大部分的網站和移動應用在注冊時使用手機號碼作為平台賬號,利用短信驗證來鑒別手機號是否屬於用戶本人。因此,我們在各類平台的注冊場景經常見到短信驗證。然而,這種驗證工具背后卻暗藏許多安全隱患。其中最主要的一種就是黑產利用各類平台的短信驗證接口進行短信轟炸。
短信轟炸造成短信通道阻塞、企業品牌形象受損、短信費用被大量惡意消耗等負面影響,若被用戶投訴,還將導致短信接口封禁,直接影響網站正常業務。
什么是短信轟炸?
短信轟炸是通過各平台獲取短信驗證碼,達到惡意發送垃圾短信的工具。這種“短信炸彈”主要是通過特制的軟件不斷往一個手機號碼發重復的垃圾短信,以達到騷擾目標用戶的效果。一個強大的短信轟炸機能做到每秒發送上百條短信。
短信轟炸的原理是什么?
l 惡意攻擊者在前端頁面輸入被攻擊者的手機號
l 短信轟炸后台服務器,將該手機號與互聯網收集的可不需要經過認證即可發送動態短信的URL進行組合,形成可發送動態短信的URL請求
l 通過后台請求頁面,偽造用戶的請求發給不同的業務服務器
l 業務服務器收到該請求后,發送動態短信到被攻擊用戶的手機上
短信轟炸的方式是什么?
短信轟炸是利用短信接口的攻擊方式,針對某個網站短信接口集中惡意攻擊,或者利用短信轟炸機調用接口。
解決短信轟炸的主要方式:
1.針對單個手機號碼每天限定短信發送次數
解決思路:
每個手機號碼每天只允許發送固定數量的短信,那么短信接口就不會被濫用了。
實際效果:
短信轟炸機的工作原理是攻擊某個手機號時,攻擊程序同時請求無數的短信接口,絕大部分情況下,每個網站的接口都只請求一兩次,並不會觸發短信發送數量上限。因此這種防護方式並沒有什么效果,對於網站來說,看到的仍然是無數的手機號,每個都發送一兩條短信,但是無法區分,哪些手機號是真正的用戶,哪些是被攻擊的號碼。
2.針對來源ip限制接口請求次數或頻率
解決思路:
限定單個ip地址的請求,即使一次攻擊多個號碼,也可以有效識別。
實際效果:
獲取一個ip實在太廉價了,普通家用寬帶都可以分分鍾通過斷開再撥號獲取多個ip。網上各種提供代理ip的網站上都有無數的代理ip可以使用,甚至淘寶上還有提供隨時撥號的動態vps服務器。
3.每條短信發送之前都加上驗證碼校驗
提供正確的驗證碼,才發送短信,徹底解決腳本問題
實際效果:
普普通通的驗證碼,通過OCR識別的方式可以瞬間轉成文本。稍復雜的驗證碼也可通過OCR+簡單機器學習破解。
注冊場景作為每個平台的入口,是非常核心的交互場景。保障注冊場景的交互安全與交互體驗也是每個平台需要不斷思考和優化的課題。實際上,各大運營商也專門規定短信驗證碼必須加上圖形驗證碼的保護。但是傳統的圖形驗證已經不再安全,同時又非常影響用戶的交互體驗。網站與應用管理者,需要探尋更佳優質的解決方案。而極驗的基於深度學習驗證安全服務無疑是當下最合適的一種,目前已應用於包括斗魚YV、airbnb、魅族等二十萬家網站。