# 防止欺诈和无效注册

随着全球欺诈风险的增加，一些攻击者向特定号码发送大量短信或语音验证请求以牟利。此外，许多应用程序提供只有新用户才能享受的“福利”，攻击者通过各种方式批量注册虚假账户以获得奖励。

* 短信诈骗：诈骗者向特定移动网络运营商 (MNO) 控制的一系列号码发送短信，并分享由此产生的收入。
* 国际收入分成欺诈 (IRSF)：欺诈者以电话验证为目标，向优质电话号码拨打大量语音电话以赚取佣金。
* 虚假注册：攻击者利用脚本批量创建虚假账户，获取新用户奖励，然后套现。\
  他们的具体盈利方式可能有所不同，但都会导致你花额外的钱却得不到真正的用户。

 

## 如何判断自己是否受到攻击？

在意想不到的国家/地区，验证成功率/消息发送率迅速下降或验证数量突然增加。

 

## 建议措施

**在验证过程中部署检测机器人**

Google reCAPTCHA 等产品可以帮助检测和阻止机器人流量。例如，在每个 SMS OTP 请求之前执行检查以防止自动脚本和机器人程序。这将为合法用户带来最小的摩擦。

 

## 验证频率限制

限制验证请求的频率，以帮助防止欺诈并保护您的应用程序，例如：

* X 秒内每个号码最多请求 X 条验证消息
* 每个国家/地区在 X 秒内请求的最多 X 条验证消息
* 您甚至可以根据用户、IP 或设备标识符设计速率限制。

速率限制不能完全防止欺诈，但它们可以减慢攻击者的速度，使他们认为不值得攻击您的应用程序。

 

## 语音验证通道作为替代方案，仅在第三次尝试时可用

由于国际收入分成欺诈 (IRSF) 日益盛行，我们建议不要在开始时提供“给我打电话”选项，而应在尝试 3 次短信后才提供。

 

## 实施地理权限限制

您必须有明确的商业目的，因此来自其他国家/地区的验证请求应该受到怀疑。\
设置地理验证权限并禁用所有不打算发送消息的国家/地区，以防止恶意攻击者创建不必要的验证请求并浪费短信或语音费用。

 

## 发送前检查电话号码

发送前检查号码的线路类型。至少识别无效的固定电话和手机号码，并且仅向手机号码发送短信。

 

## 监控一次性密码 (OTP) 的验证成功率并创建警报

我们建议实时监控验证成功率的变化。如果您发现在意想不到的国家/地区验证成功率急剧下降或验证数量突然增加，您应该密切关注。它们可能来自一些恶意攻击者。\
我们建议设计一些触发警报，以在达到异常阈值时提醒您。YCloud verify内置安全警报触发器，您可以在界面上轻松配置，以接收异常警报。