验证码短信发送量大,注册用户却没增加,小心“它们”可能参与了短信轰炸!
大部分企业网站和移动应用APP在注册时需要手机号码获取验证码短信,利用短信验证来鉴别手机号是否属于用户本人。然而,这种验证方式背后却暗藏许多安全隐患。
如果您发现公司网站验证码短信发送量变大,注册用户却没增加,“它们”可能参与了短信轰炸!
短信轰炸也叫短信炸弹,是指通过恶意程序,利用互联网产品的短信验证服务,在极短的时间内让指定手机号码大量接收到各种网站的注册验证码短信,轰炸式的骚扰导致用户无法正常使用手机,这种行为称之为短信轰炸。
用户平时登录各种网站或APP时,往往需要往手机下发验证码,“短信轰炸”黑产则瞄准了这一“商机”,通过爬虫手段搜集大量正常企业网站的发送短信接口(CGI接口),集成到“轰炸”网站或者“轰炸”软件上,用以非法牟利。
“轰炸”网站或软件发出指令后,这些企业网站的大量正常验证码信息会在短时间内发送到指定手机上,甚至可以实现单一网站给同一手机号发送多条验证码信息。
据调查,目前市面上可搜到的“短信轰炸”网站约有3000余个、有超过5000个的短信接口疑似被用于实施“短信轰炸”,接口类型包括各大互联网企业、运营商对外服务端口、甚至有很多政府服务类网站,这无疑严重影响正规企业网站的短信验证码功能,有损企业形象,也增加了企业不必要的费用开支。
对于被利用的企业而言,短信轰炸不仅严重影响正规企业网站的短信验证码功能,而且有损企业形象,同时也增加了企业不必要的费用开支。那么企业用户如何有效防止短信轰炸/恶意点击手机短信验证码?
一 通过短信平台运营商进行安全设置,比如神州软科短信平台针对企业验证码被利用,进行了以下风控处理:
1) 设置短信发送间隔:设置同一号码重复发送的时间间隔,一般默认为60-120秒;
2) 限制IP每天发送量:根据不同行业的业务特点,设置每个IP每天的最大发送量;
3) 限定手机号发送量:根据不同行业业务特点,设置每个手机号码每天的最大发送量;
4) 进行流程限定:将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验;
5) 建议客户绑定图形校验码:虽然增加图形校验码会导致用户流失的可能性,但将图形校验码和手机验证码进行绑定,这样能比较有效地防止软件恶意注册。
恶意攻击者采用恶意工具,调用"动态验证码短信获取"接口进行动态短信发送, 究其原因是攻击者可以自动对接口进行大量调用。采用图片验证码可有效防止恶意工具的自动化调用,即当用户进行"动态验证码短信发送" 操作前, 弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。
当然,安全的图片验证码必须满足生成过程安全,即图片验证码必须在服务器端进行产生与校验、使用过程安全、单次有效以及以用户的验证请求为准, 图片验证码要加入混淆机制,不易被识别工具识别,要能有效防止暴力破解。
要想从源头上减少短信轰炸,除了有验证码需求的各企业要加强安全机制外,还要求我们各大短信平台服务商从严把关,拒绝不合规内容的短信群发内容,不要为了蝇头小利而影响了行业声誉,不给不法行为提供可乘之机。
首页
ꄲ
行业新闻
ꄲ
验证码短信发送量大,注册用户却没增加,小心“它们”可能参与了短信轰炸!
