Как бороться с ботами, которые тратят бюджет сайта?

Question

[LeonidPokrovskiy]

У нас на сайте есть регистрация по номеру телефона. Юзер вводит телефон и ему звонит бот и он должен ввести последние 5 цифр входящего номера.

Угроза:

Я вот о чем подумал, ведь хакер может просто написать скрипт, который будет перебирать номера телефонов и заставлять наш сервер названивать на эти номера, тем самым тратить бюджет сайта. 1 звонок нам обходится в 10 копеек. При миллионе фейковых звонков ущерб будет 1 000 000 руб. Возможно все это деяние будет происходить не за день, а в течение недели - не знаю.

Какие варианты борьбы пришли мне в голову:

1. Поставить капчу перед звонком. Боты ее не пройдут.
   
2. После 3-х звонков начинать удваивать задержку на следующую попытку с этого IP
   

Какие еще есть способы борьбы с таким типом атак?

Comments

[alex-1917]

включите лимиты и мониторьте

Answer 1

[dollar]

Пользователь должен отправить боту смс. За свой счёт, естественно.

Ещё можно, чтобы бот бросал трубку сразу, не дожидаясь ответа пользователя. Номер всё равно останется у пользователя в неотвеченных. А за попытку набрать номер деньги разве берут?

Comments

[LeonidPokrovskiy]

Мы используем API другого сервиса, чтобы тот звонил нашим юзерам. То есть 10 копеек - это комиссия сервиса, который предоставил нам API. Звонки в 15 раз дешевле смс, а то и более - в зависимости от страны абонента.

Вариант, где юзер сам пишет боту неплохой, но крайне неудобный для юзеров. Юзеры сразу разбегутся после такой задачи - слишком сложно.

[dollar]

Ну тогда действительно капча. Вообще дальше начинается война пули и брони, и там нет победителей. Точнее, победитель тот, у кого больше денег и времени на борьбу.

Answer 2

[Кирилл Зверь]

В идеале комплексно подойти к решению проблемы - использовать оба варианта. Есть множество программ, те же CapMonster или XEvil, используя которые можно решать капчу, грубо говоря, без финансовых затрат для вредителя.

Answer 3

[prishelec]

Я ставил после 3-х звонков ограничение на 5 мин.
Но это так, простенько - просто клиенту нужно было без заморочек.
Можно сделать подтверждение звонка по email. Т.е. при переходе по ссылке, активируется заявка.

Answer 4

[alex-1917]

Скорее всего вы недостаточно тщательно изучили документацию смс-сервиса.
Я знаю как минимум 4 подобных конторы, у которых есть свой анти-хакер-модуль.
Если кратко, то этот ваш горе-хакер получит от ворот поворот уже на десятой попытке отправки номера, какой там миллион???

Answer 5

[Олег]

Что-то тут мне кажется не так изначально.
Цель валидация номера клиента.
Ввёл номер. Ждём 5 цифр с какой был звонок.
Кажется хакеру нужно перебрать 99999 вариантов. А спул исходящих номеров может быть например всего из 3х.
В результате хакер легко регистрируется. А вы ещё можете взлететь на бабки из-за схемы которая не защищает