Article / 文章中心

文章分类

助通科技-你与短信被盗刷只差这8步

发布时间:2020-04-13 点击数:1244

来源: 助通科技

对于互联网时代,大量的网站、手机app及小程序等都在使用短信验证码作为校验用户身份的安全技术措施。尤其表现突出的是在电商节和节假日期间,企业的促销、抽奖、互动活动等也让会员营销短信迎来高峰期,生活中企业与用户之间用到短信的场景也是非常频繁。

 

助通科技在此看来,企业短信验证码遭到盗刷的现象也不在少数。曾经出现不少企业用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问的情况。此外,短信遭受盗刷也会造成企业营销和运营资金的流失。针对这些问题,整理了以下相关防护措施。

 

助通科技在此看来,企业短信验证码遭到盗刷的现象也不在少数。曾经出现不少企业用户业务的短信验证码功能被攻击,短信接口被恶意利用,导致业务无法正常访问的情况。此外,短信遭受盗刷也会造成企业营销和运营资金的流失。针对这些问题,整理了以下相关防护措施。

注册

登录

 

防止短信验证码盗刷,需要注意三方面:

1:需警惕网站在线注册页面,网站在线找回密码页面,手机短信动态密码登录页面等场景。

2:需警惕微信投票、在线投票、H5投票等场景。

3:需警惕场景有活动领券页面、参与活动页面等场景。

当短信接口被刷时,对于企业而言,主要有以下危害:

发送短信的请求并发太高导致服务器负载增加,严重情况下会直接导致服务器的资源被耗尽,服务器无法响应短信发送的请求;

发送短信的请求并发太高,导致正常用户无法使用短信验证服务;

被盗刷的短信会消耗短信条数,企业不得不重新购买,运营资金成本无形增加。

 

八招防范短信接口被刷

对于短信盗刷的问题,其实企业也不必过度担心,下面有个防范短信接口被刷的放大

 

1.手机号码的有效性和真实性检测

在注册登录窗口增加号码的真实性和有效性检测,防止恶意盗刷者使用无效的或非法的号码,第一时间屏蔽乱码数字的号码。

2.隐藏的验证码随机校验

在注册页添加个隐藏的的随机验证码,发短信前验证一下,确保短信验证码的请求是在真实的页面上点击。

3.增加一些简单的图形验证码

在用户进行“获取动态短信”操作前,先让用户识别图片验证码,通过图形验证后,才能将动态的短信验证码发送到用户手上,,该方法可有效缓解短信轰炸问题。

由于当前验证码在攻防对抗中逐步被成功自动化识别破解,我们在选用安全的图形验证码也需要满足一定的防护要求。

4.同号码短信发送频率限制

一般来说,无论是短信服务商还是企业,都应该设置同一号码的短信验证码请求限制,当单个用户请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,避免包含手动攻击恶意发送垃圾验证短信。

5.不同号码请求数量限制

根据业务特点,针对不同手机号码、不同访问源IP访问请求进行频率限制,防止高并发非法请求消耗更多的短信包和服务器性能,提高业务稳定性。

6.场景流程限定

将手机短信验证和用户名密码设置分成两个步骤,用户在填写和校验有效的用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

7.启用https协议

为网站配置证书,启用https加密协议,防止传输明文数据被分析。

8.单IP请求限定

同一IP和同一手机号码一样,当某个IP地址请求发送一次动态短信之后,服务器端应该限制在一定时长之后(此处一般为30-60秒),才能进行第二次动态短信请求。同时设置同一天同一IP的短信验证码请求次数限制,免攻击者通过同一个 IP 盗刷大量的企业短信验证码条数。

 

    企业可根据自身情况从以上的八个方法中选择并组合成最适合自身的最佳方案,防患于未然,防止短信接口被盗刷。并提高技术人员在实际活动中的安全意识,提前防范风险。助通科技与企业同行,为企业短信保驾护航!

  •  
  • 以上为短信被刷的传统防护方案,新昕科技的防护方案接近完美,兼顾用户体验和安全 。 

      新昕科技 www.newxtc.com ,创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业,历时3年时间,在价值百万的风控引擎基础上 ,训练出“防短信轰炸”智能模型,彻底解决“安全”与“用户体验”的矛盾,产品经理只需专注用户体验,无需为安全让步。

      1)无感:去类12306、对缺口拼图、拖动等所谓人机验证有感方式。 

     

    化繁为简,简单到只需输入手机号,还产品本来面目

      2)保障:攻防对抗大数据训练的 AI模型,去前端交互验证方式,后端防御确保短信安全

         比如,同一个IP ,即使有1万个正常用户同时共同使用,可以确保放行,但常规的防控大多数被误拦。

          反之,攻击者控制1万台主机,1万个不同IP、手机,也保证拦截,但常规的防控对此无能为力。

        

        如何做到的, 基于三层AI防御体系,

         报文对抗层 在最外层应用加解密及混淆技术,对抗普通的攻击,

         蜂窝防护层 由时空主体组成蜂窝,确保被攻击后蜂窝之间互不影响,缩小受影响的范围,

         安全气囊   在确保老用户不受影响下, 根据攻击规模自动启停并进行动态控制。

     

      3)高效:价值百万的风控引擎浓缩的10M 短信防火墙安装包,本地部署运行,毫秒级响应。

      避免“云模式”的网络延时问题,导致滑动条出不来等情

     

    关键技术说明:

        悬浮式指标引擎加载AI模型,悬浮于磁盘超高速运行,随输入的业务数据生成统计指标,提供给决策引擎做进一步分析处理,

     决策引擎加载“短信防轰炸”AI模型和指标后,和输入的业务数据流做逻辑判断后,输出风险结果,响应速度达到恐怖的1毫秒。

     

    总结:随着互联网技术的不断发展,我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节,保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台,未来将会是安全与体验双重保障的验证码的时代。

  •