当今时代互联网给人们生活带来了越来越多的便利,同时信息的数字化也给企业带来了巨大的机遇,但这其中也暗藏风险, 网络中的“黑金”产业也渗透在企业信息化的变革过程中。
短信验证是很多行业用以进行客户验证的重要手段,特别是对于金融保险等对帐户安全性要求高的网站和APP。但这一验证手段也黑产所盯上,利用各网站短信验证接口制作短信轰炸机谋取利益。滥用这些网站的接口群发垃圾短信,对个人手机进行短信轰炸,这不但影响受害者的通讯,还对这些网站的企业往往造成巨大的经济损失和不可估量的社会影响。
特别是轰炸短信往往会有企业的名称,对企业形象会造成重大破坏。如果短信接口还可以自定义要发送的内容,那么用企业官方的帐户发送短信会造成更具破坏力的钓鱼危害。所以我们不能小看短信接口被滥用的问题。
事件简要描述
某保险客户在使用瀚思企业版过程中通过自定义配置的业务安全规则,成功检测到网站短信接口遭到黑产“短信轰炸机”的恶意滥用,在技术人员支持下及时对恶意访问的IP进行阻断并对该短信接口进行了加固。
事件背景
瀚思科技企业版内置400+安全规则保护用户网络数据安全,同时还提供方便快捷的自定义解析规则方法。此保险客户根据业务需求,自行定义了多项业务安全规则,包括短信接口遭受滥用的规则,用以规则监控短信接口的访问量,访问IP,访问频度等。
本月短信业务监控规则产生大量告警事件:疑似短信接口遭受滥用。瀚思安全分析人员在对该告警溯源时发现该短信接口被黑产制作的“短信轰炸机”恶意滥用,每日恶意调用次数达到数万次。
事件调查过程
安全分析人员发现客户环境中触发了大量告警:疑似短信接口遭受滥用,如下图所示:
触发对应的告警规则如下图所示,该规则监控对外提供Web接口的短信业务调用频度。
通过对该源IP进行溯源发现,其对网站发送短信验证码的接口访问次数非常多,达到每分钟40-50次,如下图所示:
而所有的访问请求都源自同一个源:aa.vvoso.com,如下图所示:
经查证,该网站为黑产制作的短信轰炸机所用:
由此可知客户的短信验证接口已被黑产滥用,作为短信轰炸工具中内置的接口地址。
事件处理结果
对所有触发告警的IP地址已加入黑名单禁止访问,同时对短信发送接口提出加固建议,在发送短信验证码前需要先进行图形验证,设置允许同一号码重复发送的时间间隔,同时对每日向同一个手机号发送短信的次数进行限制,防止被黑产滥用。经监测再没有发现新的滥用情况。
建议及预防
1.对所有触发告警的IP加入黑名单禁止访问。
2.加固短信发送接口,加入图形验证码验证,设置允许同一号码重复发送的时间间隔,并限制每日向同一手机号发送短信的次数。
3.使用专业安全设备和服务,灵活自定义业务规则,对类似事件做到提前预警和防范。
*本文作者:瀚思科技,转载请注明来自 FreeBuf.COM
来源:freebuf.com 2018-03-04 10:00:40 by: 瀚思科技
请登录后发表评论
注册