短信验证码对于现在人来说,肯定不陌生,也都知道注册平台或者软件的时候有填写验证码的要求,填写之前还有一个图形验证,然后才能进行验证码获取,还有的企业对第二次获取验证码还有时间限制。
短信恶意攻击的目的是什么?目前市场上的恶意短信攻击只是两个目的:
首先是攻击特定的手机号码。黑客在网上使用多个不安全的短消息发送接口,并且循环呼叫接口向移动电话号码发送短消息,使得该手机号码频繁的收到短信,也是俗称“呼死你”、“短信轰炸”限制已经被国家禁止发送了。
接着就是是恶意刷目标网站短信验证码的费用。黑客发现无保护的短信发送界面后,黑客会根据某个手机号码列表定期获取短信验证码。在攻击期间,黑客将不断更改IP地址,并且可以刷几万甚至更高的短信收费。被攻击的公司也将在成本丢失的同时收到用户的投诉,并且公司的形象将受到损害。
容易受到攻击的场景
更常被攻击的场景是用户注册页面,或短信快捷登录页面 线投票等页面。在这种情况下的短信接口通常不对用户执行相关的验证。
关于使用几种反攻击策略的思考
一些反攻击策略可以在一定程度上起作用,但它们对用户体验有不同的影响。在实际使用中,您需要考虑实际情况并结合使用以下策略。
设置短信发送间隔
设置重复传输相同数字的时间间隔,通常设置为60-120秒。该方法可以防止短消息接口在一定程度上受到恶意攻击,对用户体验无害。但是,不可能防止黑客更改手机号码以进行攻击,并且保护级别低。
手机号码获取短信验证码限制
限制特定电话号码在特定时间段内获得短信验证码的更大次数。采用这种策略时,产品设计过程中有几点值得认真考虑。
仔细定义上限。根据业务的实际情况,甚至有必要考虑到未来业务的发展,设置合适的上限,避免用户引起的投诉无法接收验证码。
仔细定义锁定时间段。它可以是24小时,也可以是12小时、 6小时。需要根据业务条件进行定义。
IP限制
设置单个IP地址在一段时间内的更大传输量。这种方法可以很好地防御单IP地址攻击,但有两个明显的缺点:对于经常更改IP地址进行攻击的黑客,此方法效果不佳。
例如,在使用统一无线网络的一些地方,许多用户连接到同一无线网络,并且IP地址很可能很快达到上限,因此连接到无线网络的用户无法接收到验证码通常。
中昱维信一体化云通讯服务平台,注册登录即可免费在线进行验证码接口测试和api接口接入,还可以进行更多的通讯服务可以免费试用。
