上文说过,网站下发注册验证码是为了验证终端的真实性存在,但是不是所有的网站都有很强的技术能力,有些网站,搭了基本框架就提供访问服务,但是对于验证码下发接口,没有有效的图形验证、手势验证或是验证码IP周期限制、注册时长间隔限制等条件,造成轰炸机软件可以多线程,无时间间隔的调用,最终被利用完成对用户的骚扰。
网站有漏洞,用户被骚扰是一方面,另一方面来说,对网站本身亦直接性的造成经济上的损失——毕竟网站下发验证码短信是需要付费的。
可喜的是,网络安全正被各行各业日益重视,我们观察网站验证码下发的环节可以看到,各类网站从最早提交手机号就能下发验证码,到现在有些网站已经做到拼图式验证、花哨的图形验证码显示等等环节,说明网站运营者已经在行动努力封堵自己的网站不被人利用,但是我们依然可以看到,个别网站还未在这方面有这个意识。
短信轰炸机软件,利用的是网站的短信接口下发,主叫、被叫均是合法的,注定运营商不能按照呼死你这类骚扰电话来直接拦截主叫处理,例如,用户收到某银行接口验证码攻击,你不可能说直接封了银行的短信短号,而从运营商层面,在无用户授权的情况下,无法直接介入中止业务流程——误拦引起的后果很严重。
面对目前的整体大环境,我们的解决方案是把主动权交给用户,告知用户,当认为自己受到此类攻击时,上行5个零“00000”到任意的验证码接入号,可实现暂时的验证码接收关闭的功能,当用户需要正常接收时,发送5个壹“11111”到任意的验证码接入号,即可实现功能的立即恢复。
把关闭与开通的选择权交给客户,这是目前最为合适的解决方法。
发表评论