對(duì)于互聯(lián)網(wǎng)時(shí)代，大量的網(wǎng)站、手機(jī)app及小程序等都在使用短信驗(yàn)證碼作為校驗(yàn)用戶身份的安全技術(shù)措施。尤其表現(xiàn)突出的是在電商節(jié)和節(jié)假日期間，企業(yè)的促銷(xiāo)、抽獎(jiǎng)、互動(dòng)活動(dòng)等也讓會(huì)員營(yíng)銷(xiāo)短信迎來(lái)高峰期，生活中企業(yè)與用戶之間用到短信的場(chǎng)景也是非常頻繁。

助通科技在此看來(lái)，企業(yè)短信驗(yàn)證碼遭到盜刷的現(xiàn)象也不在少數(shù)。曾經(jīng)出現(xiàn)不少企業(yè)用戶業(yè)務(wù)的短信驗(yàn)證碼功能被攻擊，短信接口被惡意利用，導(dǎo)致業(yè)務(wù)無(wú)法正常訪問(wèn)的情況。此外，短信遭受盜刷也會(huì)造成企業(yè)營(yíng)銷(xiāo)和運(yùn)營(yíng)資金的流失。針對(duì)這些問(wèn)題，整理了以下相關(guān)防護(hù)措施。

助通科技在此看來(lái)，企業(yè)短信驗(yàn)證碼遭到盜刷的現(xiàn)象也不在少數(shù)。曾經(jīng)出現(xiàn)不少企業(yè)用戶業(yè)務(wù)的短信驗(yàn)證碼功能被攻擊，短信接口被惡意利用，導(dǎo)致業(yè)務(wù)無(wú)法正常訪問(wèn)的情況。此外，短信遭受盜刷也會(huì)造成企業(yè)營(yíng)銷(xiāo)和運(yùn)營(yíng)資金的流失。針對(duì)這些問(wèn)題，整理了以下相關(guān)防護(hù)措施。

防止短信驗(yàn)證碼盜刷，需要注意三方面：

1：需警惕網(wǎng)站在線注冊(cè)頁(yè)面，網(wǎng)站在線找回密碼頁(yè)面，手機(jī)短信動(dòng)態(tài)密碼登錄頁(yè)面等場(chǎng)景。

2：需警惕微信投票、在線投票、H5投票等場(chǎng)景。

3：需警惕場(chǎng)景有活動(dòng)領(lǐng)券頁(yè)面、參與活動(dòng)頁(yè)面等場(chǎng)景。

當(dāng)短信接口被刷時(shí)，對(duì)于企業(yè)而言，主要有以下危害：

發(fā)送短信的請(qǐng)求并發(fā)太高導(dǎo)致服務(wù)器負(fù)載增加，嚴(yán)重情況下會(huì)直接導(dǎo)致服務(wù)器的資源被耗盡，服務(wù)器無(wú)法響應(yīng)短信發(fā)送的請(qǐng)求；

發(fā)送短信的請(qǐng)求并發(fā)太高，導(dǎo)致正常用戶無(wú)法使用短信驗(yàn)證服務(wù)；

被盜刷的短信會(huì)消耗短信條數(shù)，企業(yè)不得不重新購(gòu)買(mǎi)，運(yùn)營(yíng)資金成本無(wú)形增加。

八招防范短信接口被刷

對(duì)于短信盜刷的問(wèn)題，其實(shí)企業(yè)也不必過(guò)度擔(dān)心，下面有個(gè)防范短信接口被刷的放大

1.手機(jī)號(hào)碼的有效性和真實(shí)性檢測(cè)

在注冊(cè)登錄窗口增加號(hào)碼的真實(shí)性和有效性檢測(cè)，防止惡意盜刷者使用無(wú)效的或非法的號(hào)碼，第一時(shí)間屏蔽亂碼數(shù)字的號(hào)碼。

2.隱藏的驗(yàn)證碼隨機(jī)校驗(yàn)

在注冊(cè)頁(yè)添加個(gè)隱藏的的隨機(jī)驗(yàn)證碼，發(fā)短信前驗(yàn)證一下，確保短信驗(yàn)證碼的請(qǐng)求是在真實(shí)的頁(yè)面上點(diǎn)擊。

3.增加一些簡(jiǎn)單的圖形驗(yàn)證碼

在用戶進(jìn)行“獲取動(dòng)態(tài)短信”操作前，先讓用戶識(shí)別圖片驗(yàn)證碼，通過(guò)圖形驗(yàn)證后，才能將動(dòng)態(tài)的短信驗(yàn)證碼發(fā)送到用戶手上，，該方法可有效緩解短信轟炸問(wèn)題。

由于當(dāng)前驗(yàn)證碼在攻防對(duì)抗中逐步被成功自動(dòng)化識(shí)別破解，我們?cè)谶x用安全的圖形驗(yàn)證碼也需要滿足一定的防護(hù)要求。

4.同號(hào)碼短信發(fā)送頻率限制

一般來(lái)說(shuō)，無(wú)論是短信服務(wù)商還是企業(yè)，都應(yīng)該設(shè)置同一號(hào)碼的短信驗(yàn)證碼請(qǐng)求限制，當(dāng)單個(gè)用戶請(qǐng)求發(fā)送一次動(dòng)態(tài)短信之后，服務(wù)器端應(yīng)該限制在一定時(shí)長(zhǎng)之后（此處一般為30-60秒），才能進(jìn)行第二次動(dòng)態(tài)短信請(qǐng)求。該功能可進(jìn)一步保障用戶體驗(yàn)，避免包含手動(dòng)攻擊惡意發(fā)送垃圾驗(yàn)證短信。

5.不同號(hào)碼請(qǐng)求數(shù)量限制

根據(jù)業(yè)務(wù)特點(diǎn)，針對(duì)不同手機(jī)號(hào)碼、不同訪問(wèn)源IP訪問(wèn)請(qǐng)求進(jìn)行頻率限制，防止高并發(fā)非法請(qǐng)求消耗更多的短信包和服務(wù)器性能，提高業(yè)務(wù)穩(wěn)定性。

6.場(chǎng)景流程限定

將手機(jī)短信驗(yàn)證和用戶名密碼設(shè)置分成兩個(gè)步驟，用戶在填寫(xiě)和校驗(yàn)有效的用戶名密碼后，下一步才進(jìn)行手機(jī)短信驗(yàn)證，并且需要在獲取第一步成功的回執(zhí)之后才可進(jìn)行校驗(yàn)。

7.啟用https協(xié)議

為網(wǎng)站配置證書(shū)，啟用https加密協(xié)議，防止傳輸明文數(shù)據(jù)被分析。

8.單IP請(qǐng)求限定

同一IP和同一手機(jī)號(hào)碼一樣，當(dāng)某個(gè)IP地址請(qǐng)求發(fā)送一次動(dòng)態(tài)短信之后，服務(wù)器端應(yīng)該限制在一定時(shí)長(zhǎng)之后（此處一般為30-60秒），才能進(jìn)行第二次動(dòng)態(tài)短信請(qǐng)求。同時(shí)設(shè)置同一天同一IP的短信驗(yàn)證碼請(qǐng)求次數(shù)限制，免攻擊者通過(guò)同一個(gè) IP 盜刷大量的企業(yè)短信驗(yàn)證碼條數(shù)。

    企業(yè)可根據(jù)自身情況從以上的八個(gè)方法中選擇并組合成最適合自身的最佳方案，防患于未然，防止短信接口被盜刷。并提高技術(shù)人員在實(shí)際活動(dòng)中的安全意識(shí)，提前防范風(fēng)險(xiǎn)。助通科技與企業(yè)同行，為企業(yè)短信保駕護(hù)航！

•  

• 以上為短信被刷的傳統(tǒng)防護(hù)方案，新昕科技的防護(hù)方案接近完美，兼顧用戶體驗(yàn)和安全 。 

    新昕科技 www.newxtc.com ，創(chuàng)始團(tuán)隊(duì)來(lái)自百度旗下去哪兒、易寶支付、聯(lián)動(dòng)優(yōu)勢(shì)、高陽(yáng)捷訊(19pay)等支付及航旅知名企業(yè)，歷時(shí)3年時(shí)間，在價(jià)值百萬(wàn)的風(fēng)控引擎基礎(chǔ)上 ，訓(xùn)練出“防短信轟炸”智能模型，徹底解決“安全”與“用戶體驗(yàn)”的矛盾，產(chǎn)品經(jīng)理只需專注用戶體驗(yàn)，無(wú)需為安全讓步。

    1）無(wú)感：去類(lèi)12306、對(duì)缺口拼圖、拖動(dòng)等所謂人機(jī)驗(yàn)證有感方式。 

  

   

  化繁為簡(jiǎn)，簡(jiǎn)單到只需輸入手機(jī)號(hào)，還產(chǎn)品本來(lái)面目

    2）保障：攻防對(duì)抗大數(shù)據(jù)訓(xùn)練的 AI模型，去前端交互驗(yàn)證方式，后端防御確保短信安全。

       比如，同一個(gè)IP ，即使有1萬(wàn)個(gè)正常用戶同時(shí)共同使用，可以確保放行，但常規(guī)的防控大多數(shù)被誤攔。

        反之，攻擊者控制1萬(wàn)臺(tái)主機(jī)，1萬(wàn)個(gè)不同IP、手機(jī)，也保證攔截，但常規(guī)的防控對(duì)此無(wú)能為力。

      

      如何做到的， 基于三層AI防御體系，

       “報(bào)文對(duì)抗層” 在最外層應(yīng)用加解密及混淆技術(shù)，對(duì)抗普通的攻擊，

       “蜂窩防護(hù)層” 由時(shí)空主體組成蜂窩，確保被攻擊后“蜂窩”之間互不影響，縮小受影響的范圍，

       “安全氣囊”   在確保老用戶不受影響下， 根據(jù)攻擊規(guī)模自動(dòng)啟停并進(jìn)行動(dòng)態(tài)控制。

   

    3）高效：價(jià)值百萬(wàn)的風(fēng)控引擎濃縮的10M “短信防火墻”安裝包，本地部署運(yùn)行，毫秒級(jí)響應(yīng)。

  避免“云模式”的網(wǎng)絡(luò)延時(shí)問(wèn)題，導(dǎo)致滑動(dòng)條出不來(lái)等情況

   

  

  關(guān)鍵技術(shù)說(shuō)明：

      “懸浮式指標(biāo)引擎”：加載AI模型，懸浮于磁盤(pán)超高速運(yùn)行，隨輸入的業(yè)務(wù)數(shù)據(jù)生成統(tǒng)計(jì)指標(biāo)，提供給決策引擎做進(jìn)一步分析處理，

   “決策引擎”：加載“短信防轟炸”AI模型和指標(biāo)后，和輸入的業(yè)務(wù)數(shù)據(jù)流做邏輯判斷后，輸出風(fēng)險(xiǎn)結(jié)果，響應(yīng)速度達(dá)到恐怖的1毫秒。

   

  總結(jié)：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，我們每日都離不開(kāi)與互聯(lián)網(wǎng)的交互。短信驗(yàn)證碼作為互聯(lián)網(wǎng)交互中的重要環(huán)節(jié)，保衛(wèi)著網(wǎng)站的安全以及我們的信息安全。用戶體驗(yàn)差、毫無(wú)安全性可言的圖片驗(yàn)證碼將退出歷史舞臺(tái)，未來(lái)將會(huì)是安全與體驗(yàn)雙重保障的驗(yàn)證碼的時(shí)代。

•