@LeonidPokrovskiy

Как бороться с ботами, которые тратят бюджет сайта?

У нас на сайте есть регистрация по номеру телефона. Юзер вводит телефон и ему звонит бот и он должен ввести последние 5 цифр входящего номера.

Угроза:

Я вот о чем подумал, ведь хакер может просто написать скрипт, который будет перебирать номера телефонов и заставлять наш сервер названивать на эти номера, тем самым тратить бюджет сайта. 1 звонок нам обходится в 10 копеек. При миллионе фейковых звонков ущерб будет 1 000 000 руб. Возможно все это деяние будет происходить не за день, а в течение недели - не знаю.

Какие варианты борьбы пришли мне в голову:

  1. Поставить капчу перед звонком. Боты ее не пройдут.
  2. После 3-х звонков начинать удваивать задержку на следующую попытку с этого IP


Какие еще есть способы борьбы с таким типом атак?
  • Вопрос задан
  • 154 просмотра
Решения вопроса 2
dollar
@dollar
Делай добро и бросай его в воду.
Пользователь должен отправить боту смс. За свой счёт, естественно.

Ещё можно, чтобы бот бросал трубку сразу, не дожидаясь ответа пользователя. Номер всё равно останется у пользователя в неотвеченных. А за попытку набрать номер деньги разве берут?
Ответ написан
kirillzver
@kirillzver
Web-разработчик.
В идеале комплексно подойти к решению проблемы - использовать оба варианта. Есть множество программ, те же CapMonster или XEvil, используя которые можно решать капчу, грубо говоря, без финансовых затрат для вредителя.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
@prishelec
Я ставил после 3-х звонков ограничение на 5 мин.
Но это так, простенько - просто клиенту нужно было без заморочек.
Можно сделать подтверждение звонка по email. Т.е. при переходе по ссылке, активируется заявка.
Ответ написан
Комментировать
alex-1917
@alex-1917
Если ответ помог, отметь решением
Скорее всего вы недостаточно тщательно изучили документацию смс-сервиса.
Я знаю как минимум 4 подобных конторы, у которых есть свой анти-хакер-модуль.
Если кратко, то этот ваш горе-хакер получит от ворот поворот уже на десятой попытке отправки номера, какой там миллион???
Ответ написан
Комментировать
@402d
начинал с бейсика на УКНЦ в 1988
Что-то тут мне кажется не так изначально.
Цель валидация номера клиента.
Ввёл номер. Ждём 5 цифр с какой был звонок.
Кажется хакеру нужно перебрать 99999 вариантов. А спул исходящих номеров может быть например всего из 3х.
В результате хакер легко регистрируется. А вы ещё можете взлететь на бабки из-за схемы которая не защищает
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы