V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ykmoon
V2EX  ›  程序员

请教防止恶意注册的方法?

  •  
  •   ykmoon · 2017-11-23 13:45:42 +08:00 · 4930 次点击
    这是一个创建于 2561 天前的主题,其中的信息可能已经有所发展或是发生改变。

    问题 1:刚上线了一个 APP,注册是直接在登录界面输入手机号,获取短信验证码就可以进入系统,这两天突然发现有恶意的批量注册,查看日志,半小时就有几千条注册信息,阿里云上的短信费用一下就被花完了 问题 2:由于 APP 里有官方发的奖励可以领,用户之间也可以聊天发红包,这些恶意注册进去的帐号领了奖励再发红包到同一个号来提现,造成了上千的损失

    现在使用的是阿里云的 ECS,开了安骑士和 ssl,这几天大概网上查了一下,有的说加滑块或点选的验证码,有的说改成语音验证码

    请教大神们,该怎样防护这种情况?急求

    25 条回复    2017-11-25 00:18:31 +08:00
    onsale
        1
    onsale  
       2017-11-23 13:49:14 +08:00 via Android
    修改红包策略
    羊毛党利润率低了自然就撤了
    R18
        2
    R18  
       2017-11-23 13:50:28 +08:00
    系统红包不能提现,转发
    moult
        3
    moult  
       2017-11-23 13:52:23 +08:00 via iPhone
    A 支付宝被 A 用户提现之后,不能被 B 用户提现。或者注册手机号要和支付宝账号是同一个。
    moult
        4
    moult  
       2017-11-23 13:55:25 +08:00 via iPhone
    验证码很难防羊毛党,如果红包金额不小的话,大不了一个个手动操作。
    opengps
        5
    opengps  
       2017-11-23 14:00:03 +08:00
    逻辑错误,跟 ECS,安骑士,ssl 没有直接关系
    你这是被薅羊毛了,得增加体现条件,比如实名制,福利满多少天之后才能提现转账
    qq7171891
        6
    qq7171891  
       2017-11-23 14:00:54 +08:00
    这么说一开始连验证码都没有??!
    先上滑块验证码吧,其他的再说。
    anheiyouxia
        7
    anheiyouxia  
       2017-11-23 14:03:15 +08:00
    同意 5 楼,明显楼主想错了,修改条款,修改提现时间,条款增加恶意注册直接封号等处理,这样后期筛选恶意用户出来不是更好
    yulitian888
        8
    yulitian888  
       2017-11-23 14:06:37 +08:00   ❤️ 1
    刷红包才是根本,验证码只是细节
    把红包规则改掉呗,提现出口卡住羊毛党,是一开始就必须考虑的事
    ye10010
        9
    ye10010  
       2017-11-23 14:07:59 +08:00
    不是有识别羊毛党的服务吗?可以接入试试
    网易易盾,同盾科技都有
    oott123
        10
    oott123  
       2017-11-23 14:09:57 +08:00
    1. 任何涉及短信发送这种调用第三方 API 或者付费等等成本高昂的地方,至少需要加图形验证码,这是为了防止你的短信的钱被刷光,或者拿去当垃圾短信炸弹
    2. 羊毛党并不 care 你的图形验证码,毕竟打码也很便宜,所以福利需要增加门槛,比如提现只能提现到注册的手机号同名支付宝上,需要增加人工审核,审核的时候查看一下资金来路避免损失,必要的时候增加实名认证

    所以将心比心,有时候运营活动门槛高,收集你一堆信息,不顾隐私啥的,也是环境使然……
    Felldeadbird
        11
    Felldeadbird  
       2017-11-23 14:32:48 +08:00
    1.验证码,
    2.限制注册 IP。
    3.激活机制。
    4.红包策略修改。
    ……尽量提升注册以及变现成本。羊毛党就不来了。
    scofieldpeng
        12
    scofieldpeng  
       2017-11-23 15:29:55 +08:00
    楼上说的很多了,首先为了防止盗刷你的短信,加上验证码,能防住一波,然后每个手机号时间段内最大短信发送数量,为了防止被撸羊毛,修改红包策略和撸羊毛成本
    learnshare
        13
    learnshare  
       2017-11-23 15:38:35 +08:00
    这是策略不安全,跟服务器安全机制有半分钱关系?
    1. 发送短信增加验证码等策略,提高非手动操作的难度;
    2. 检测重复设备、IP 等信息,一机一号一账户;
    3. 活动后审核恶意刷量的账号,不合格的不给钱。

    如同楼上讲的,薅羊毛的门槛提上来,就很少有人薅了
    xudaolong
        14
    xudaolong  
       2017-11-23 15:41:38 +08:00
    微信验证码.
    Nitromethane
        15
    Nitromethane  
       2017-11-23 15:45:18 +08:00
    技术上解决不好解决的问题,就从业务上来啊,比如说连续 7 天试用什么的
    qfdk
        16
    qfdk  
       2017-11-23 15:49:16 +08:00 via iPhone
    好机智的羊毛 目测都是同行
    pynix
        17
    pynix  
       2017-11-23 16:00:55 +08:00
    有可能验证码逻辑有漏洞被钻了空子。。。。
    oonnnoo
        18
    oonnnoo  
       2017-11-23 16:53:04 +08:00
    学支付宝,用户发的红包提现,收手续费
    owenliang
        19
    owenliang  
       2017-11-23 17:00:00 +08:00
    验证码应该很有效的降低数量级,毕竟薅小羊毛的人技术也比较弱鸡一些。
    gamexg
        20
    gamexg  
       2017-11-23 17:22:50 +08:00
    @owenliang #19 对接打码平台没什么技术难度,主要是利润够不够。
    1cming
        21
    1cming  
       2017-11-23 17:27:05 +08:00
    短信这里要做好安全壳子保护好,比如针对同一个 IP 单位时间内限制他可以发送的次数,或者针对你埋的值去做 token 校验失效后直接不允许发送,简单粗暴的加验证码也是可以的。还有就是针对同一 IP 限制注册量、校验是否是同一密码注册等等。
    lunatic5
        22
    lunatic5  
       2017-11-23 17:27:19 +08:00
    建议还是改优惠策略,这是从根本上杜绝。另外,改之前说下 app 名字?我也去研究研究
    mydns
        23
    mydns  
       2017-11-23 17:29:23 +08:00
    验证码
    dorothyREN
        24
    dorothyREN  
       2017-11-23 22:18:36 +08:00
    ip 限制,号码限制,设备识别号限制,可以的话再加个定位。
    realpg
        25
    realpg  
       2017-11-25 00:18:31 +08:00
    你需要专业反薅羊毛顾问解决你的业务流程设计
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3382 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:45 · PVG 19:45 · LAX 03:45 · JFK 06:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.