短信轰炸令手机彻底崩溃
网络安全
博弈主题:短信轰炸
技术难度:★★★
重点知识:如何用手机注册网站发送垃圾短信
自从大家发现了短信的种种好处,耍小聪明的、操练身手的、自恋的、发泄不满的,通通都爱上了它。而有一种短信就不受大家的喜爱,那就是垃圾短信,如果垃圾短信像洪水一样涌来,谁受得了?
黑客墨斗鱼:其实这个故事不是发生在我身上的,是我几天前在酒吧偶遇黑客S神聊时,他讲给我听的。他说,两个月之前,他的准女友接到一个电话,说她中奖了,要她汇钱领奖。
按道理说,这是一个烂得不能够再烂的骗人伎俩了,不过他的准女友好奇心太过强烈,没有立即挂电话,就和对方聊了起来,说着说着女孩竟然认为对方不是骗子了,因为对方能够准确地说出自己的姓名、出生年月、身份证号码和家庭住址等。
这么多真实准确的信息让女孩一时晕了头,其实她忘记了曾经在网上填写过一个赠送试用化妆品的调查问卷,个人信息已经不知道被那些信息贩子倒卖了多少次。接下来事情的进展,想必不用我说大家也清楚,我朋友的准女友充满期待地将奖品税款打到了对方的账户中,当然大奖是永远不会寄来的。好在这个教训仅仅是花100元换来的,不是那么昂贵。
但是,事情到这里并没有结束,被骗的女孩不愿意善罢甘休,拨打骗子的电话严厉地谴责他们,哪想到这伙骗子非常嚣张,在电话中竟然奚落起可怜的受害人,女孩被气得两天没有吃下饭。我的朋友黑客S知道这件事后,决定出手教训一下骗子,于是故事就这样开始了……
短信轰炸的奥秘
骗子们没有留下任何信息,只有一个手机号码,难道给对方打电话过去骂对方一顿吗?这很低级而且没有任何意义。于是黑客S先通过网络银行的充值系统查看了一下对方手机中的余额。不知道是不是骗子刚刚启用这款手机没有多久,还是现在的骗子都太嚣张了,这个手机中竟然还有3000多元钱的话费余额,这表明骗子还将继续用这部电话一段时间。于是,这部仍然在使用的手机成为回击骗子的目标,而报复的方式就是短信轰炸。
短信轰炸就是利用网络中需要手机注册验证的一些网站,抓取验证时发送的信息,然后捕捉复制模拟出这些信息,反复通过这些捕捉到的消息让手机注册验证的网站向特定手机不断发送信息,让对方的手机无法正常工作。
小知识:短信轰炸以前就出现过,当时风行了一段时间,后来因为此类网站提高了防范手段不能被利用了,所以这种攻击的方式就逐渐被人淡忘了。随着时间的推移,此类新开的网站的防范力度不够,导致以前的攻击方法又开始被黑客利用了。
揭秘短信轰炸过程
手机短信轰炸是通过网络工具,捕捉到网站向手机发送短信的信息后,再大量复制并发送。因此,黑客S需要在网络中找寻一个提供手机注册验证的网站。
第一步:首先调出Google搜索引擎,在搜索框中输入“短信验证”、“手机注册”、“短信注册”等关键词,在搜索出的结果中查找能够通过网络验证向手机发送信息的网站。在这些网站中,最好能够挑选一个在输入手机号码后,不需要输入网站附加码的站点。
小知识:现今很多网站在用户注册或者投票时都要求用户输入网站提供的附加码,这主要是为了防范恶意注册。在大多数情况下,自动注册程序不能识别附加码图片中的字符,但附加码程序也可能存在漏洞。
第二步:几经搜索后,黑客S找到了一个名为“影音在线”的网站,这个网站要求用手机注册VIP用户,注册后就可以下载电影资源。在点击打开“手机注册”页面后,黑客S在手机框中输入了自己的手机号码,不到5分钟手机就收到了验证信息。随后他又刷新页面,又一次输入自己的手机号码,准确无误地收到了网站发来的第二条验证短信,测试表明这是一个可以利用的网站(图1)。
第三步:再刷新短信发送页面,打开网络抓包工具Winsock Expert,然后点击Winsock Expert工具栏中的“Open”按钮,在新弹出的选择对话框中选择要监听抓包的浏览器进程(根据不同的浏览器选择不同的进程),随后再点击进程左边的“+”号展开浏览器进程,在众多的标题中选择需要监听的手机注册网站标题。完成后单击右下角的“Open”按键开始监听(图2)。
第四步:接着回到浏览器中的手机注册页面,然后在手机号码窗口中,输入需要攻击的手机号码,然后点击“确定”按键,在网页提示短信发出后,点击Winsock Expert,会看到Winsock Expert截获的电脑与手机注册网站的交互数据。在众多数据中找到“PacketsText”栏中“POST”打头的数据项,点击该数据项后软件下方会出现该数据项的详细内容,例如(图3):
Cookie: JSESSIONID=fcTf22cDEGHm
Step=2&phone=130********&image.l=25&image.r=12
最后,全选复制数据项中的详细内容,并将内容粘贴到Windows的写字板中,另存为TXT格式的文本文件。
第五步:调出有网络瑞士军刀之称的NC,打开操作系统的CMD命令提示符窗口,输入nc.exe –w 4 www.s**move.cn 80〈mp.txt(图4),回车执行后,对方就会收到黑客S发送的短信息。为了实现循环短信轰炸的目的,黑客S在Windows写字板中写入:
:go
nc.exe –w 4 www.s**move.cn 80〈mp.txt
goto go
然后另存为BAT批处理格式的文件,最后执行即可。
黑客S说,在准女友拿到这款程序并发送了2008条短信后,她再次拨打这个手机的号码,此时电话提示该手机处于关机状态。也就是那时女孩正式宣布,黑客S从今后升级为她的正式男友。
短信轰炸防范策略
面对短信轰炸,我们该怎么办呢?最好的办法是开启手机的防火墙功能,有了这个功能就可以屏蔽手机号码,从而拒绝某个手机号码发来的短信。此外,我们还可以向手机运营商投诉,并请求帮助。
小知识:当遇到短信轰炸时,还可以拿起法律武器。根据《治安管理处罚法》第42条第(5)项规定“多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的”,处五日以下拘留或者500元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处500元以下罚款。