最近,有位站长反馈自己网站的短信验证功能被恶意刷了,一小时发的短信量就高达1300万。
网站的短信验证被刷,通常指的是短信验证码接口被恶意利用,导致大量非用户主动请求的验证码短信被发送到指定手机号,或者大量短信费用被消耗。这种行为属于短信验证码攻击,具体可以分为以下几种攻击类型:
✅ 1. 短信验证码盗刷(短信轰炸)
- 定义:攻击者利用自动化脚本或工具,批量调用网站的短信验证码接口,向特定手机号发送大量验证码短信,造成短信轰炸或消耗网站短信费用。
- 攻击目的:
- 骚扰用户:让目标手机号持续收到大量验证码短信,影响正常使用;
- 消耗短信费用:让网站在短时间内消耗大量短信配额,造成经济损失;
- 掩盖真实攻击:通过短信轰炸分散用户注意力,掩盖其他盗刷行为(如账户盗用)。
- 攻击特征:
- 短时间内大量请求;
- 请求的IP地址集中或频繁更换(使用代理池);
- 目标手机号连续或随机生成;
- 请求参数异常(如User-Agent固定、Referer缺失)。
✅ 2. 短信验证码接口滥用(刷接口)
- 定义:攻击者直接绕过前端验证(如图形验证码),通过抓包或逆向分析,直接调用后端短信接口,模拟正常用户行为发送请求。
- 攻击方式:
- 使用脚本(如Python + requests)批量请求;
- 利用高匿代理IP绕过IP限制;
- 使用“短信轰炸机”工具,集合多个网站的短信接口,集中攻击一个手机号。
✅ 3. 中间人攻击(GSM嗅探/伪基站)
- 定义:攻击者通过伪基站或GSM中间人攻击,截获用户手机接收到的短信验证码,用于绕过身份验证,完成账户盗用或支付操作。
- 攻击流程:
- 攻击者建立伪基站,强制用户手机接入;
- 获取用户手机号;
- 使用嗅探设备截获短信验证码;
- 利用验证码完成账户登录、支付等操作。
✅ 攻击后果
| 对象 | 后果 |
|---|---|
| 用户 | 手机被短信轰炸,无法正常使用,甚至账户被盗 |
| 网站 | 短信费用被刷、用户投诉、品牌声誉受损 |
| 平台 | 被短信服务商封号、产生高额账单 |
✅ 防护建议
| 防护维度 | 措施 |
|---|---|
| 前端 | 增加图形验证码(滑块、点选、旋转等) |
| 后端 | 限制单个手机号/IP的请求频率、设置冷却时间 |
| 接口 | 加签验证(如RSA加密参数)、Referer校验、User-Agent识别 |
| 监控 | 实时监控短信发送量,异常告警(如阿里云防盗刷监控) |
| 合作方 | 与短信服务商合作,启用防盗刷策略(如IP白名单、行为识别) |
✅ 总结一句话
网站短信验证被刷,属于短信验证码盗刷攻击,本质是接口滥用或短信轰炸,需从前端验证、后端限制、行为监控三个维度联合防护。
这里主机帮推荐使用百度云防护企业版,含API防护功能,同时支持bot管理功能,可有效解决短信验证被恶意刷问题。
