社会问题首先说一个发生在我身上的真实(xin)事实(suan)往事:2015年的一天,天气晴朗,万里无云,我的手机突然震动起来:难道我前几天表白的男神变心了,决定接受我的表白,和我开始一段浪漫的旅程?……哎!醒来!!!好吧,那天的天气实际上是晴朗的我不记得它是多云的。只记得表弟在微信上说有什么好玩的……我猝不及防,手机不断收到各种莫名其妙的短信,大部分都是普通公司的注册码,验证码之类的,原来是他在网上找到了一个“叫你”的平台,想研究一下,但是又没有骚扰的对象,差点就跟着我了。更可恨的是,当我反应过来马上联系他时,他却不接我的电话,导致我不断收到垃圾短信,无法正常使用手机。时间切换到2020年4月,广东省清远市的黄先生来了一次网约车之旅。到达目的地后,黄先生发现票价太高,远远超出了他日常的出行体验。他怀疑司机“绕道”。于是黄先生与司机发生争执,最后不欢而散。回家后,黄先生在平台上给司机差评。没过多久,黄先生的手机就开始接到莫名来电,而且频率越来越高。短短半天时间,上千个不同的号码打进来,直接把手机给“炸”了。工作受到严重影响,最后报警解决。2020年7月,尹女士也遇到了类似的问题。他的手机在上班时间收到了40多个手机验证码,发送平台均为正规企事业单位,包括支付宝、腾讯科技、高德地图、大众点评等。、新浪微博、饿了么、阿里巴巴、美团、途牛、58同城、宝塔等。尹女士怀疑自己受到了恶意骚扰。百度搜索关键词:“叫你死”,可以看到今年还有很多相关事件发生:调用平台。采用国际先进的网络电话通讯技术,进行信息(语音通话、短信)轰炸。下图是今年某则新闻的截图。从截图中可以看出,黑产使用的系统不仅是中小企业,银行、政府机关等单位也有。注:新闻内容及截图来源于网络,仅供参考。攻击原理(1)完整的“死亡召唤”攻击流程图坏人充值购买恶意服务,并指定“目标”受害者手机号;接口请求向“目标”手机号码发送短信;每个网站处理客户端请求并向受害者的手机发送短信;受害人手机收到多条短信,遭受短信轰炸攻击。(2)调用SMS接口发送短信“CallingYou”攻击过程中最重要的一步是:调用SMS接口发送短信。技术实现也比较简单。无非就是以下几个步骤:①找一个可以发手机短信的页面进行验证。②构造HTTP发送请求,例子:#!/usr/bin/pythonimporthttplibheaders={"User-Agent":Mozilla/5.0"(compatible;MSIE9.0;XXXXXX)","Referer":"","Host":""}params=""con=httplib.HTTPConnection("www.abc.com")#con.request("POST","/send_mes.jsp?xxxxxx=aaaaa",params,headers)response=con。getresponse()con.close()③使用单机IP或分布式代理IP频繁调用短信发送接口。防范此类网络攻击需要公安机关、运营商、企业等多方协同努力。多年来,公安部“廉洁上网行动”不断打击此类违法犯罪活动。2018年6月,在公安部协调下,广东省公安厅组织广州、深圳等15个地市公安机关赴四川、河南等地开展公安巡查。广东等省市同步开展“安网2号”专项行动,严厉打击“疯狂云虎”“吐死”黑灰色产业链项目。“帮派。例如,今年4月,广东网警破获了以熊某为首的利用互联网制售“叫你死”软件的犯罪团伙。此外,运营商对“来电你”平台一直持零容忍态度。图:新闻截图尽管公安部的“清网行动”已经打掉了一批“死亡召唤”平台,但运营商也在积极防御此类攻击。但在利益驱动下,“叫死你”平台更趋于多变和隐蔽,恶意骚扰现象不会完全杜绝。因此,企业也需要做好网络安全防护工作。做好企业系统网络安全,一方面可以防止资源被恶意利用,另一方面可以承担《网络安全法》应该做的义务,同时避免影响公司的品牌形象。企业如何防御此类攻击,一般考虑以下几种防御方式:在系统发送短信验证码的地方添加图形验证码,防止高频机器调用;检测恶意调用接口行为,及时阻断。目前,大部分企业客户平台都可以自行添加验证方式,但目前尚无有效手段检测此类恶意调用行为。针对此类痛点,企业可以考虑利用SIEM、SOC、态势感知平台、大数据分析平台等,帮助实现及时检测功能。(1)检测恶意调用接口行为这里给安全小伙伴一些检测思路。经分析,该类攻击具有以下一般特征:来源IP单一,短时间内频繁调用短信接口;不同源IP,在一段时间内频繁对同一个目标手机号码进行短呼叫和发送请求。针对以上特点,我们可以采用以下技术手段进行检测:(2)技术一:配置特殊的“业务接口”检测规则,对业务接口进行梳理:包括但不限于登录入口、找回密码入口、注册入口、订单查看界面等。短信发送的服务点网址;选择数据源:web中间件日志,全流量分析数据;设置告警触发条件:60秒内同源IP呼叫同一接口超过10次或60秒内不同源IP呼叫同一手机号码呼叫请求超过10次;(根据具体情况设置)选择告警通知方式:可以选择通过邮件或者短信的方式向源IP发送告警;联动处置:通过腾飞或一键处置等方式,联动防火墙、WAF、DDOS设备Block处理。图:检测规则截图图:自动化编排截图(三)技术二:配置专门的“业务接口”监控仪表盘,梳理业务接口:包括但不限于登录入口、找回密码入口、注册入口、订单查看接口等现有短信发送的业务点的URL;选择数据源:web中间件日志,全流量分析数据;选择显示图表:可以选择直方图、饼图、折线图等;配置展示主题:数据量趋势图、攻击占比类别图、攻击IP分布类别图、攻击事件TopN类别图。图:监控仪表盘截图写在最后随着网络服务的应用和普及,网络运营者(企业)占用了大量的社会资源,也应承担相应的义务。此外,《网络安全法》还明确了网络运营者的网络运行安全义务、网络产品和服务安全义务、关键信息基础设施安全保护义务、公民个人信息保护义务、网络信息安全管理义务。社会上的每个人也应该从自己做起,不要买这样的骚扰生意。当然,不建议从网上下载所谓的“杀了你”的软件。很多软件不仅无法使用,甚至可能成为“诱饵”木马程序,带来更多的安全问题。最后,希望你永远不会遇到和我一样的惨痛遭遇!
