手機簡訊認證早已成了許多線上平台和應用程式預設的認證方,但現在網路犯罪集團藉著SMS PVA 地下服務,已經能夠大規模破解手機簡訊認證機制, 從事非法購物或洗錢行為。甚至建立僵屍網路、網軍或是假帳號。 
而且當執法單位在追查可疑帳號時，只會追查到感染「簡訊攔截惡意程式 」的無辜手機持有人。 令人背脊發涼的問題是，該地下服務不只侷限於攔截認證碼，還可以用來蒐集一次性密碼 (OTP)。

 

 已經企業化經營的SMS PVA服務-手機簡訊 (Short Message Service ,SMS) 電話認證帳號 (Phone-Verified Account,PVA) 服務,近兩年來越來越多。這項地下服務讓提供不需擁有手機號碼也能註冊各種線上服務及平台的帳號。不僅能規避許多線上平台及服務用來認證新註冊帳號的手機簡訊認證機制,犯罪集團還可大量註冊一些拋棄式帳號，或利用經過電話認證的帳號來從事犯罪活動。 

以下內容將分享我們針對某家 SMS PVA 業者 (smspva[.]net) 的營運方式進行深入研究的成果。更詳細的內容請參閱我們的研究報告「SMS PVA：可讓駭客註冊大量假帳號的地下服務」(SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts)。 

SMS PVA 服務的運作元素

基本上，Smspva[.]net 和其他 SMS PVA 服務都有一些主要共同特點：

• 行動電話號碼只供單次使用，並且有許多國家的行動電話號碼可供選擇。
• 平台使用者只能申請服務業者預先指定的某些應用程式的文字簡訊，有些業者會在網站上以「project」(專案) 來區隔。 
• 不提供電話號碼長期租用服務。

繼續閱讀