智鼎方案完美解决“短信轰炸”
2016-09-09 18:14:10
短信
方案
在上海上班的辜先生由于一个月内,手机收到3万多条不同网站的注册信息、密码找回的短信,平均一天上百条的“短信炸弹”,于今年一月份检查出精神抑郁症。
1、什么是短信轰炸?
短信轰炸是某些不良商家出售用于报复某人使用的软件或者网页形态,该软件会搜集多家没有做好安全防范措施的客户代码,一般是用注册验证码对报复对象进行轰炸,短信发送平台跟平台客户都是受害者。如“灰色信息”、“短信洪水”、“呼你妹”、“呼死你”等等恶意软件。
这种软件的原理就是批量访问平台发短信,每个网站都有他自己的短信接口,比如“ 输入手机号 ”点发送验证码,就会去访问这个的接口,然后就来验证码短信了,短信轰炸机就是利用这点,用内置的很多接口,无限访问这些接口,手机就会一直收到超多的注册短信,这就是短信轰炸!
对于平台客户来说,表面看这是个发送批量短信的恶作剧软件,其实存在较大的风险。如果有骗子盗刷他人银行卡,那么正常的银行提示短信会在这个时候被淹没在短信海洋中,以至于让受害人对被侵害一事毫无察觉。而对于平台来说,损失的不仅仅是财力,还有客户。
2、平台如何防患短信轰炸?
使用网页或者app客户端进行验证码校验注册的界面上做如下设置:
1、点击获取验证码,当发送请求成功后,按钮默认60秒后才能重新发送(必选)
2、做出刷新动作(如,按下F5),同一手机号码一分钟内无法注册(必选)
3、退出网站或关闭App重新进入,同一手机号码一分钟内无法注册
交互行为:按钮倒计时继续,或点击后弹窗“您的手机一分钟内只能获取一次验证码”
4、当多次(2-5次)同一号码请求验证码,请弹出二次验证方式,或直接采用先识别图片验证码或者图形验证码后才允许获取短信验证码的方式(推荐)
图片验证码或图形验证码来验证该操作不为机器人,二次验证方式越难被机器识别,则效果越好.
5、限制请求来源为同一ip地址的请求次数,可将次数限制为3-10次以内,根据项目实际情况进行配置(可选)
6、使用验证码的界面如有多个表单填写项,请设置为部分表单填写后才能使用短信验证码按钮(必选)
7、限制同一号码每小时3-5次请求次数,每天10次请求次数(可选)。
交互:您的手机号码输入太频繁,请明天再来。
8、在手机号码输入后,检验该手机号码是否已经在系统内存在。
9、可采用先输入手机号码,然后点击注册按钮后切换到第二个界面才能点击获取验证码,增加同一页面批量操作的难度。
除了上述常规性操作外,智鼎Q1069.com特有自己的平台安全设置
在自助通后台配置绑定API发送请求服务器地址,可绑定多个ip(必选)。
如果以上措施都有做好,还是被轰炸。
智鼎Q1069.com技术会协助查询平台接收请求的IP来源分布。
如果出现非自有服务器的IP请求,则可能是账号跟密码泄露,修改api密码和自助通密码;
如果请求来源为自有服务器IP请求,则为WEB跟APP的存在漏洞,导致被轰炸程序利用,考虑暂停短信验证服务。