这是一个创建于 2336 天前的主题,其中的信息可能已经有所发展或是发生改变。
问题 1:刚上线了一个 APP,注册是直接在登录界面输入手机号,获取短信验证码就可以进入系统,这两天突然发现有恶意的批量注册,查看日志,半小时就有几千条注册信息,阿里云上的短信费用一下就被花完了 问题 2:由于 APP 里有官方发的奖励可以领,用户之间也可以聊天发红包,这些恶意注册进去的帐号领了奖励再发红包到同一个号来提现,造成了上千的损失
现在使用的是阿里云的 ECS,开了安骑士和 ssl,这几天大概网上查了一下,有的说加滑块或点选的验证码,有的说改成语音验证码
请教大神们,该怎样防护这种情况?急求
 |
1
onsale 2017-11-23 13:49:14 +08:00 via Android
修改红包策略
羊毛党利润率低了自然就撤了 |
 |
2
R18 2017-11-23 13:50:28 +08:00
系统红包不能提现,转发
|
 |
3
moult 2017-11-23 13:52:23 +08:00 via iPhone
A 支付宝被 A 用户提现之后,不能被 B 用户提现。或者注册手机号要和支付宝账号是同一个。
|
|
4
moult 2017-11-23 13:55:25 +08:00 via iPhone
验证码很难防羊毛党,如果红包金额不小的话,大不了一个个手动操作。
|
 |
5
opengps 2017-11-23 14:00:03 +08:00
逻辑错误,跟 ECS,安骑士,ssl 没有直接关系
你这是被薅羊毛了,得增加体现条件,比如实名制,福利满多少天之后才能提现转账 |
 |
6
qq7171891 2017-11-23 14:00:54 +08:00
这么说一开始连验证码都没有??!
先上滑块验证码吧,其他的再说。 |
 |
7
anheiyouxia 2017-11-23 14:03:15 +08:00
同意 5 楼,明显楼主想错了,修改条款,修改提现时间,条款增加恶意注册直接封号等处理,这样后期筛选恶意用户出来不是更好
|
 |
8
yulitian888 2017-11-23 14:06:37 +08:00  1
刷红包才是根本,验证码只是细节
把红包规则改掉呗,提现出口卡住羊毛党,是一开始就必须考虑的事 |
 |
9
ye10010 2017-11-23 14:07:59 +08:00
不是有识别羊毛党的服务吗?可以接入试试
网易易盾,同盾科技都有 |
 |
10
oott123 2017-11-23 14:09:57 +08:00
1. 任何涉及短信发送这种调用第三方 API 或者付费等等成本高昂的地方,至少需要加图形验证码,这是为了防止你的短信的钱被刷光,或者拿去当垃圾短信炸弹
2. 羊毛党并不 care 你的图形验证码,毕竟打码也很便宜,所以福利需要增加门槛,比如提现只能提现到注册的手机号同名支付宝上,需要增加人工审核,审核的时候查看一下资金来路避免损失,必要的时候增加实名认证 所以将心比心,有时候运营活动门槛高,收集你一堆信息,不顾隐私啥的,也是环境使然…… |
 |
11
Felldeadbird 2017-11-23 14:32:48 +08:00
1.验证码,
2.限制注册 IP。 3.激活机制。 4.红包策略修改。 ……尽量提升注册以及变现成本。羊毛党就不来了。 |
 |
12
scofieldpeng 2017-11-23 15:29:55 +08:00
楼上说的很多了,首先为了防止盗刷你的短信,加上验证码,能防住一波,然后每个手机号时间段内最大短信发送数量,为了防止被撸羊毛,修改红包策略和撸羊毛成本
|
 |
13
learnshare 2017-11-23 15:38:35 +08:00
这是策略不安全,跟服务器安全机制有半分钱关系?
1. 发送短信增加验证码等策略,提高非手动操作的难度; 2. 检测重复设备、IP 等信息,一机一号一账户; 3. 活动后审核恶意刷量的账号,不合格的不给钱。 如同楼上讲的,薅羊毛的门槛提上来,就很少有人薅了 |
 |
14
xudaolong 2017-11-23 15:41:38 +08:00
微信验证码.
|
 |
15
Nitromethane 2017-11-23 15:45:18 +08:00
技术上解决不好解决的问题,就从业务上来啊,比如说连续 7 天试用什么的
|
 |
16
qfdk 2017-11-23 15:49:16 +08:00 via iPhone
好机智的羊毛 目测都是同行
|
 |
17
pynix 2017-11-23 16:00:55 +08:00
有可能验证码逻辑有漏洞被钻了空子。。。。
|
 |
18
oonnnoo 2017-11-23 16:53:04 +08:00
学支付宝,用户发的红包提现,收手续费
|
 |
19
owenliang 2017-11-23 17:00:00 +08:00
验证码应该很有效的降低数量级,毕竟薅小羊毛的人技术也比较弱鸡一些。
|
 |
21
1cming 2017-11-23 17:27:05 +08:00
短信这里要做好安全壳子保护好,比如针对同一个 IP 单位时间内限制他可以发送的次数,或者针对你埋的值去做 token 校验失效后直接不允许发送,简单粗暴的加验证码也是可以的。还有就是针对同一 IP 限制注册量、校验是否是同一密码注册等等。
|
 |
22
lunatic5 2017-11-23 17:27:19 +08:00
建议还是改优惠策略,这是从根本上杜绝。另外,改之前说下 app 名字?我也去研究研究
|
 |
23
mydns 2017-11-23 17:29:23 +08:00
验证码
|
 |
24
dorothyREN 2017-11-23 22:18:36 +08:00
ip 限制,号码限制,设备识别号限制,可以的话再加个定位。
|
 |
25
realpg 2017-11-25 00:18:31 +08:00
你需要专业反薅羊毛顾问解决你的业务流程设计
|
Select Language