应用注册页面,如果接入了短信验证码功能,都有可能会遇到恶意发送的情况,最严重的当属受到短信轰炸机的攻击。
什么是短信轰炸?
个别用户出于不正当目的,自己或者委托第三方使用 “短信轰炸机软件”,短时间内在各应用页面(主要是注册页面)模拟输入被攻击者的手机号码,批量、循环提交请求,给一些手机号码无限发送各种无效短信(如短信验证码)的行为,导致接收短信的手机用户被骚扰。
短信轰炸带来的影响
1、用户在无任何操作情况下,莫名收到大量短信验证码,对用户造成严重的骚扰;
2、短信验证码接口的客户,会被消耗大量的短信,同时,短信是以短信验证码接口客户的名义发出的,会对企业的品牌形象造成负面影响;
3、大量骚扰短信的发送,对短信通道及短信平台的稳定安全运行造成极恶劣的影响。
如何判断您的应用已被短信轰炸机轰炸
1、您收到了互亿无线的微信 / 短信预警通知;
2、您应用的实际注册人数远小于消耗的短信验证码条数;
3、您通过短信验证码接口获取到大量短信被拦截的状态回执。
如何有效防范短信轰炸
1、互亿无线云通信平台具有先进的短信发送判断机制(已免费开放),动态感知每条短信的发送情况并实时判断风险性,对恶意发送进行有效拦截,能杜绝大多数的恶意发送。关注互亿无线官方微信公众号,可实时接收账户状态提醒。
2、互亿无线云通信平台支持发送机制设置,包含:每号码每天的发送数量、每号码每分钟的发送数量、每天账户最大发送量等。
3、增加图形验证与请求限制
a)
加上图形验证码(强烈建议增加,最有效防止):加上足够复杂的图形验证码可有效防止恶意工具的自动化调用,即当用户进行“短信验证码发送” 操作前, 弹出图形验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施短信轰炸攻击的问题。参考链接:
http://www.ihuyi.com/tool/img.html c) 对验证码获取时间间隔做限制:一般要设置在60秒以上。
