产品风控：短信验证码的风控策略

在短信验证码的产品设计过程中需要考虑的问题有哪些？

现如今短信验证码的应用范围极为广阔，各种网站、手机 APP 以及网上银行，都需要通过短信验证码完成相关业务。在使用过程中，由于对产品风控意识的薄弱，经常会出现短信被攻击盗刷的事件，引起一些不必要的损失，甚至影响到正常业务的运行。下面我们就一起了解下短信验证码产品设计过程中需要考虑的问题及风控策略。

短信恶意攻击的目的

目前存在的短信恶意攻击无非是有两种目的：

1.以攻击某个特定手机号为目的

这类攻击目标主要是攻击者借助 web 网站短信接口对目标手机号进行短信轰炸。攻击者会先收集互联网上多个未经防护的网站短信接口，设定要攻击的手机号码通过模拟用户，循环向后台发送短信验证码请求，达到攻击手机号的目的，使手机号的拥有者不堪其扰。

2.以恶意刷取目标网站短信费用为目的

这类攻击主要目的是刷掉目标网站的短信费用，在第一种基础上攻击者会不停变换各种接口参数如手机号、IP（采用高匿代理）等去请求后台发送短信验证码，进行恶意刷短信，后台根本无力辨别用户真伪，可刷取数以万计甚至更高的短信费用。攻击目标明确，难以防护，因其变换不同 IP、手机号，一些简单措施基本失效。被攻击的公司在损失费用的同时，也必定会收到用户的投诉，公司形象也会受损。

容易受到攻击的场景

最常被攻击的场景是用户注册页面，或者是手机短信验证码快捷登录页面、网络在线投票等页面。此类场景下的发送短信验证码的接口，往往未对调用方进行相关的身份验证。

如何对短信进行风控

发送时间间隔

设置同一个号码重复发送的时间间隔，一般设置为 60-120 秒。该手段可以在一定程度上防止短信接口被恶意攻击，且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击，防护等级较低。

获取次数限制

限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中，有几点需要注意。

1. 定义上限值。根据业务真实的情况，甚至需要考虑到将来业务的发展定一个合适的上限值，避免因用户无法收到短信验证码而带来的投诉。

2. 定义锁定时间段。可以是 24 小时，可以是 12 小时、6 小时。需要根据业务情况进行定义。

IP 限制

设置单个 IP 地址某个时间段内最大的发送量。该手段可很好的预防单一 IP 地址的攻击，但是也有两个很明显的缺点：

1. 对于经常变更 IP 地址进行攻击的黑客，该手段没有很好的效果。

2. IP 的限制经常会造成误伤。如在一些使用统一无线网的场所，很多用户连接着同一个无线网，这个 IP 地址就容易很快达到上限，从而造成连接该无线网的用户都无法正常的收到验证码。

图形验证码

在发送短信验证码之前，必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击，因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题，不能简单粗暴地套用这一策略。以下几个点值得仔细考虑：

1. 是不是每次获取短信验证码之前都需要用户输入图形验证码，一般来说这样做会极大地影响用户体验，虽然是相对安全，但是用户用着不爽了。

2. 可以给一个安全范围。结合手机号限制、IP 限制来考虑，比如同一个手机号当天第 3 次获取短信验证码的时候，出现图形验证码；比如同一个 IP 地址当天获取验证码次数超过 100 次后，出现图形验证码。

加密限制

通过对传向服务器各项参数进行加密，到了服务器再进行解密，同时用 token 作为唯一性识别验证，在后端对 token 进行验证，验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下，可以有效防止某些攻击，因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点：

1. 使用的加解密算法可能会被破解，需要考虑使用破解难度较大的加解密算法。

2. 在算法不被破解的情况下可以有效防止报文攻击，但是无法防止浏览器模拟机式攻击。

以上是几种常见的短信风控策略，在具体的产品设计过程中，可以综合使用。

短信防火墙

为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下：

1. 为保障优秀的用户体验，摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序，做到无感验证。从而达到完美的用户体验。

2. 结合用户的手机号码 、IP 地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合，达到一个最为合理的风控限制指标。

3. 根据业务情况自动伸缩风控限制，在检测处受攻击时自动加大风控限制力度，在正常是再归回到正常风控标准。

4. 考虑到存在新老客户的区别，特意增加老客户 VIP 通道，在受到攻击时，风控指标紧缩的情况下，保证老客户通道畅通无阻，从而降低误伤率。

5. 通过以上策略可以有防止黑客通过随意切换手机号及 IP 地址的方式可以刷取短信。同时加入模拟器检测，以及参数加密等风控策略，有效防止黑客攻击。

6. 可通过风控防火墙控制台，实时观测风控结果，在受到攻击时达到第一时间预警的效果。

作者：香芋味的猫丶

如需了解更多请关注新昕科技官网：www.newxtc.com