恶意刷短信验证码的防护方法

平时我们的手机经常会收到一些验证码，这也是互联网防护新做出的一种保护措施，增加用户帐号的安全性，减少恶意注册、烂数据。可是却也因其获取便利、限制较少而让一些别有企图的人所利用，进行短信轰炸，恶意刷取网站的短信验证码，从而造成企业的金钱损失，增加麻烦。所以企业在产品实际设计过程中一定要做好防护工作，对短信验证码进行限制。

一般出现恶意刷短信验证码的行为大多都是出于下面几个目的：

一、为了攻击手机号

这一类的攻击目的是针对目标手机号。攻击者通过多个网站的短信接口，对想要攻击的手机号用户进行批量短信发送，进行轰炸，用户的手机会不断的收到没有防护的后台网站短信验证码，从而达到频繁攻击手机号的目的。

二、为了刷取目标网站短信费

在借助上一种攻击的基础上，在一个网站不断的更换短信接口的各类数据参数如手机号、IP等，这样不断的向后台发送验证码请求，从而达到刷取目标网站短信费用的目的。而这样的技术行为，后台原本的防护根本无法进行正确的识别，所以在进行建造网站时要注意加强技术服务，并后期要进行定期维护，避免这类攻击。

应对恶意刷短信验证码的行为网站可以采取一些防护措施：

一、增加图片验证码

为了减少这类事情的发生，在发送短信前，技术人员可以增加一个图片信息验证程序。因为一般攻击者都是用的自动化进攻，如果提前增加图文验证后，则无法采用自动化攻击，需要更强的技术才能破解，因而也增加了安全度。

二、限制手机号接收信息次数

对于同一个IP的手机，同一时间段，可以设置接收短信消息的数量，防止一个手机号一直不断的刷短信，一般后台限制10次就差不多了，而且同一个号码再次发送验证码请求接收的时间至少要等一分钟左右，这样做基本可以避免短信验证码被有心之人恶意刷取，做好基础防护。