您当前的位置:首页 >> 文章中心 >> 使用帮助

短信验证码接入如何规避恶意攻击

  各大银行的网上银行、各种手机APP、各种类型的网站,都需要借助短信验证码完成相关业务。在使用过程中,由于产品设计过程中防范意识薄弱,经常会出现短信被恶意攻击的事件,引起一些不必要的损失。下面我们就一起了解下短信验证码产品设计过程中的注意事项。


短信验证码

  短信验证码攻击目的:

  A、是以攻击某个特定的手机号为目的

      黑客利用互联网中多个未经防护的短信发送接口,循环调用接口向该手机号发送短信,使手机号的拥有者不堪其扰。

  B、是以恶意刷取目标网站短信验证码费用为目的

      黑客发现某个未加防护的短信发送接口后,会按照某个手机号码列表,循环发送短信验证码,攻击期间黑客会不断变换ip地址,可刷取数以万计甚至更高的短信费用。被攻击的公司在损失费用的同时,也必定会收到用户的投诉,公司形象也会受损。


短信验证码

   什么样类型的平台容易受到恶意攻击

  最常被攻击的场景是用户注册页面,或者是手机短信验证码快捷登录页面、网络在线投票等页面。此类场景下的发送短信验证码的接口,往往未对调用方进行相关的身份验证。


短信验证码

  如何规避短信验证码恶意攻击

  几种防攻击策略都能在一定程度上起作用,但是会对用户体验产生不同的影响,在实际使用过程中,需要考虑到实际情况,组合使用以下策略。


  A、设置短信发送时间间隔

  设置同一个号码重复发送的时间间隔,一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击,且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击,防护等级较低。


  B、手机号获取短信验证码次数限制

  限制某个特定手机号某个特定时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中,有几点值得认真思考。
  谨慎定义上限值。根据业务真实的情况,甚至需要考虑到将来业务的发展定一个合适的上限值,避免因用户无法收到短信验证码而带来的投诉。
  谨慎定义锁定时间段。可以是24小时,可以是12小时、6小时。需要根据业务情况进行定义。

  考虑用户手机无法获取到短信验证码的后续方案。如果真的有用户无意间触发了上限值,但是他真的需要使用某项业务,有可能打客服电话。此时可以让用户等待,渡过锁定期后自行解锁。也可以在客服操作的后台,增加手动解锁功能,这里就不展开说了。


  C、IP限制

  设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击,但是也有两个很明显的缺点:
  对于经常变更IP地址进行攻击的黑客,该手段没有很好的效果。

  IP的限制经常会造成误伤。如在一些使用统一无线网的场所,很多用户连接着同一个无线网,这个IP地址就容易很快达到上限,从而造成连接该无线网的用户都无法正常的收到验证码。


  D、增加图形验证码

  在发送短信验证码之前,必须通过通过图形验证码的校验。这种手段可有效地防止各种攻击,因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题,不能简单粗暴地套用这一策略。以下几个点值得仔细斟酌:
  能不能每次发送短信验证码的时候,都先输入图形验证码?我的意见是最好不要,一般来说这样做会极大地影响用户体验,虽然是安全了,但是用户用着不爽了。
  可以给一个安全范围。不妨结合手机号限制、IP限制来考虑,比如同一个手机号当天第3次获取图形验证码的时候,出现图形验证码;比如同一个IP地址当天获取验证码次数超过100次后,出现图形验证码。

  图形验证码的具体选用类型。有文字(字母数字)验证码、滑动验证码、选字验证码等,根据具体的业务场景来选取。


  E、改变发送验证码的流程设定

  此类策略属于开脑洞式的、跳出常规思维的解决问题的办法,举两个例子:
  注册的场景下,可以先让用户输入手机号,接着设置密码,密码设置成功之后再进行短信验证码的发送。这样就从流程上增大了黑客的攻击成本,可大大避免非攻击的概率。
  像微信、QQ以及一些其他应用那样,让用户先发送指定短信给企业,以此来验证用户是否掌握着这个手机,企业验证通过后再进行接下来的短信验证码发送。这真是一个绝妙的主意,从根本上杜绝了黑客攻击的可能。但是一般的应用需要谨慎使用这个功能,考虑自己的产品有没有必要做这种功能的开发,是不是普通的策略就够用了。而且面对这种用户体验不是那么好的方式,自己的产品是否有足够的信心相信用户一定会接受这种引导。
  以上是对于几种防攻击策略的思考,在具体的产品设计过程中,可以综合使用,在产品安全和优秀的用户体验之间寻找一个极佳的平衡。

行政短信群发应用

行政短信群发应用

行政单位对于通信稳定性有较高需求,洪度阳晨短信平台为行政事业单位提供专用API,保障通信加密、信息安全和高效稳定。美联经过多年努力,已为全国各省、市级政府机构提供了长期稳定的通信服务。

金融短信群发应用

金融短信群发应用

银行案例短信群发可用于银行代发工资到账通知、代缴费通知、余款不足通知等。

农业短信群发应用

农业短信群发应用

短信群发平台发布耕种指导,病虫害预防等信息获得客户普遍嘉誉,也给自身业务带去了较大提升!

电商短信群发应用

电商短信群发应用

电商行业是最新技术和理念的试验场, 因此最富创新精神的电商行业公司将成为社交型企业——探索崭新的客户与员工沟通方式和服务管理模式。

物流短信群发应用

物流短信群发应用

物流行业短信群发可用于调度与信息的需求--解决企业对订单的处理和消息的发布,运营车辆与人员安全的需求--实时监控、及时报警。

IT行业短信群发应用

IT行业短信群发应用

IT行业短信群发的应用范围比较广泛,比如发布:软件开发公司可以把短信平台嵌入软件系统进行二次开发、提供接口给电子商务网站等信息。

企业营销短信应用

企业营销短信应用

相信有很多的企业商家都知道,营销短信具有浏览率高、覆盖范围广、抵达率高、传达速度快以及成本低的优势。以其特点得到了越来越多的企业和商家的喜爱,纷纷选择通过短信平台做推广。

美容美发短信群发

美容美发短信群发

美容美发如何做好营销推广,保证新老客户不会流失,这是很多经营者都会去考虑的问题,那么利于短信群发平台就可以帮助美容院维护好新老客户。

企业短信通知应用

企业短信通知应用

企业利用短信平台营销的方式和方法 关怀营销 客户关怀,向员工发送本行最新动态信息,向客服发送活动通知

餐饮短信群发应用

餐饮短信群发应用

餐饮行业短信群发可应用于餐厅通知会员有关优惠、打折及会员活动的信息,发布店内最新餐饮信息,如新推出菜系等。

房地产短信群发应用

房地产短信群发应用

针对房地产公司的业务特点,以手机短信的通信网络和短信平台为基础,为房地产公司提供企业短信群发业务,使其能够及时、准确、低成本地进行信息沟通

汽车短信群发应用

汽车短信群发应用

在汽车行业像4S店和俱乐部等公司,可以通过短信完善客服工作、降低员工工作量和企业经营成本。

服装短信群发应用

服装短信群发应用

服装是大众生活的必需品,决定了行业的竞争力,很多服装行业商家不得不花费大量的宣传推广费用,也要获得大量的客流。但获客之后,如何保持与会员之间的互动,服装短信群发应用解决这个问题。

医疗短信群发应用

医疗短信群发应用

在医疗行业中,短信群发的应用,是普及医疗知识、增加医疗服务体验度的重要工具!数字医疗打破了传统的预约排号、单一就诊的模式,从网络预约,到检验结果,再到后期服务跟踪,一直离不开短信提醒的影子。

酒店旅游短信群发

酒店旅游短信群发

旅游行业短信群发可应用于发布旅游信息,吸引客户,这种方式费用低,效果明显,客户也可以通过短信平台查询旅游线路等相关信息。

游戏短信群发应用

游戏短信群发应用

短信群发平台可以帮助游戏行业做出独特性,而且有的时候就必须需要短信平台的支持,但许多的人不知道还可以利用短信平台推动游戏的发展。

商务合作 客服一
技术支持 客服二
在线咨询 客服二
服务咨询

133-01073265

工作时间

全天24小时服务