Article / 文章中心

阿里云-防短信盗刷指南

发布时间:2020-04-13 点击数:3536

来源: 阿里云     

验证码防盗刷

     为了保障您的账户安全,阿里云短信平台针对防盗刷情况提供监控能力,可以根据自己的业务状况到控制台(系统设置-国内消息设置-安全设置-防盗刷监控设置)进行配置。

  验证码攻击

验证码攻击:利用产品验证码获取的接⼝,通过程序的方式批量对单个或者多个号码进行验证码重复请求提交,用户户验证码被刷后直接带来的是经济损失,同时对被攻击的号码带来了巨大的骚扰。

  常见被攻击的状况:

  • 获取验证码的网站页面,没有做防止非法获取验证码的措施,比如最简单的图形校验码。(常见于网站上获取验证码)

    建议:点击获取验证码之前做一个校验,比如需要正确输入图形验证码、拖动验证等

  • 发送短信的接口暴露,且没有做加密措施,遭受恶意调用。(此类常见于APP侧获取验证码)

    建议:在短信接口做一些加密措施(例如加入图形验证等方式),防止非法调用。

  • 如出现被恶意攻击或者盗刷的情况,建议暂停调用短信接口,并完善您网站或接口的防御措施.

    建议:碰到攻击,首先要确认攻击来源,判断是哪个注册入口遭到攻击。

    • 增加图形校验码。使用成熟的图形验证产品
    • IP地址限制。在服务器端增加对单ip请求的验证码数量进行限制
    • 手机号码限制。客户在服务器端对单手机号请求的验证码数量进行限制
  • 以上为短信被刷的传统防护方案,新昕科技的防护方案接近完美,兼顾用户体验和安全 。 

      新昕科技 www.newxtc.com ,创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业,历时3年时间,在价值百万的风控引擎基础上 ,训练出“防短信轰炸”智能模型,彻底解决“安全”与“用户体验”的矛盾,产品经理只需专注用户体验,无需为安全让步。

      1)无感:去类12306、对缺口拼图、拖动等所谓人机验证有感方式。 

     

    化繁为简,简单到只需输入手机号,还产品本来面目

      2)保障:攻防对抗大数据训练的 AI模型,去前端交互验证方式,后端防御确保短信安全

         比如,同一个IP ,即使有1万个正常用户同时共同使用,可以确保放行,但常规的防控大多数被误拦。

          反之,攻击者控制1万台主机,1万个不同IP、手机,也保证拦截,但常规的防控对此无能为力。

        

        如何做到的, 基于三层AI防御体系,

         报文对抗层 在最外层应用加解密及混淆技术,对抗普通的攻击,

         蜂窝防护层 由时空主体组成蜂窝,确保被攻击后蜂窝之间互不影响,缩小受影响的范围,

         安全气囊   在确保老用户不受影响下, 根据攻击规模自动启停并进行动态控制。

     

      3)高效:价值百万的风控引擎浓缩的10M 短信防火墙安装包,本地部署运行,毫秒级响应。

      避免“云模式”的网络延时问题,导致滑动条出不来等情

     

    关键技术说明:

        悬浮式指标引擎加载AI模型,悬浮于磁盘超高速运行,随输入的业务数据生成统计指标,提供给决策引擎做进一步分析处理,

     决策引擎加载“短信防轰炸”AI模型和指标后,和输入的业务数据流做逻辑判断后,输出风险结果,响应速度达到恐怖的1毫秒。

     

    总结:随着互联网技术的不断发展,我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节,保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台,未来将会是安全与体验双重保障的验证码的时代。

  •