者只需要知道你的手机号就行。但可以做一些事情降低风险和影响。
日常预防
1. 少暴露手机号
手机号是你的核心隐私信息。能不填就不填,能用邮箱注册就用邮箱注册,能用虚拟号就用虚拟号。
手机号暴露的高危场景:
──────────────────────────────────────
- 各种小网站注册(最危险)
- 外卖、快递单上的信息(被拍照泄露)
- 网络骂战时互晒对方信息
- 随便扫码填手机号领小礼品
- 公开场合留下的联系方式
──────────────────────────────────────
2. 用小号注册不重要的网站
准备一个专门用来注册各种不靠谱网站的手机号。移动、联通、电信都有便宜的副卡套餐,十来块钱一个月。
重要的东西用主号,乱七八糟的用小号。
3. 开启运营商防骚扰
三大运营商都提供免费的骚扰电话和短信拦截服务,默认可能是关闭的,需要手动开启:
运营商防骚扰:
──────────────────────────────────────
中国移动:
关注公众号"中国移动高频骚扰电话防护"
→ 绑定手机号 → 开启防护 → 拦截等级选"中"
中国联通:
关注公众号"联通手机管家"
→ 绑定手机号 → 开启拦截
中国电信:
关注公众号"天翼防骚扰"
→ 绑定手机号 → 开启拦截
──────────────────────────────────────
强烈建议所有人都开一下。不只是防短信轰炸,日常的骚扰电话和垃圾短信也能过滤掉一大半。
被轰炸时的应对
如果已经不幸被轰炸了:
1. 不要慌
短信轰炸不会盗取你的信息,不会偷你的钱,不会入侵你的手机。它就是烦,烦到你想砸手机,但本质上只是一堆验证码短信。
你的钱是安全的,你的账号是安全的。
2. 开启勿扰模式
先把声音关掉,至少能正常生活。
3. 联系运营商
这是最快最有效的方法。运营商能在网络层面直接拦截。
4. 不要回复任何短信
轰炸期间的短信不要回复,不要点里面的链接,不要输入任何验证码。因为有一种升级版的攻击是轰炸+钓鱼——先轰炸让你烦躁,然后混进去一条伪装成"退订请回复TD"的钓鱼短信,骗你点恶意链接。
5. 报警
如果轰炸持续时间长、频率高、造成了实际影响(比如错过了重要的银行通知),可以报警。虽然大部分情况下警方不太会为一个短信轰炸立案,但留个案底总没错。
短信轰炸的法律后果
顺便科普一下法律层面。
短信轰炸不是什么灰色地带,它是明确的违法行为。
相关法律:
──────────────────────────────────────
《刑法》第285条:
非法侵入计算机信息系统罪
→ 短信轰炸本质上是非法调用网站接口
《刑法》第293条:
寻衅滋事罪
→ 恶意骚扰他人正常生活
《治安管理处罚法》第42条:
多次发送淫秽、侮辱、恐吓信息干扰他人正常生活
→ 处5日以下拘留或500元以下罚款
→ 情节较重的处5-10日拘留,可以并处500元以下罚款
《民法典》第1032条:
隐私权
→ 任何组织和个人不得以刺探、侵扰、泄露、公开
等方式侵害他人的隐私权
──────────────────────────────────────
之前有过真实案例:有人因为感情纠纷对前女友进行短信轰炸,被判处有期徒刑六个月,缓刑一年。
所以如果有人拿短信轰炸威胁你,告诉他——这是违法行为,我已经保留证据,再不停就报警。大部分人听到这话就怂了。
写在最后
帮我朋友搞定之后,他问我:"这种东西为什么没人管?"
说实话,不是没人管,是管不过来。
短信轰炸的接口遍布在无数个网站上,每个网站的防护水平参差不齐。封掉一批接口,又有一批新网站上線。就像割韭菜,割了一茬长一茬。
而且大部分短信轰炸服务的服务器都在境外,追查和执法的难度很大。
所以现阶段,最好的防御还是从自己做起:
- 保护好手机号,别到处乱填
- 开启运营商的防骚扰服务
- 被轰炸了知道怎么应对
最重要的心态是:被轰炸不是你的错。你只是被一个低级的恶意行为骚扰了。不用害怕,不用焦虑,按步骤处理就行。
短信轰炸这东西,说起来吓人,原理low得不行——就是一个for循环嘛。但在不懂的人眼里,手机突然收到几百条验证码,是真的会慌的。
希望你看完这篇文章之后,如果哪天遇到了,至少知道发生了什么,知道该怎么做。
最后说一句:不要去尝试做这件事。
原理讲得再简单,也不代表你可以去试。短信轰炸是违法行为,后果比你想象的严重。
知道怎么防御是保护自己,知道怎么攻击是害人害己。
这两件事,请分清楚。