验证码轰炸(验证码轰炸解决方案)

轰炸机现身江湖，引发广泛关注。

在软件中输入对方手机号码，可以让对方手机在24小时内连续接收短信，日发送量可达1000条以上。这个软件叫短信炸弹。据南都记者了解，短信炸弹经常被用来恶搞、骚扰他人，尤其是一些暴力催收者。一些黑客还利用短信炸弹作为辅助工具，盗取被炸人群的金融消费平台。

日前，南都记者展开测试，发现将自己的手机号码输入短信炸弹软件，3分钟内收到33条验证码短信。这些短信来自不同的互联网平台，其中近一半是贷款平台，记者从未注册登录过。

疑似抱怨该车司机被炸

近日，北京市民张先生的手机被短信验证码狂轰滥炸。在没有任何操作的情况下，他的手机在10分钟内收到了100多条来自不同网站的验证码短信。

近一两年，关于短信炸弹人的新闻也频频见诸媒体。曾有报道称，广州番禺区的苏小姐反映，因专车司机取消订单而投诉对方。她的手机一夜之间被近百个网站的验证码狂轰滥炸，来自招聘网站、保险公司、证券公司等。

由于苏小姐只知道发短信验证码的网址，无法确认是谁在背后操作短信炸弹，最后也无法确定是不是专车司机炸的她。

去年4月，杭州破获首例非法制售短信炸弹案。两名犯罪嫌疑人交代，他们通过自己编写应用程序，在一些公司网站注册短信验证平台数据接口的漏洞，将注册的短信无限制发送到指定的手机号码，从而达到短信轰炸的目的。他们非法控制了数百个网站，600名网民购买并使用该软件。

一位业内人士曾表示，一些盗取金融消费平台的黑客为了迷惑用户，会通过短信炸弹密集发送各平台的验证码短信。用户认为只是骚扰，没有仔细打开。事实上，一些金融消费平台的当事人验证码是隐藏在短信中的，黑客会利用技术读取隐藏的验证码，然后通过伪基站等手段窃取。

可以买软件，也可以雇人炸。

杜南记者试用了一款短信炸弹，发现在框中输入手机号码就可以启动“轰炸”。杜南记者发现，许多网站通过在搜索网站中输入“短信炸弹”来提供类似的软件。近日，杜南记者据此找到了一家名为“庞大”的代理商。他自称出售电话炸弹和短信炸弹，分为安卓版、苹果版和电脑版。

“胡哥”问了两句后，马上发来了短信炸弹的下载链接——“收藏* * *”。“呼格”告诉南都记者，购买短信炸弹的客户主要是为了催款而购买，所以取名为“催收* * *”。

下载后不久，杜南记者安装了“收藏* * *”，弹出了登录注册页面。记者选择了“试用”，在一个新窗口输入了自己的手机号码。

几秒钟后，也就是当天14时22分，手机开始“嘟嘟”响，并有连续的短信，表示不同互联网平台发送注册或登录验证码。直到14时24分，“嘟嘟”声才停止。

据统计，3分钟内，南都记者手机共收到33条短信，均来自不同互联网平台，其中近一半为网贷平台。“呼格”表示，激活后，该软件可以在一天24小时内向人永久发送短信，发送频率与试用时相同。激活码不贵，110元就行。

另一个代理说她可以卖短信炸弹或者炸弹，20元一个小时，50元一天。当被问及短信是否会被对方屏蔽时，她解释说，现在的手机号码都是实名认证的，绑定了很多平台，而短信来自各个地区、各个平台，不可能完全屏蔽。

“贵的可以把对方炸到精神错乱”。代理强调短信炸弹便宜，比如100元的。也有贵的。区别在于发短信的速度，会快一些。

几行代码就能实现“轰炸”

为什么短信炸弹可以让互联网平台发放验证码？

来自长沙的程序员刘志坚向南都记者解释，在网上找互联网平台的接口发送验证码，写几行代码就可以了。对于节目来说，发一个和发一万没有区别。

他当场写了几行代码，在不打开互联网平台的情况下，成功将验证码发送到南都记者手机上。不过他说，短信轰炸的实现方式不止一种，他说的只是比较简单的一种。

刘志坚曾在一家网购平台工作，在南都记者收到的33家发送验证码的互联网平台中。他表示，互联网平台之所以不愿意改进，一是考虑成本，二是担心增加验证程序，导致用户体验不佳。

在上海工作的程序员李先生说，短信炸弹人把验证码发给用户后，一般互联网平台都能查到短信炸弹来自哪个ip地址，有助于警方破案。

杜南记者联系了33条短信涉及的4家互联网平台，其工作人员均表示，近期未发现短信界面有任何异常。

广州某消费金融公司工作人员蒋先生告诉南都记者，近期并未发现其平台密集发送验证码短信。可能是其他用户注册时输入了错误的号码。其表示，平台有保护用户账号的安全措施，包括短信验证码、图片验证码等。平台还会监控同一个号码或同一个服务器频繁申请发送验证码的情况。他不知道检测到异常情况后该如何处理，因为还没有发现异常情况。

拼多多的工作人员表示，目前短信界面被调用的情况无法完全避免，只能监控处理。不过品多多会在这方面做优化。

对于短信轰炸的问题，10086客服建议用杀毒软件拦截短信。仅靠短信验证码，10086查不出背后是谁在操作，但可以帮助用户询问发送验证码的互联网平台。

“黑客实施短信轰炸没有障碍”

上海斗享信息科技有限公司为企业提供安全服务。据其技术人员介绍，斗享见过最严重的情况是某金融企业某业务的短信验证界面被恶意调用，攻击者向大量用户发送垃圾短信。运营商接到用户投诉后屏蔽了界面。这直接导致企业的业务中断，造成巨大的损失。

豆象的技术人员解释说，一般大平台、大企业的系统在上线前都经过系统的安全测试，相关接口的安全性是有保障的。而一些新兴的互联网平台安全意识薄弱，其系统往往没有经过系统的安全测试就上线，很容易出现短信界面被黑客恶意利用的情况。

另一方面，目前几乎所有网站的注册、密码找回等功能都依赖于短信验证码，相当一部分网站的短信接口存在问题，黑客实施短信轰炸没有任何障碍。

如何防止短信轰炸？据斗享的技术人员介绍，添加验证码(如图片验证码、滑块验证码)是目前最有效、最广泛的防御方法。因为脚本很难自动识别一些验证码。斗翔的技术人员也提到，短信炸弹单独使用不会影响互联网平台用户的账户安全和支付安全。

广东宝信律师事务所姜律师表示，根据《治安管理处罚法》，多次发送淫秽、侮辱、威胁或者其他信息，干扰他人正常生活的；处五日以下拘留或者五百元以下罚款；情节严重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

广东阳三律师事务所赖楚凡律师建议，如果遇到短信轰炸，可以向发送验证码的互联网平台和电信部门投诉，也可以向公安机关报案。

采写:南都记者姬石实习生王婷