1.验证码防盗刷

为了保障您的账户安全，国阳云短信平台针对防盗刷情况有监控机制，如果发现您的发送量异常，可能存在盗刷行为，会自动发送告警通知给用户，希望您在收到短信后加强安全管控。

▶ 验证码攻击

验证码攻击：利⽤⽤户产品验证码获取的接⼝，通过程序的⽅式批量对单个或者多个号码进⾏验证码请求提交，⽤户验证码被刷后直接带来的是经济损失，同时对被攻击的号码带来了巨⼤的骚扰。

▶ 常见被攻击的状况

• 获取验证码的网站页面，没有做防止非法获取验证码的措施，比如最简单的图形校验码。（常见于网站上获取验证码）

  建议： 点击获取验证码之前做一个校验，比如需要正确输入图形验证码、拖动验证等。

• 发送短信的接口暴露，且没有做加密措施，遭受恶意调用。（此类常见于APP侧获取验证码）

  建议：在短信接口做一些加密措施（例如加入图形验证等方式），防止非法调用。

• 如出现被恶意攻击或者盗刷的情况，建议暂停调用短信接口，并完善您网站或接口的防御措施。

  建议：碰到攻击，首先要确认攻击来源，判断是哪个注册入口遭到攻击。

  √ 增加图形校验码。使用成熟的图形验证产品。
  √ IP地址限制。在服务器端增加对单ip请求的验证码数量进行限制。
  √ 手机号码限制。客户在服务器端对单手机号请求的验证码数量进行限制。

2.短信防轰炸

短信轰炸指在短时间内通过恶意程序，批量、循环给一批手机号码无限发送各种无效短信的行为，导致接收短信的手机用户被骚扰，给业务方造成品牌及业务不良影响。

您可以通过以下方式预防短信轰炸：

• 设置有效业务流控,以下为短信服务业务流控:

  • 短信验证码：使用同一个签名，对同一个手机号码发送短信验证码，支持1条/分钟，5条/小时，10条/天。一个手机号码通过国阳云短信服务平台只能收到40条/天。

  • 短信通知：使用同一个签名和同一个短信模板ID，对同一个手机号码发送短信通知，支持50条/日

• 加上图形验证码：加上图形验证码可有效防止恶意工具的自动化调用，即当用户进行“动态验证码短信发送”操作前，弹出图形验证码，要求用户输入验证码后，服务器端再发送动态短信到用户手机上，该方法可有效解决被利用实施短信轰炸攻击的问题。

• 对验证码获取做限制：一般限制在60秒以内，超出60秒验证码作废，重新获取。

• 对验证码输入做时间限制：一般限制在30秒以内，超出30秒没有输入的验证码作废，重新获取。