所有文档

文档中心 > 短信服务 > 验证码防盗刷

验证码防盗刷

产品详情

一、概述与重要提醒

验证码盗刷是指攻击者批量、自动化反复调用验证码接口，向单个或成批手机号重复请求验证码，导致异常短信消耗与用户骚扰。
互亿无线提供“验证码防盗刷监控 + 频率限制 + 阈值预警 + 黑名单/止损”四位一体的防护能力，建议同时在业务端落地图形认证、频控与风控校验，形成端到端联防。
忽略本文关键配置会显著增加被盗刷风险，请务必完成“3步快速落地”。

二、典型特征与危害

1、可疑特征：

短时间短信量/频率异常飙升（远超历史峰值）。
目标手机号“尾号连号”或固定段位集中。
请求源集中：同一/少量 IP、短时间集中触发、UA/设备指纹异常相似。

2、主要危害：

经济损失：异常消耗短信余额与预算。
运营中断：投诉处理、补救与加固占用核心资源。
隐私与账号风险：验证码泄露带来账户挟持、信息泄露。
品牌信任受损：用户未操作却收到大量验证码，给品牌带来负面影响。

三、三层防线与最佳实践

1、客户端/接入层（前置拦截）

图形验证码/行为式验证码：在“获取验证码”前增加数字/字母校验，滑块/点选/九宫格等人机验证。
最小重发间隔：同号码二次获取验证码的最小间隔≥60秒。
设备指纹与节流：按 IP / 设备ID / UA 维度限速与联动封禁。

2、服务端/业务风控（精细控制）

验证码有效期：一般 5 分钟；过期作废需重新获取。
错误/异常计数：同号码/同IP持续失败与频繁请求进行自动封禁。
请求完整性校验：短信发送加入签名校验；使用 HTTPS 请求；白名单域校验。
模板/场景隔离：验证码模板与通知模板分离，单独做频次控制。
密钥安全：定期修改登录密码，重置APIKEY并部署，确保密钥未流失。

3、互亿无线平台设置

1）、日发送量限制：设置当前账号每日最大发送量设置日，达到限额可自动暂停发送。

2）、号码黑名单：手动添加异常手机号码，快速封禁。

3）、异常时可冻结账号或关闭接口请求，及时止损。

四、图形验证码/行为式验证码

1、图形验证码

您可以自行寻找符合您需求的图形验证码组件，也可以使用我们提供的基础版服务。

查看演示下载图形验证码组件

文件说明

gVerify.js：用于生成图形验证码的 JS 文件。
txyzm_demo.html：展示图形验证码的示例页面。
web/sms.php：用于发送手机验证码的类文件（需要配置短信账号的 APIID和APIKEY）。
verifyyzm.php：根据 POST 参数进行二次验证的脚本。

访问方式（本地环境）

http://localhost/txyzm/txyzm_demo.html

2、行为式验证码

极验：https://www.geetest.com/
网易易盾：https://dun.163.com/product/captcha

电话咨询

服务热线：

4008 808 898

服务热线（工作时间）：

4008 808 898

业务咨询（非工作时间）：

售后咨询（非工作时间）：