10月27日下午,中国信息通信研究院产业规划研究所会同腾讯联合组织召开“短信验证码安全防护标准与实践研讨会”,来自百度京东、快手、自如、有赞、超级导购、贝壳、搜狗、洋葱学园、懒人畅听等企业的领导和专家共同围绕如何建立短信验证码安全防护标准及怎么样应对“短信轰炸”等验证码相关社会问题开展了充分的沟通探讨。
当前,很多互联网信息服务提供商,由于在短信验证码下发环节缺乏充分的安全防护能力,其网站或APP往往更容易受到恶意攻击。不法分子利用其漏洞,恶意调用大量企业的短信下发接口,向特定用户实施“短信轰炸”等形式的网络攻击,严重侵扰用户正常生活,甚至造成经济损失。基于业内通用实践形成标准来对行业提供指南,齐抓共治做好短信验证码的安全防护工作,已箭在弦上。
会上,信通院网络不良信息治理研究中心主任杨天一介绍了“短信轰炸”现象的现状以及面临的问题。近年来,短信验证码以其方便、快捷、普遍服务的特性,成为用户使用各项互联网服务的主流身份认证方式之一。但是也有不法分子出于打击报复、敲诈勒索等目的,将之用于“短信轰炸”。该问题由来已久,近年来呈现不断上涨的态势。网络不良信息治理研究中心副主任何欢援引《工业与信息化部关于电信服务的品质的通告》2021年上半年用户恶意轰炸类短信投诉的数据,指出知名度、影响力较大的网站和APP容易收到“短信轰炸”相关机器人自动化攻击,其中网络安全防护能力较弱的网站和APP最容易成为不法分子的重点攻击目标。这一情况与国际现状一致,宜采用国际通行做法,以市场自律、行业实践引领,广泛凝聚共识,共同提升网站、APP的整体网络安全防护水平,加大不法分子网络攻击成本,以此遏制“短信轰炸”问题。
来自腾讯的信息安全专家程冉介绍了“短信轰炸”常用的手段方式,有关数据显示,短信轰炸黑产目前危害涉及了超过2000个网站,涉及3500多个验证码接口和2400多个短信接口,每天全网发生的轰炸短信超过160万次,有关问题亟待解决。推荐行业采用云滑块的方式,增加人机验证码,能够最低成本的拦截自动机,部署后效果立竿见影。腾讯安全天御风控专家张曦盛指出互联网信息服务提供商要提升短信验证码下发安全防护机制,规范业内执行标准,以有效应对短信轰炸的危害。与此同时行业应该丰富事前、事中、事后的技术处理手段,在规范短信验证码下发防护机制的同时,能够最终靠号码认证等上行验证方式技术,支持用户登录时一键验证本机号码,从源头上规避被短信轰炸软件利用的风险。
腾讯标准团队向参会企业介绍了电信终端产业协会(TAF)推进的《互联网信息服务提供商 短信验证码下发接口 安全防护要求》标准的进展情况,该标准在短信验证码下发服务的分层架构及安全防护方面提出了要求,同时规范了短信验证码下发验证服务的流程,为行业的短信验证码下发机制的建设提供了参考依据,目前标准已进入送审稿阶段,发布后将成为推动行业自律的基础。
会议中,来自百度、京东、快手、自如、有赞、超级导购、贝壳、搜狗、洋葱学园、懒人畅听等企业的标准和技术专家,分别就标准内容和各企业落地的短信验证码安全防护机制,以及应对“短信轰炸”的经验进行了分享。
与会专家都表示,“短信轰炸”链条中,被利用下发验证短信的企业不自知地给许多通信用户的正常生活造成了侵扰,同时,也往往伴随着企业经济和口碑的隐性损失。会上还有有经验的人指出“短信轰炸”开始与“账号盗用”同时发生,以达到牟利目的,需要引起行业企业的警觉。在全国上下扫黑除恶的背景下,各短信验证服务相关企业、上下游服务商有责任贡献自己的力量,针对短信轰炸黑产治理问题,通过行业自律等有益方式,集互联网公司之力,携手维护晴朗的网络环境。