@vacoo

Как защитится от растраты денег злоумышленником при смс авторизации?

Хочу сделать авторизацию через смс для своего сервиса. Но есть такая ситуация что конкуренты растрачивают все деньги рассылая направо налево смс с кодом. И обычные пользователи не могут зарегистрироваться. по IP блокировать не могу ибо в моем городе все подключены к одному провайдеру где количество IP ограничено. Какие есть способы защитится от этого?
  • Вопрос задан
  • 102 просмотра
Пригласить эксперта
Ответы на вопрос 2
Jump
@Jump
Системный администратор со стажем.
Как защитится от растраты денег злоумышленником при смс авторизации?

Элементарно.
Перед авторизацией проводить аутентификацию, в результате СМС будет рассылаться только зарегистрированным пользователям.

Зарегистрированный пользователь проходит аутентификацию например с помощью логина и пароля, и в случае успеха дополнительно по SMS.

Так же можно анализировать рассылки SMS - ставить таймауты при большом количестве запросов. Но это легко обходится либо создает проблемы обычным пользователям.

Судя по всему большинство ваших пользователей живут в вашем городе - ставьте таймаут побольше для тех кто приходит из других регионов - разные прокси, VPN и ноды тора.
Ответ написан
Комментировать
Protos
@Protos
Начинаю изучать мир, пока это все.
Единственно что вы можете ограничить, это запрет отправки смс на номер уже зарегистрированного аккаунта, делать задержки. Но каждая попытка злоумышленника войти под существующем номераом будет слать смс владельцу аккаунта и очень скоро это не вас, а пользователей начнет беспокоить. Подключите ЕСИА. Соответственно ботнет за 10$ или простой burp suit вам доставить очень много проблем из-за поделки пакетов, либо множественной регистрации и последующей отправки смс от ботов. Если конечно кто-то вами заинтересуется. А так начните с сайта:
https://www.owasp.org/index.php/Authentication_Che...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы