文档

验证码防盗刷

更新时间:

短信服务为您提供验证码防盗刷监控功能,保障您的资金安全和业务稳定,帮助您有效预防验证码被盗刷或短信轰炸带来的不良影响。

背景信息

验证码盗刷指攻击者利用您的短信验证码,通过程序批量对单个或多个号码进行验证码重复请求,给用户发送大批量短信。用户验证码被刷后直接带来经济损失,同时对被攻击的号码带来骚扰,给业务方造成品牌及不良影响。您可以通过以下方式进行防御或应对:

  • 开启验证码防盗刷监控

  • 添加验证码:用户进行短信发送操作前,需要正确输入图形验证码、拖动验证等。

  • 对验证码获取做限制:一般限制为60秒,60秒后可重新获取验证码。

  • 对验证码有效性做时间限制:一般限制在30秒以内,超过30秒没有输入的验证码作废,需重新获取。

  • IP地址限制:在服务器端增加对单个IP请求的验证码数量进行限制。

  • 手机号码限制:客户在服务器端对单个手机号请求的验证码数量进行限制。

  • 暂停调用短信接口,并完善网站或接口的防御措施。

开启验证码防盗刷监控

重要

仅国内短信支持使用防盗刷监控功能。

  1. 登录短信服务控制台

  2. 在左侧导航栏,选择系统设置 > 国内消息设置

  3. 单击安全设置,打开验证码防盗刷监控开关。

  4. 单击修改配置,填写监控开启阈值预警触发阈值

    • 监控开启阈值:设置每小时验证码短信发送条数。

    • 预警触发阈值:设置当前一小时验证码成功率和当前一小时较前一天同时间段验证码增长率。

    说明

    当验证码短信同时满足设置的监控开启阈值预警触发阈值时,将触发防盗刷预警,系统会发送短信到联系人。

    示例:如果某企业的监控开启阈值设置为1000条,预警触发阈值中当前一小时验证码成功率设置为低于80%,当前一小时较前一天同时间段验证码增长率设置为高于50%,该企业验证码短信发送情况同时满足以上三个设置(每小时验证码短信发送条数超过1000条,且当前一小时验证码成功率低于80%,当前一小时较前一天同时间段验证码增长率高于50%)时,将触发防盗刷预警,系统会发送短信到联系人。

    image.png

  5. 单击确定,完成设置。

后续操作

如果您开启验证码防盗刷监控后,收到系统发送的预警短信,建议您查看短信的发送频率、短信发送量和手机号码是否和当前业务现状相匹配。如果不匹配,可以根据您的业务场景设置日发送阈值上限值或短信发送频率,达到设置值后,短信接口会调用失败,及时保障您的资金安全。如果匹配,可以考虑是否需要调整监控开启阈值预警触发阈值。

相关文档

  • 建议同时设置验证码短信发送频率,可有效预防验证码被盗刷的情况。具体操作,请参见设置短信发送频率

  • 建议您根据短信发送情况设置发送预警值和限额值,防止网站被人恶意利用导致短信量突增,产生高额费用。具体操作,请参见设置短信发送量预警

  • 本页导读 (1)
文档反馈