Как защитится от растраты денег злоумышленником при смс авторизации?

Question

vacoo @vacoo

Как защитится от растраты денег злоумышленником при смс авторизации?

Хочу сделать авторизацию через смс для своего сервиса. Но есть такая ситуация что конкуренты растрачивают все деньги рассылая направо налево смс с кодом. И обычные пользователи не могут зарегистрироваться. по IP блокировать не могу ибо в моем городе все подключены к одному провайдеру где количество IP ограничено. Какие есть способы защитится от этого?

Вопрос задан более трёх лет назад
115 просмотров

7 комментариев

Подписаться 1 Простой 7 комментариев

Moskus @Moskus

Можно прекратить заниматься ерундой и не делать авторизацию по SMS. Вариантов авторизации - множество.

Написано более трёх лет назад
dollar @dollar

Сделайте авторизацию через email для всех.

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

Moskus, +. Да можно но SMS самый понятный и быстрый вид авторизации. Как раз для Бабушек и Дедушек

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

dollar, у моих пользователей не у всех на руках email. У Бабушки или Дедушки вряд ли есть email

Написано более трёх лет назад
Moskus @Moskus

vacoo, вы случайно пожилым гражданам, которые ничерта не понимают в технике, какую-нибудь хрень сами не продаете (откуда бы у вас тогда еще и столь нечестные конкуренты)?

Написано более трёх лет назад
vacoo @vacoo Автор вопроса

Moskus, нее)) это сервис для обычных обывателей. Просто среди них Бабушек много

Написано более трёх лет назад
АртемЪ @Jump

vacoo, Ну вам же все равно у этих бабушек нужно сначала спросить разрешение отправлять им СМС.
Каким образом вы это делаете?

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JavaScript

+1 ещё

Простой
Может ли злоумышленник вставить в ссылку js код?
- 2 подписчика
- 01 дек.
- 1776 просмотров
3

ответа
WordPress

+2 ещё

Простой
Как сразу на чистую установку Wordpress попадает вредоносный код?
- 1 подписчик
- 30 нояб.
- 265 просмотров
1

ответ
Linux

+2 ещё

Средний
Как настроить авторизацию через PAM несколькими способами?
- 3 подписчика
- 27 нояб.
- 354 просмотра
2

ответа
Вредоносное ПО

+1 ещё

Средний
Cheat Engine устанавливает рекламные вирусы? Насколько безопасна эта программа?
- 1 подписчик
- 24 нояб.
- 179 просмотров
1

ответ
Wi-Fi

+1 ещё

Простой
Как WI-FI роутеры противодействуют атакам типа BrutForce или Dictionary Attack?
- 1 подписчик
- 14 нояб.
- 268 просмотров
3

ответа
VPN

+1 ещё

Простой
Как войти в личный кабинет МосОблЕирц из за границы?
- 1 подписчик
- 08 нояб.
- 384 просмотра
1

ответ
Telegram

+1 ещё

Средний
Как получить Auth Key для работы с Telegram API из tdata в NodeJS?
- 1 подписчик
- 31 окт.
- 253 просмотра
0

ответов
Автоматизация

+2 ещё

Средний
Как настроить или в каком направлении почитать, что бы настроить бесшовную аутентификацию через Keycloak?
- 4 подписчика
- 17 окт.
- 661 просмотр
0

ответов
Веб-разработка

+2 ещё

Средний
Какие параматры устройства отслеживает сайт для идентификации пользователя?
- 1 подписчик
- 17 окт.
- 487 просмотров
2

ответа
Spring

+2 ещё

Простой
Как реализовать вход через Steam?
- 1 подписчик
- 18 сент.
- 180 просмотров
1

ответ
Показать ещё Загружается…

Инженер технической поддержки пользователей

Гринатом • Нижний Новгород

от 65 000 ₽

Монтажник интернет-сетей (инсталлятор)

beeline • Москва

До 168 000 ₽

3D-моделлер Архитектуры GameDev

Wanted. • Москва

До 200 000 ₽

Модификация механизма поиска знаний на страницах портала

26 дек. 2024, в 17:00

1000 руб./за проект

Разработать ветки диалогов по ТЗ на Nutgram (строго)

26 дек. 2024, в 16:58

1500 руб./в час

Написать простую игру под Play Market

26 дек. 2024, в 16:23

30000 руб./за проект

Можно прекратить заниматься ерундой и не делать авторизацию по SMS. Вариантов авторизации - множество.
Сделайте авторизацию через email для всех.
Moskus, +. Да можно но SMS самый понятный и быстрый вид авторизации. Как раз для Бабушек и Дедушек
dollar, у моих пользователей не у всех на руках email. У Бабушки или Дедушки вряд ли есть email
vacoo, вы случайно пожилым гражданам, которые ничерта не понимают в технике, какую-нибудь хрень сами не продаете (откуда бы у вас тогда еще и столь нечестные конкуренты)?
Moskus, нее)) это сервис для обычных обывателей. Просто среди них Бабушек много
vacoo, Ну вам же все равно у этих бабушек нужно сначала спросить разрешение отправлять им СМС.
Каким образом вы это делаете?

Answer 1 · 2018-09-02 14:21:27

Как защитится от растраты денег злоумышленником при смс авторизации?

Элементарно.
Перед авторизацией проводить аутентификацию, в результате СМС будет рассылаться только зарегистрированным пользователям.

Зарегистрированный пользователь проходит аутентификацию например с помощью логина и пароля, и в случае успеха дополнительно по SMS.

Так же можно анализировать рассылки SMS - ставить таймауты при большом количестве запросов. Но это легко обходится либо создает проблемы обычным пользователям.

Судя по всему большинство ваших пользователей живут в вашем городе - ставьте таймаут побольше для тех кто приходит из других регионов - разные прокси, VPN и ноды тора.

Answer 2 · 2018-09-03 03:31:45

Единственно что вы можете ограничить, это запрет отправки смс на номер уже зарегистрированного аккаунта, делать задержки. Но каждая попытка злоумышленника войти под существующем номераом будет слать смс владельцу аккаунта и очень скоро это не вас, а пользователей начнет беспокоить. Подключите ЕСИА. Соответственно ботнет за 10$ или простой burp suit вам доставить очень много проблем из-за поделки пакетов, либо множественной регистрации и последующей отправки смс от ботов. Если конечно кто-то вами заинтересуется. А так начните с сайта:
https://www.owasp.org/index.php/Authentication_Che...

Как защитится от растраты денег злоумышленником при смс авторизации?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт