验证短信码被盗刷怎么办

2022-04-06 09:37:36 +08:00
 Ds97

1.限制了一个号码一分钟之内只能发一次 2.一个号码一个小时最多 6 次 3.一个 ip 一天最多 10 次 4.阿里云的滑块验证 以上的这些验证都是生效的,但还是被刷了上万条,都是换不同号码,号码前面部分是固定的,后面几位数随机的,ip 也是换着来的,有成百上千个 ip ,阿里云的滑块验证也通过了,用机器是怎么滑动那个滑块的啊,一脸懵逼。请问这种情况该怎么防啊

7704 次点击
所在节点    程序员
62 条回复
hay313955795
2022-04-06 09:47:09 +08:00
作为了程序员我之前就是这样让公司短信被盗刷将近 5000 块.
后来我评估了一下我们网站可能日访问量就是个位数..所以我可耻的做了一个操作.
每日短信发送达到一定的量之后关闭了短信通道.然后下发短信通知一下管理员,
管理员手动检查这些数据是不是异常数据.如果是异常数据就继续关闭,如果不是的话,就重新打开短信通道,如此我们公司的短信就再也没有发生盗刷的情况了.
wdy3334
2022-04-06 09:49:32 +08:00
之前用过一个下载视频的软件,滑块是随机滑,因为有一定的容错,基本上滑 3 次就能蒙中
jorneyr
2022-04-06 09:58:04 +08:00
完全防止盗刷好像做不到,只能增加点难度。
访问短信页面时生成 token ,请求端对 token 进行加密,后端解密判断 token 是否可用,再增加其他各种想到的方式增加点难度。
chenuu
2022-04-06 10:02:19 +08:00
做过腾讯云的.腾讯的滑块验证很简单,后面的风控会变成 让点击正对你的蓝色三角形 这种会难些,大概可以在后台调整默认难度
fumichael
2022-04-06 10:02:19 +08:00
@hay313955795 #1
『每日短信发送达到一定的量之后关闭了短信通道』
你好骚啊,学习了,是个思路
LeegoYih
2022-04-06 10:03:16 +08:00
监控到异常情况时,把滑块验证切换到图形验证码,弄个复杂一点的验证码,基本上可以解决
hay313955795
2022-04-06 10:03:52 +08:00
@fumichael 这就是我司的人工 智能..
Ds97
2022-04-06 10:07:26 +08:00
@hay313955795 这方法有点骚,但是不符合我们的需求,有过几次盗刷了,但是在假期,而且都是休息时间,通知管理员了也不能及时去检查异常,不能及时打开通道
hay313955795
2022-04-06 10:08:43 +08:00
@Ds97 通道会影响到业务吗?如果不会可以试试达到阀值后让通道冷却几分钟...
o0
2022-04-06 10:09:09 +08:00
其实就是不断提高对方的成本就行了
Kinnice
2022-04-06 10:09:23 +08:00
使用更为复杂的验证手段(增加验证码难度,让用户主动发送验证码,动态修改路由 /校验参,发送请求 phone 字段加密(wasm))
encro
2022-04-06 10:09:28 +08:00
下行变上行。
手机验证变邮箱或第三方。
再不行实名认证。
daimubai
2022-04-06 10:18:35 +08:00
@hay313955795 学到了
raycool
2022-04-06 10:19:37 +08:00
这是被竞争对手恶意给刷了吧
crab
2022-04-06 10:19:56 +08:00
随机号码应该就不是单利用接口了,明显是针对性弄你的。让用户主动发短信吧。
Ds97
2022-04-06 10:34:47 +08:00
@jorneyr 这方法感觉还是不行,因为现在的请求都是通过操作我们 app 来请求的,而不是通过接口工具直接请求,因为只有通过 app 每个接口都会多加个几个签名的参数,这些验证也都通过了
zwgf
2022-04-06 10:35:43 +08:00
用户输入手机号
点击获取验证码
弹出一个需要微信扫码的网页二维码,用户只需用微信扫这个二维码,然后点击发送验证码即可。
这样你只需要判断一个微信用户一天最多发送几次即可。
让盗刷的人,去大量注册微信号吧,把这个成本转嫁到腾讯。
oneisall8955
2022-04-06 10:44:28 +08:00
马克,求一个解决方案,感觉这类问题不太好处理呢
Ds97
2022-04-06 11:07:04 +08:00
@zwgf 感谢你的回答 ,但是不能满足我们需求,我们有很多国外用户
Ds97
2022-04-06 11:09:11 +08:00
@hay313955795 会影响到注册,因为我们有做国外的业务,所以 24 小时都可能会有注册登录,也不能在半夜达到阈值后起来改吧 哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/845136

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX