作为一种重要的认证工具,短信验证码因其操作简单,安全性高,时效性强而被开发人员广泛使用。但是,由于其便利性和访问受限,恶意人员很容易利用短信接口,进行用户骚扰或者消耗短信费用,给公司或个人带来一定的损失。
这主要是由产品的实际设计过程引起的。由于产品人员对该技术知之甚少,因此预防意识薄弱,简单或直接忽略对短信验证码的限制。这会导致犯罪分子恶意使用短信界面。
在介绍反刷策略之前,我们需要了解短信验证的常见行为。
1.刷短信验证代码,以攻击移动电话号码。
此类攻击的目标主要是攻击者使用网站短消息界面对目标手机号码进行短信轰炸。攻击者首先在互联网上收集多个未受保护的网站短信界面,设置被攻击的手机号码以模拟用户,并向后台的短信验证码接口请求,以达到攻击手机号码的目的。对于此类攻击,验证码的一般用途可用于保护目的。
2.攻击旨在恶意刷掉目标网站上的短信费用
这种攻击的主要目的是清除目标网站的短信成本。在此基础上,攻击者会不断改变各种接口参数,如手机号码、IP(使用隐藏代理)请求后台发送短消息验证代码、恶意刷子短信、后台无法区分用户的真假。以下是对攻击者的一些响应。
1.在前端添加图形验证码
在获取短消息验证码之前添加图形和文本验证码是一种常见的方法。攻击者通常使用自动攻击。在添加图形和文本身份验证代码后,攻击者需要成功地识别和验证验证验证,然后才能向模拟用户发送请求。此步骤需要在页面上执行,因此不能使用自动攻击。
第一次攻击基本上是无效的,在选择认证码时,在增加第二次攻击的成本(可能使用人工编码进行验证)的同时,不仅要考虑用户在操作过程中的流畅性,还要考虑安全性的程度。
2.限制单个移动电话号码接收短信的次数和时间间隔
限制单个手机号码的每日收票数量,可以防止单个手机号码对短信的无限刷卡,设置时间间隔可以有效防止人工刷卡。根据平台的特点,可以限制短信接收者的数量,验证码的数量约为每天5次。发送同一个号码的时间间隔一般为60秒,前后应一致,以避免只有前端有倒计时限制,后端没有限制的低级错误。
3.对IP进行限制
限制单个IP的更大传输容量可以有效地防止在单个IP下刷多个手机号码的问题。更大发送限制是防止恶意攻击者在IP下刷具有不同手机号码的短信验证码。根据平台的实际情况,设计一条短信更大发送数量,超过数量限制将不会发送短信。
验证方式除了短信之外,往往和语音验证码配合使用,当一种情况出现异常,另外一个更为备选,不至于用户无法注册而流失。
在运营上,一般用于短信和彩信群发居多,可以对不同的用户进行不同的短信内容的推送,提升用户活跃度或者是对用户进行召回。
用户召回方式目前也就属短信和视频短信的方式更佳,如果有邮箱的话,邮件也算是一种很好的召回方式,现在注册登录10658云通信平台,可免费在线试用所有产品和服务哦!