揭秘黑产手段：如何有效防范打码平台的攻击

针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式，构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系，结合众多数据构建自己的安全风控系统才更为重要。

一）新型验证码

替换传统验证码，采用新型的验证码。传统的验证码已经很难去防止机器行为，因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断，而是基于人类固有的生物特征以及操作的环境信息综合决策，来判断是人类还是机器。

比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

当然这也并不代表此类验证码不能被绕过，今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路，具体可以参考[相关paper]

二）手机信誉库

针对短信打码平台，可以回归短信验证码的本质需求，即过滤互联网中低价值的用户。而由于手机号并非完全实名制，事实上获取一个手机号的成本并不高，所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高，但是对于大多数普通互联网用户并不频繁更换手机号，所以可以基于手机号对应的行为来建立基于手机的征信库，从而基于手机号的信誉实现筛选出高价值客户功能，而非单一的依赖用户是否拥有一个手机号。

三）风控体系

对于普通的网站而言，建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。

其中对于p2p金融类的网站而言，构建自己的安全风控系统尤为重要。金融类的较为敏感，对于用户的身份应当做强的安全校验，比如进行银行卡绑定的身份校验等。

四）其他

现在的手机已经需要进行实名认证，对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡，且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台，国家已经出台了相关政策，认定手机打码平台属于违法行为，因而这些手机打码平台也都转为地下。

作者：Ano_Tom@阿里安全，更多安全类文章，请访问阿里聚安全博客