从2012年互联网金融概念进入大众视野,随着2013年并定义为“互联金融元年”互金得到迅猛发展,作为新兴的金融服务形态,平台与用户之间的沟通的桥梁依然会选择短信这种比较高效的沟通方式,正因为此,针对短信渠道的网络攻击也成为不怀好意者攻击互联网金融平台的突破口。如何构建一套安全、稳定、友好的短信体系,已成为所有互联网金融平台的必修课。
目前,多数互联网金融平台因各种因素,选择采用外包或者购买成熟的服务系统,无法自己直接控制系统服务,在信息安全方面存在着较高的风险。多财宝在创立初期就一直将各类安全问题放在首位,并将安全纳为自己平台长远稳定发展的核心竞争力。除了确保平台上销售的金融产品高度安全以外,更要确保用户在平台的信息安全。多财宝团队有55%的成员是研发人员,具备丰富的金融科技领域经验,这里,将为我们分享他们在防范恶意短信攻击方面的心得。
目前,短信进入用户体验的就是平台注册模块的注册认证短信,这因为此大多数针对短信平台的攻击大多以注册接口为目标,因为很多平台为了用户体验,放弃了图像验证码认证,导致注册短信存在被刷的漏洞。其他接口基本上都需要用户的登录、认证等权限,对攻击成本要求相对较高,一般的攻击者会放弃,而选择注册接口为主要攻击目标。
典型的短信攻击方式主要有两类:一类是纯人工方式,即攻击者手工触发垃圾短信,此类方式频率低、不可持续,危害较小,但由于攻击者完全模拟正常用户的操作行为,因此较难鉴别。另一类是自动方式,例如通过短信轰炸机之类的工具,或者黑客控制成千上万的肉鸡(傀儡机)同时触发垃圾短信,此类方式攻击频率高,且能长期持续,因此危害极大。
为了尽可能不牺牲平台的用户体验,又有效的防范攻击,应主要做到以下几方面的应对措施:
1. 图形验证码。认证对于同一个手机号,如果出现高频的注册,比如短时期内第二次注册时要求图形验证码认证。
2. 采用CD机制。对同一个手机号码发送短信的时间间隔做限制,能有效的防止瞬间被刷爆。比如间隔一分钟才能发送第二条短信。
3. 数量限制。对于同一个手机号码在一定时间内发送的短信数量进行限制。比如24小时内限制为20条短信。
4. IP限制。对于同一个IP在一定时间内发送短信的数量进行限制。比如同一个IP每天只能发送200条短信。
引入以上机制后,即可有效防止绝大多数的恶意短信攻击,但是也会带来一些新的问题,比如IP限制,可能会影响到企业用户的使用,一般的企业用户都使用内部WIFI,对外暴露的是同一个IP。这就要求系统能动态调整这个阈值,需要按照场景来控制以上的各种限制。比如某些业务短信频率很高,限制条件不能一竿子打死。特别是IP限制,需要增加白名单功能。因此可以对系统做进一步的优化:
1. IP黑名单、白名单。自动记录攻击者IP纳入黑名单,对于地推活动、企业推广的IP设为白名单,以免短信限制对产品推广造成影响。
2. 业务流程改进。将注册和短信验证分开,先注册成功后再进行短信验证。
3. 监控预警。根据恶意短信攻击的行为特征,在系统后台进行实时监控。一旦出现异常状况,第一时间向运维管理人员发出预警,以获得及时处理。
经过上述一系列的改进后,互联网金融平台将在恶意短信的防御能力上有显著提升。在不牺牲用户体验的前提下,能够有效的预防并控制恶意短信攻击。
