验证短信码被盗刷怎么办

2022-04-06 09:37:36 +08:00
 Ds97

1.限制了一个号码一分钟之内只能发一次 2.一个号码一个小时最多 6 次 3.一个 ip 一天最多 10 次 4.阿里云的滑块验证 以上的这些验证都是生效的,但还是被刷了上万条,都是换不同号码,号码前面部分是固定的,后面几位数随机的,ip 也是换着来的,有成百上千个 ip ,阿里云的滑块验证也通过了,用机器是怎么滑动那个滑块的啊,一脸懵逼。请问这种情况该怎么防啊

7706 次点击
所在节点    程序员
62 条回复
shequ2046
2022-04-06 14:10:38 +08:00
@ZE3kr 1000 次有多少美金?
LeegoYih
2022-04-06 14:32:01 +08:00
滑动验证码很容易被破解的,结合图形验证码可解决。

用 redis 的 zset 滑动窗口。
1. 每成功发送一条验证码,用 zadd 加一条时间戳。
2. 获取验证码前,判断缓存中是否存在图形验证码的标识,如果是,则返回图形验证码。
3. 发送短信前,用 zcount 统计 x 分钟内发送次数,如果超过 ${interval_threshold} 阈值,redis 中新增 global_captcha_type=graphic ,设置超时时间 y 小时,y 小时后自动切换回滑动验证码。

至于换 ip 也可以解决,使用 redis 的 bitmap 实现一个黑名单,发现一个让运维手动加进去,他总会用完的。
Ds97
2022-04-06 15:28:31 +08:00
感谢各位大佬提供的思路,学习了,这次不一定用到,因为用什么技术是公司大佬决定,下次有类似的需求可以借鉴你们提供的这些思路
spinecho
2022-04-06 15:38:51 +08:00
smarterq
2022-04-06 16:35:48 +08:00
注册时做好 kyc ( IP 地址和信息要对应之类的),鉴别一下代理 IP ,注册完毕登陆之后再进行短信验证的步骤,误封的走人工通道或者其他通道验证
nothingistrue
2022-04-06 17:36:18 +08:00
@Ds97 #19 国外手机号上 Google Recaptcha 或者其他机器人识别,国内手机号用他说的微信那个方法。
YouKnowIt
2022-04-06 18:06:20 +08:00
lz 的公司规模多大,楼上很多层主都提供了不少好意见,但这些不是一个人能搞定的,你们现在有反作弊团队吗
Ds97
2022-04-06 18:06:44 +08:00
@smarterq 业务需求不允许这样子做,注册就让用户填太多东西就直接吓跑用户了
Ds97
2022-04-06 18:14:55 +08:00
@YouKnowIt 小公司 小团队,做不了那么多的
smarterq
2022-04-06 18:35:20 +08:00
@Ds97 邮箱和地理位置这几样已经算是很基本的信息了吧,不行就研究一下怎么检测是否用的代理 IP
shenqicai
2022-04-06 18:50:04 +08:00
阿里不是有智能验证吗?
ospider
2022-04-06 19:00:20 +08:00
上 JA3 指纹吧,好多黑灰产还没卷到这一步
Foxkeh
2022-04-06 19:27:59 +08:00
参考下微信换机后登录都是让用户发短信的,跟 @encro 提供的第一个思路一样
ZC3746
2022-04-06 22:04:19 +08:00
@hay313955795 简单粗暴有效
cumt21g
2022-04-06 23:34:01 +08:00
我的理解是别人蒙对了滑块验证,然后随便输入了个手机号,楼主的系统仍然向这个手机号发送了短信,导致扣钱,对么?
morty0
2022-04-07 00:19:33 +08:00
@XiLingHost 验证码挖矿
XiaoBaiYa
2022-04-07 09:05:01 +08:00
可以做几种验证码,提高验证难度
zenxds
2022-04-07 09:24:00 +08:00
@Ds97 换一家验证码吧,阿里的不行
NullData
2022-04-07 09:41:42 +08:00
@spinecho 可能是在阮一峰的博客上看过他展示过的这个链接 https://git.sequentialread.com/forest/pow-captcha
zwgf
2022-04-07 11:03:36 +08:00
@Ds97 #19 国外用户也没关系呀,twitter 或者 fb 、或者 google 授权登录一下再发送验证码,自己搞不定的转嫁给能搞定的公司。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/845136

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX