Come fermare un attacco di verifica mobile

8

Sto pensando di utilizzare la verifica del numero di cellulare per il passaggio di registrazione nella mia applicazione web, ma come faccio a impedire a un hacker oa un utente malintenzionato di inviare richieste di verifica mobile a un numero illimitato di telefoni? Provocherebbe danni in diversi modi. Avrebbe consumato il mio pacchetto SMS, quindi mi costava denaro e impediva la registrazione di utenti legittimi. Potrebbe anche causare disagi a coloro che riceverebbero questi messaggi di testo.

Ho pensato al blocco IP, ma penso che non fermerebbe un attacco distribuito e bloccherebbe gli utenti legittimi da quell'IP. Ho pensato di usare un CAPTCHA, ma non è molto comodo per gli utenti mobili e anche se rallenterà l'attacco di un rapporto, non sarà sufficiente per impedirlo completamente.

In che modo siti come Facebook, Google, Microsoft, ecc. si occupano di questo?

    
posta John L. 23.07.2016 - 06:18
fonte

3 risposte

1

Qualcosa che potresti considerare è un periodo di defaticamento per un IP dopo aver richiesto la verifica SMS. Ciò non risolverebbe un attacco distribuito come indicato nella domanda, ma limiterebbe in larga misura l'effetto di un singolo attacco di origine. L'efficacia di un attacco distribuito sarebbe anche ridotta in una certa misura.

Anche se questa potrebbe non essere la soluzione migliore o definitiva per il tuo problema, è qualcosa da considerare come un ulteriore livello di sicurezza.

    
risposta data 21.09.2016 - 20:33
fonte
0

I grandi siti web trattano questo per volume. Hanno pacchetti SMS di grandi dimensioni, in pratica "SMS illimitati", quindi anche un migliaio di SMS dannosi non "mordono" su di loro.

Per i siti più piccoli, di solito è meglio avere un sistema di richiesta-risposta. Ci sono 2 cose che puoi fare:

O possiedi un numero SMS premium e addebita il costo equivalente per l'invio degli SMS; 5 centesimi per esempio. Normalmente con le tariffe dell'operatore e tutto sommato, si tradurrà in una tassa finale per l'utente finale di 0,1 $ come SMS. Questa è la soluzione più sicura, poiché l'utente che effettua la registrazione deve inviare un SMS dal suo telefono al servizio per ricevere un codice di "registrazione" una tantum o un codice di autenticazione, quindi la soluzione diventerà fondamentalmente gratuita per te (eccetto per il canone mensile).

L'altra soluzione è utilizzare gli SMS con addebito inverso. Ciò significa che si utilizza un pacchetto che consente di inviare SMS "con addebito inverso" come il destinatario paga per l'SMS. Questo di solito significa che l'operatore del cliente addebiterà gli SMS nella loro commissione, quindi la commissione pagata dal cliente varierà con l'utilizzo del cliente da parte dell'operatore. Il problema è che alcune carte prepagate non consentono affatto agli SMS con addebito inverso (in questo modo la carta potrebbe diventare negativa). Il secondo problema è che se il servizio viene utilizzato maliziosamente, gli utenti verranno accusati degli SMS che non hanno richiesto, quindi limitati di conseguenza, come 1 SMS ogni 7 giorni e il numero di telefono.

L'aggiunta di Google recaptcha impedirà le richieste automatizzate e funzionerà anche su dispositivi mobili, ma non impedirà le richieste dannose manuali.

    
risposta data 23.07.2016 - 12:25
fonte
0

Se è una possibilità, dai loro il codice sulla tua webapp e chiedi loro di mandare un SMS a te invece del contrario.

    
risposta data 20.04.2017 - 03:00
fonte

Leggi altre domande sui tag