验证码短信属于移动集团非常优质的短信应用,但近期接移动集团反馈:部分用户投诉连续收到莫名验证码短信,而用户本身并未在该相关网站获取验证码,影响用户正常的工作、生活,从而产生大量投诉,同时对客户的品牌形象、经济投入也造成非常大的影响。

经分析该问题是由一种互联网恶意攻击方法–“短信轰炸机”形成,该攻击方式循环利用不同业务中的注册逻辑向任意非注册的手机号码发送短信动态验证码(如用户注册、好友邀请、密码找回等等),甚至可向多个手机用户同时连续发送大量验证码短信,严重影响用户的正常使用,造成不良影响与大量投诉。

由于投诉量与端口关停、处罚等紧密相关,相关行为也会对客户的正常业务造成严重影响及品牌形象的损失。《动态短信验证码安全防护方案》是针对动态短信验证码功能的安全实施方法与要求,适用于具备动态短信验证码功能的业务与系统。请相关客户对验证码类信息下发机制进行优化,主要如下(详细方案请参见附件:《动态短信验证码安全防护方案》):

序号 措施描述 针对性解决的问题 备注
1 使用安全图片验证码 防止通过自动化工具进行攻击请求 图片校验码一定在要在点击获取短信验证码之前,从而起到校验作用,且每次在服务端动态变化
2 单IP的请求次数限定 防止攻击者对服务器进行大量无效请求(在图片验证码未破解的情况下,自动化工具形成错误请求),增加服务器负担 根据业务情况设置ip限制次数
3 单用户动态短信请求间隔时长限制 防止对单个用户形成手工频繁攻击;防止图片验证码失效后对用户形成大量攻击。进一步保障用户体验 每次点击短信验证码,倒计时的时间戳在60秒以上,即当单个用户请求发送一次动态短信之后,服务器端锁定60秒(以上)后,才能进行第二次动态短信请求。
4 单用户获取动态验证码次数限制 防止因图片验证码被破解,用户频繁收到莫名验证码短信 一般单个用户请求短信验证码次数限制:一小时不超过3条,24小时不超过5条。此限制只针对获取短信验证码模块生效,客户其他业务(订单通知、支付确认等)可根据实际情况选择是否限制
文档更新时间: 2020-10-20 10:10   作者:admin