揭秘黑产手段:如何有效防范打码平台的攻击
针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式,构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系,结合众多数据构建自己的安全风控系统才更为重要。
一)新型验证码
替换传统验证码,采用新型的验证码。传统的验证码已经很难去防止机器行为,因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。
比如Google的reCaptcha
以及阿里巴巴的NoCaptcha
当然这也并不代表此类验证码不能被绕过,今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路,具体可以参考[相关paper]
二)手机信誉库
针对短信打码平台,可以回归短信验证码的本质需求,即过滤互联网中低价值的用户。而由于手机号并非完全实名制,事实上获取一个手机号的成本并不高,所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高,但是对于大多数普通互联网用户并不频繁更换手机号,所以可以基于手机号对应的行为来建立基于手机的征信库,从而基于手机号的信誉实现筛选出高价值客户功能,而非单一的依赖用户是否拥有一个手机号。
三)风控体系
对于普通的网站而言,建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。
其中对于p2p金融类的网站而言,构建自己的安全风控系统尤为重要。金融类的较为敏感,对于用户的身份应当做强的安全校验,比如进行银行卡绑定的身份校验等。
四)其他
现在的手机已经需要进行实名认证,对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡,且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台,国家已经出台了相关政策,认定手机打码平台属于违法行为,因而这些手机打码平台也都转为地下。
作者:Ano_Tom@阿里安全,更多安全类文章,请访问阿里聚安全博客
推荐阅读
-
金融科技的高效省力秘籍:打造全面连接、全景覆盖、智能化的数字化运营体系" - 当下金融科技运营:挑战与机遇共存的时代解读 在快速发展的数字技术和企业数字化转型的大背景下,中国金融科技产业步入了提质增效的新阶段。面对市场的起伏变革与不确定性,金融机构需积极拥抱创新,灵活运用新技术,确保在竞争激烈的市场环境中稳固立足。 - 面临的双重考验: 1. 技术迭代压力:持续跟进行业内的科技革新,掌握新兴工具和平台,时刻应对瞬息万变的市场需求是金融科技运营的一大挑战。 2. 安全与隐私挑战:伴随着网络安全风险加剧和数据泄漏频发,如何强化信息安全体系、防范攻击、维护客户资金及隐私安全显得尤为重要。同时,伴随金融科技公司崛起,个人隐私权保障愈发关键。 - 喜人的发展空间: 1. 提升运营效益与降低成本:借助数字化技术,实现流程自动化、信息整合以及数据分析等,有效提升工作效能并缩减运营成本。 2. 扩大市场份额与增收途径:利用数字化手段拓宽销售渠道,优化用户体验,吸引更多用户并带动收入增长。 3. 加强客户联系与提升满意度:通过数字化科技运营,企业能更好地与客户互动沟通,增强客户信任感与忠诚度。 - 构建金融科技降本增效的核心驱动力:实施“全感知、全链接、全场景、智能”的科技运营体系升级路径
-
揭秘黑产手段:如何有效防范打码平台的攻击
-
揭秘黑产世界:打码平台背后的故事
-
揭秘黑产世界:打码平台的内部运作