业内|规范业内标准,共推行业自律 短信验证码安全防护标准与实践研讨会成功召开

10月27日下午 , 中国信息通信研究院产业规划研究所会同腾讯联合组织召开“短信验证码安全防护标准与实践研讨会” , 来自百度、京东、快手、自如、有赞、超级导购、贝壳、搜狗、洋葱学园、懒人畅听等企业的领导和专家共同围绕如何建立短信验证码安全防护标准以及如何应对“短信轰炸”等验证码相关社会问题开展了充分的沟通探讨 。
当前 , 很多互联网信息服务提供商 , 由于在短信验证码下发环节缺乏充分的安全防护能力 , 其网站或APP往往更容易受到恶意攻击 。 不法分子利用其漏洞 , 恶意调用大量企业的短信下发接口 , 向特定用户实施“短信轰炸”等形式的网络攻击 , 严重侵扰用户正常生活 , 甚至造成经济损失 。 基于业内通用实践形成标准来对行业提供指南 , 齐抓共治做好短信验证码的安全防护工作 , 已箭在弦上 。

业内|规范业内标准,共推行业自律 短信验证码安全防护标准与实践研讨会成功召开
文章图片

会上 , 信通院网络不良信息治理研究中心主任杨天一介绍了“短信轰炸”现象的现状以及面临的问题 。 近年来 , 短信验证码以其方便、快捷、普遍服务的特性 , 成为用户使用各项互联网服务的主流身份认证方式之一 。 但是也有不法分子出于打击报复、敲诈勒索等目的 , 将之用于“短信轰炸” 。 该问题由来已久 , 近年来呈现不断上涨的态势 。 网络不良信息治理研究中心副主任何欢援引《工业和信息化部关于电信服务质量的通告》2021年上半年用户恶意轰炸类短信投诉的数据 , 指出知名度、影响力较大的网站和APP容易收到“短信轰炸”相关机器人自动化攻击 , 其中网络安全防护能力较弱的网站和APP最容易成为不法分子的重点攻击目标 。 这一情况与国际现状一致 , 宜采用国际通行做法 , 以市场自律、行业实践引领 , 广泛凝聚共识 , 共同提升网站、APP的整体网络安全防护水平 , 加大不法分子网络攻击成本 , 以此遏制“短信轰炸”问题 。
来自腾讯的信息安全专家程冉介绍了“短信轰炸”常用的手段方式 , 相关数据显示 , 短信轰炸黑产目前危害涉及了超过2000个网站 , 涉及3500多个验证码接口和2400多个短信接口 , 每天全网发生的轰炸短信超过160万次 , 相关问题亟待解决 。 推荐行业采用云滑块的方式 , 增加人机验证码 , 能够最低成本的拦截自动机 , 部署后效果立竿见影 。 腾讯安全天御风控专家张曦盛指出互联网信息服务提供商需要提升短信验证码下发安全防护机制 , 规范业内执行标准 , 以有效应对短信轰炸的危害 。 与此同时行业应该丰富事前、事中、事后的技术处理手段 , 在规范短信验证码下发防护机制的同时 , 可以通过号码认证等上行验证方式技术 , 支持用户登录时一键验证本机号码 , 从源头上规避被短信轰炸软件利用的风险 。

推荐阅读