一、盗刷释义
盗刷常见于验证码短信,指客户端短信接口被恶意访问调用,出现远远大于正常发送范围值的请求数量的异常情况,导致短信下发量激增、客户端成本大幅上涨。盗刷不仅会导致客户端费用异常增加,短时间内同样内容的大批量提交也有可能带来运营商侧的投诉和警告。
二、创蓝端盗刷防范
为帮助客户防范盗刷行为,创蓝国际短信进行了发送接口的升级更新。新的发送接口为签名和验签机制版本接口,通过以下方式,最大程度实现防篡改隐患:
- 短信发送接口增加签名,为客户账号分配appId和appSecret,appSecret用于对短信发送请求参数生成签名signature,国际短信发送接口接收到短信发送请求后,使用appSecret对请求参数生成一个签名,并与客户提交过来的签名作对比,如果发现签名不一致,则判定短信发送请求数据遭篡改,终止发送。
- 发送时限校验:根据timestamp参数与当前时间对比,不是5分钟内的发送,视为无效请求,终止
- 发送重复提交判断:客户端传入nonce(临时流水号)参数,不能与之前请求过相同,如相同,视为重复发送,终止发送。
目前验签版接口已更新到国际短信对接文档中供与新客户的对接使用。在发送短信的老客户建议同样对接我方国际短信验签版发送接口,降低盗刷风险。
三、客户端操作建议
除了发送接口外,建议客户在如下几个方面进行盗刷的防范:
(一)与创蓝对接合作时
- 在调用我方接口时,使用最新的https接口,保证数据传输的加密性:
-
接入前期,可提供主用的IP地址,由创蓝添加至IP白名单,避免异常IP调用;
-
正式开始发送前,明确目标发送国家地区,建议仅开通当前目标国家地区的发送能力。如有新增国家地区,再做开启,避免非目标发送国家地区的盗刷风险;
-
由于盗刷常见于验证码短信,客户可根据当前业务量预估大概的短信使用量并同步我方相关人员,进行账号消耗限制的配置(日消耗上限,日发送上限及月发送上限),避免盗刷可能产生的额外消耗;
(二)客户端的安全加固建议(APP/H5/小程序等)
- 发短信发送请求前增加行为验证校验机制,如图形验证码等;
- APP端可对应用进行安全加固,采用混淆编译,防止被反编译,提高APP应用的安全保护;
- 服务测防护:如记录C端用户IP等,同时建议客户在系统内增加用户的IP白名单机制、对用户进行IP风险行为特征收集并做针对性防控等;
没有更多了
