Cómo detener un ataque de verificación móvil

8

Estoy pensando en utilizar la verificación del número de teléfono móvil para el paso de registro en mi aplicación web, pero ¿cómo puedo evitar que un pirata informático o un usuario malintencionado envíe solicitudes de verificación de teléfonos móviles a un número ilimitado de teléfonos? Causaría daños de varias maneras. Consumiría mi paquete de SMS, lo que me costaría dinero y además evitaría el registro de usuarios legítimos. También causaría inconvenientes a quienes recibirían estos mensajes de texto.

Pensé en el bloqueo de IP, pero creo que eso no detendría un ataque distribuido y bloquearía a los usuarios legítimos de esa IP. Pensé en usar un CAPTCHA, pero eso no es muy conveniente para los usuarios móviles y aunque ralentizará el ataque en una proporción, no será suficiente para evitarlo por completo.

¿Cómo tratan esto los sitios web como Facebook, Google, Microsoft, etc.?

    
pregunta John L. 23.07.2016 - 06:18
fuente

3 respuestas

1

Algo que podría considerar es un período de recuperación para una IP después de que solicitó la verificación de SMS. Esto no resolvería un ataque distribuido como se indica en la pregunta, pero limitaría en gran medida el efecto de un ataque de origen único. La efectividad de un ataque distribuido también se reduciría en cierta medida.

Aunque esta podría no ser la mejor solución para su problema, es algo que debe considerarse como una capa adicional de su seguridad.

    
respondido por el stuffy 21.09.2016 - 20:33
fuente
0

Los grandes sitios web tratan esto por volumen. Tienen paquetes de SMS grandes, básicamente "SMS ilimitados", por lo que incluso miles de SMS maliciosos no los "morderán".

Para sitios más pequeños, generalmente es mejor tener un sistema de solicitud-respuesta. Hay 2 cosas que puedes hacer:

O bien, tiene un número de SMS premium y cobra la tarifa equivalente que tiene el costo de enviar el SMS; 5 centavos por ejemplo. Normalmente, con las tarifas de los operadores y todo lo agregado, se obtendrá una tarifa final para el usuario final de 0,1 $ por SMS. Esta es la solución más segura, ya que el usuario que se registra debe enviar un SMS desde su teléfono a su servicio para recibir un código de "registro" o de autenticación de una sola vez, y luego la solución será básicamente gratuita para usted (a excepción del cuota mensual).

La otra solución es utilizar SMS con carga inversa. Esto significa que usa un paquete que le permite enviar SMS "con carga inversa", como el receptor paga por el SMS. Por lo general, esto significa que el operador del cliente cobrará el SMS en su tarifa, por lo tanto, la tarifa pagada por el cliente variará según el operador que el cliente utilice. El problema con esto es que algunas tarjetas prepagas no permiten el ingreso de SMS con carga inversa (ya que esto puede hacer que la tarjeta se vuelva negativa). El segundo problema es que si el servicio se usa de manera maliciosa, los usuarios recibirán un cargo por los SMS que no solicitaron, por lo que debe limitarlo en consecuencia, como 1 SMS por 7 días y número de teléfono.

La adición de Google recaptcha evitará las solicitudes automatizadas y también funciona en dispositivos móviles, pero no evitará las solicitudes maliciosas manuales.

    
respondido por el sebastian nielsen 23.07.2016 - 12:25
fuente
0

Si es posible, entrégueles el código en su aplicación web y pídales que le envíen un mensaje de texto en lugar de hacerlo al revés.

    
respondido por el Briandotcom0 20.04.2017 - 03:00
fuente

Lea otras preguntas en las etiquetas