娱乐圈的各种“瓜”近来可谓是一波接着一波，这不就在最近，某M姓知名选秀偶像与音乐制作人的恋情曝光，就吸引了诸多的关注。但在如今这个时代，网民的注意力可以说是非常宝贵的，随着时间的推移，本以为这出戏就此已经落幕，然而此事的新进展可谓是一波未平一波又起。

自10月31日开始，有网民陆续表示，只要在微博上发布了与这位M姓女明星相关的负面言论，诸如#M某某#、#456#等，就会在短时间内接收到上千条短信的轰炸，甚至其中不乏金V和营销号。有媒体致电某运营商客服咨询相关情况，对方表示无法查到这些轰炸短信的发送来源，更是直接指出，“应该是粉丝团弄的，估计他们有专门的团队在操作。”

由于这些被短信轰炸的用户有个共同点，就是在微博上发布过相关言论，才受到的这一攻击。因此有网民认为，是个人信息是被微博方面泄露，于是纷纷向微博客服反应，但客服则表示已经报警，而且在持续开展排查。目前在微博上，有着1300余万阅读量、近3000条讨论的#M女星 短信#话题，也已经被锁。

纵观社交平台上被短信轰炸的受害网民，他们基本都是被大量的验证码短信攻击。这是因为，无论手机厂商自带的安全管家、还是第三方安全软件，在拦截短信一事上除了少数号段发出的之外，通常都会对验证码短信“网开一面”，并且这也是基于用户体验的角度考虑。而此次事件中，不法分子也正是利用了这一点来实现网络攻击。

那么问题来了，这些实施短信轰炸的不法分子，是如何实现的呢？短信轰炸或者说更传统的“呼死你”，其实与DDoS（分布式拒绝服务攻击）一样，是一种几乎没有技术含量的网络攻击。而根据腾讯方面上月公布的相关数据显示，短信轰炸黑产目前危害涉及超2000个网站的3500余个验证码接口和2400个短信接口，甚至每天全网发生的轰炸短信超过了160万次。

据了解，如今的短信轰炸与PC互联网时代已经完全不同，目前黑产团队主要利用各类企业提供的互联网服务来“借道”完成短信轰炸。随着短信验证码已经成为移动互联网时代，各厂商普遍采取的加密手段，以及各平台需要用户的手机号来完善用户画像，因此验证码也几乎成为了互联网平台提供服务的基础环节。

当然，绝大多数厂商也不会选择付出额外的成本去建设和维护短信平台，所以选择使用云服务供应商提供的短信发送服务，也就成为了通用解决方案。可问题就出在了这里，黑产团队利用这些短信验证服务，找到注册时不需要额外验证步骤的网站，在请求验证码的时候抓包，找到网页申请提交的URL，然后批量访问发送验证码的URL，再通过脚本在URL请求中将目标手机号填上，这些平台就会同时往这个号码发送短信了。

显而易见，从发送验证码的互联网平台看来，这就是一个正常的注册用户。不过这种方式由于目前厂商开始注重Web防火墙的建设，因此黑产团队也开始了“与时俱进”。据了解，目前黑产团伙通过爬虫等方式搜集大量正常企业网站的发送短信接口(CGI接口)，再集成到自己的攻击平台上，在实施短信轰炸时就可以直接调用正常的短信验证码接口。

根据腾讯安全平台部研究人员的说法，黑产团队普遍会伪装成正常用户，在境外的云主机上购买云短信服务(SMS)，成本每个月不到30元，甚至有3个月程序开发基础的“脚本小子”，就能在4小时内完成一个“短信轰炸”网站的部署和上线，每月成本几乎不到50元。

尽管短信轰炸本身的成本很低，但也需要在茫茫人海中找到特定的对象，因此这一步才是关键。以上文中所述的这一案例来说，网友在微博上发布信息，但在微博前台是只能显示用户昵称的，就连UID都只能看到自己的，那么黑产又是如何将微博昵称与手机号对应起来的呢？

有些朋友看到这里，可能会下意识地认为这是微博监守自盗，毕竟微博与娱乐行业的关系非常紧密。但事实上，微博与M姓女星团队或者说她的狂热粉丝沆瀣一气，基本是不可能的，因为保护用户隐私是从《互联网信息服务管理办法》到《个人信息保护法》的强制要求。并且用户的手机号作为各大互联网平台的核心数据资产，是不可能主动向第三方提供的。

那么攻击评论M姓女星微博网友的黑产团伙，到底是如何拿到这些网友的信息呢？尽管微博方面不会主动提供用户信息，但其被动的向外界扩散了用户信息却是事实。去年3月19日，微博被曝出有5.38亿条用户绑定手机号泄露，其中包含1.72亿条账户信息。并且微博安全负责人罗诗尧也曾证实，此次数据泄露的时间为2019年，而泄露的手机号则是通过微博通讯录上传接口被暴力破解所导致。

众所周知，在大数据时代，数据是一种“石油”，是驱动算法成长的燃料，而这也是此前全球互联网厂商都在不遗余力收集用户数据的原因。既然数据有价值自然也就有了被争夺的理由，黑客攻击微博乃至其他互联网平台的数据库，为的自然是利益。

时至今日，全世界都已经形成了一个个属于灰色地带的数据交易地下市场，黑客会将不同属性的个人信息数据打包成不同类型的“社会工程学数据库（Social Engineering Database）”。尽管在我国境内出售社工库是100%的犯罪行为，但在海外由于跨国监管的问题，这类信息的贩卖是摆在明面上的。

所以别看短信轰炸能够给受害者带来很大的精神压力，但实现这种攻击的成本和门槛却非常之低。那么作为普通用户，到底有没有办法来保护自己呢？

目前，各大运营商其实都开放了应对“短信炸弹”的短信应急防护服务，并且这种服务还是免费，默认为1天、最长时限为7天。当开启后，你就只能收到来自运营商和正常11位电话号码的短信了。

事实上，运营商目前对短信服务商的监管非常严格，如果被发现有短信轰炸行为，会直接封掉短信平台的发送通道。所以换句话来说，这种短信轰炸行为是很难持续的，并且很快就会缓解。