來源：我是產(chǎn)品經(jīng)理

編輯：劉光昕

         產(chǎn)品人員要在防護與用戶體驗之間尋找平衡，結合自身產(chǎn)品特點選擇，要未雨綢繆不應到短信被刷才進行防護。

    短信驗證碼作為重要的身份驗證工具，因其操作簡便、安全性高、時效性強等優(yōu)點已被開發(fā)人員廣泛使用。但因其獲取便利、限制較少容易被不法分子利用進行短信轟炸，惡意刷掉大量短信費用，給公司或個人造成大量的金錢損失，造成這種情況原因主要是在產(chǎn)品實際設計過程中，有些產(chǎn)品人員因為對技術實現(xiàn)不太了解，防范意識薄弱，簡單或直接忽略對短信驗證碼進行限制，這才造成短信接口惡意被不法分子利用。

在介紹防刷策略前我們需要了解下常見的刷短信驗證的行為。

1.以攻擊手機號為目的刷短信驗證碼

這類攻擊目標主要是攻擊者借助web網(wǎng)站短信接口對目標手機號進行短信轟炸。攻擊者會先收集互聯(lián)網(wǎng)上多個未經(jīng)防護的網(wǎng)站短信接口，設定要攻擊的手機號碼通過模擬用戶，循環(huán)向后臺發(fā)送短信驗證碼請求，達到攻擊手機號的目的。對于這類攻擊通過一般驗證碼設置即可達到防護目的。

2.以惡意刷取目標網(wǎng)站短信費用為目的的攻擊

這類攻擊主要目的是刷掉目標網(wǎng)站的短信費用，在第一種基礎上攻擊者會不停變換各種接口參數(shù)如手機號、IP（采用高匿代理）等去請求后臺發(fā)送短信驗證碼，進行惡意刷短信，后臺根本無力辨別用戶真?zhèn)?。攻擊目標明確，難以防護，因其變換不同IP、手機號，一些簡單措施基本失效，產(chǎn)品設計人員在前期產(chǎn)品設計時尤其需要注意這類攻擊。

下面是針對攻擊者做出的一些應對措施。

1.前端增加圖文驗證碼

在獲取短信驗證碼前增加圖文驗證碼是較為常用的方法。攻擊者一般是采用自動化攻擊，增加圖文驗證碼后，攻擊者要對驗證進行識別驗證成功后才能進行模擬用戶發(fā)送請求，這一步需要在頁面中進行，無法采用自動化攻擊。第一種攻擊基本上失效，同時會增加第二種的攻擊成本（有可能采用人工打碼方式進行驗證）選擇驗證碼時既要考慮用戶操作過程的流暢度，又應該考慮到安全度。

下圖是幾種常見的圖文驗證碼，可以結合自身平臺特點進行選擇，

2.限制單個手機號每日接收短信次數(shù)和時間間隔

對單個手機號進行日接收次數(shù)的限制，可以防止單個手機號無限制刷短信，同時設置時間間隔可以有效，防止人工刷票。短信接收次數(shù)可以根據(jù)平臺特點進行限制，一般日接受驗證碼次數(shù)為10次左右；同一號碼發(fā)送時間間隔通常為60秒，前后臺應保持一致，避免出現(xiàn)只前端做倒計時限制，后臺未做限制這種低級錯誤。

3.對IP進行限制

對單IP最大發(fā)送量進行限制，可以有效防止單一IP下多手機號被刷的問題。最大發(fā)送量限制是防止惡意攻擊者同IP下不同手機號進行刷短信驗證碼行為。根據(jù)平臺實際情況設計一個短信最大發(fā)送量的閥值，超過閥值將不予返回短信。

4.對注冊流程進行限定

一般來講常被攻擊的地方是注冊頁面，一般是從兩方面進行觸發(fā)流程的限定。

• 第一種，可以從前端寫入指令，只允許在官網(wǎng)主頁跳轉入注冊頁面；
• 第二種方法是對注冊流程進行分步，先進行賬戶密碼設置，設置成功后才可以再進行下一步的短信驗證。

因為增加前置條件，增加攻擊難度兩種方法都是能有效防止自動化攻擊，需要注意的是兩種方法對用戶體驗或多或少的影響，產(chǎn)品經(jīng)理需要結合自身平臺特點選擇。

5.對發(fā)送者進行唯一性識別

為了防止第二種惡意攻擊者通過修改傳向服務器各項參數(shù)，造成多IP多手機號刷短信驗證碼的行為，所以后臺應對前臺傳過來的參數(shù)進行驗證。方法一般是用token作為唯一性識別驗證，后臺寫一個算法將token注入到前端，然后前端可以通過相應的規(guī)則獲取到token，在發(fā)送短信驗證請求接口數(shù)據(jù)時帶上token，在后端對token進行驗證，驗證通過才能正常將短信發(fā)送。

在產(chǎn)品設計過程中一般采用前三種方式組合使用，基本可以防止大部分惡意刷短信驗證碼的行為。產(chǎn)品人員要在防護與用戶體驗之間尋找平衡，結合自身產(chǎn)品特點選擇，要未雨綢繆不應到短信被刷才進行防護。

以上為短信被刷的傳統(tǒng)防護方案，新昕科技的防護方案接近完美，兼顧用戶體驗和安全 。 

  新昕科技 www.newxtc.com ，創(chuàng)始團隊來自百度旗下去哪兒、易寶支付、聯(lián)動優(yōu)勢、高陽捷訊(19pay)等支付及航旅知名企業(yè)，歷時3年時間，在價值百萬的風控引擎基礎上 ，訓練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗，無需為安全讓步。

  1）無感：去類12306、對缺口拼圖、拖動等所謂人機驗證有感方式。 

化繁為簡，簡單到只需輸入手機號，還產(chǎn)品本來面目

  2）保障：攻防對抗大數(shù)據(jù)訓練的 AI模型，去前端交互驗證方式，后端防御確保短信安全。

     比如，同一個IP ，即使有1萬個正常用戶同時共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

      反之，攻擊者控制1萬臺主機，1萬個不同IP、手機，也保證攔截，但常規(guī)的防控對此無能為力。

    如何做到的， 基于三層AI防御體系，

     “報文對抗層” 在最外層應用加解密及混淆技術，對抗普通的攻擊，

     “蜂窩防護層” 由時空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

     “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動啟停并進行動態(tài)控制。

  3）高效：價值百萬的風控引擎濃縮的10M “短信防火墻”安裝包，本地部署運行，毫秒級響應。

避免“云模式”的網(wǎng)絡延時問題，導致滑動條出不來等情況

關鍵技術說明：

    “懸浮式指標引擎”：加載AI模型，懸浮于磁盤超高速運行，隨輸入的業(yè)務數(shù)據(jù)生成統(tǒng)計指標，提供給決策引擎做進一步分析處理，

 “決策引擎”：加載“短信防轟炸”AI模型和指標后，和輸入的業(yè)務數(shù)據(jù)流做邏輯判斷后，輸出風險結果，響應速度達到恐怖的1毫秒。

總結：隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，我們每日都離不開與互聯(lián)網(wǎng)的交互。短信驗證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗差、毫無安全性可言的圖片驗證碼將退出歷史舞臺，未來將會是安全與體驗雙重保障的驗證碼的時代。