01 / 什么是验证码盗刷?
验证码盗刷是短信盗刷的一种。由于验证码获取便利、限制较少,最容易被不法分子利用,恶意盗刷,因此最为常见。
攻击者利用您的短信验证码,通过程序批量对单个或多个号码进行验证码重复请求,给用户发送大批量短信。直接带来经济损失,同时对被攻击的号码带来骚扰,给业务方造成品牌的不良影响。
02 / 如何有效降低验证码盗刷概率?
方法 1:对验证码获取进行一定限制
可尝试限制单个手机号每日接收短信次数和时间间隔、对注册流程进行限定、对 IP 进行限制等方式,达到防护目的。
方法 2:在前端增加图形验证
攻击者一般是采用自动化攻击,图形验证码需要人类的视觉识别才能正确输入,可以有效防止自动化工具(如爬虫或脚本)产生恶意操作。
03 / 阿里云短信服务+图形认证,双管齐下
1、 短信服务-验证码防盗刷监控功能
阿里云短信服务提供验证码防盗刷监控功能,开启后,可填写监控开启阈值和预警触发阈值,针对接收次数的限制,可以防止单个手机号无限制刷短信。
- 监控开启阈值:设置每小时验证码短信发送条数。
- 预警触发阈值:设置当前一小时验证码成功率和当前一小时较前一天同时间段验证码增长率。
2、图形认证服务
近日,阿里云正式推出图形认证服务,可通过人机校验、动态交互、bot 拦截,识别并防御机器虚拟流量,区分真实用户与自动化工具,有效抵御攻击。最快1小时/人/端即可完成接入。
结合阿里云短信服务与图形认证服务能力,不仅可以从源头上减少恶意的验证码请求行为,还能在用户交互层面增设安全屏障,形成一套立体化的防护体系,有效提升系统的安全性与用户体验。
进一步了解短信&图形认证服务超值特惠:https://www.aliyun.com/lowcode/promotion/dysms/supervalue