近年来,一些不法分子利用“短信轰炸”恶意骚扰,实施打击报复、敲诈勒索等恶意攻击行为,严重影响用户的正常使用。另外,短信平台接口被恶意调用,短信通道金额会被恶意消耗,严重影响平台的利益。本文介绍了短信验证码轰炸的原理,并针对性提出了保护短信接口防止被恶意调用的方法。
1.短信验证码轰炸的原理
短信验证码轰炸一般基于web方式,主要有两个模块组成:一个前端web网页,提供输入被攻击者手机号码的输入窗口;一个后台攻击页面(如PHP),利用从各个网站上找到的动态短信URL 和前端输入的被攻击者手机号码,发送HTTP 请求,每次请求给用户发送一个动态短信。原理和实施过程如下:
(1)恶意攻击者在前端中输入被攻击者的手机号;
(2)短信炸弹后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL 进行组合,形成可发送动态短信的URL 请求;
(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;
(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
2.如何防止短信轰炸?
短信炸弹形成的原因是因为非授权的动态短信获取,由于在使用动态短信业务前系统并不能建立业务关联。因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。可以采用增加图形验证码、限制单IP请求次数、限制用户短信请求间隔等方式,保护短信通道。
增加图形验证码:在短信验证环节,用户进行获取短信验证操作前,进行图片验证码验证,要求用户输入验证码后,服务器端再发送动态短信到用户手机上。图片验证码可以一定程度防止机器批量操作,拦截部分自动化的攻击。但是,随着OCR和深度学习技术的发展,图形验证码的破解变得越来越容易,被暴力破解率越来越高;
图形验证码
限制单IP请求次数:服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数超出设定的阈值,则暂停该IP一段时间的请求;请求次数过多,可以将IP加入黑名单,对该IP进行封禁。
限制用户短信请求间隔:限制重复发送动态短信的间隔时长,即当单个用户请求发送一次动态短信之后,服务器端锁定如:30秒后,才能进行第二次动态短信请求。
以上防刷的手段,可以一定程度保护短信接口,但是也存在图形验证码破解率高、用户体验差、误杀真实用户等问题。一个比较好的解决方案,不仅要考虑用户体验,同时又要兼顾保护效果,网易易盾行为式验证码可以有效保护短信通道,提供极致用户体验的安全防护能力,极大提升服务安全性。
3.网易易盾行为式验证码短信接口防刷
网易易盾行为式验证码,搭载风险感知引擎,安全用户只需轻点即可通过验证,可疑用户根据疑似程度弹出不同难度的验证码进行二次验证,提供极致用户体验的安全防护能力,保护短信接口,防止被恶意调用。
作为业务安全的引领者,网易易盾技术上依托网易海量数据分析,特征模型能够实时更新,可以针对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果。
短信轰炸不仅影响用户的工作生活,也可能给短信平台带来品牌形象和巨大经济的损失,因此保护短信接口非常重要。
参考文献:中国移动,《动态短信验证码安全防护方案》
相关阅读: