如何避免Telegram纸飞机验证码被诈骗分子获取?
2 个回答
验证码泄露的根源在于中段的防护薄弱,重点从这三方面着手:
1. 验证码传输加密必须采用https,不要为了图方便采用http,这是最基本的要求。
2. 后端存储验证码需要加盐,不要明文存数据库,时间戳+随机盐+哈希是王炸组合。
3. 前端页面禁止iframe嵌套,设置X-Frame-Options头,防止钓鱼网站劫持。
另外两点提醒:
验证码下发时记录IP+设备指纹信息,下次验证时进行异常访问校验
验证码的有效期限不超过5分钟,过期失效最为安全
你要是自建网站建议使用Telegram官方API对接,不要自己搞。现在诈骗方式太多,防护永远比黑产快一步,验证码作为最后一关,前面的关卡必须把好。
验证码泄露靠两点:
1. 用户不要乱点陌生链接,特别是telegra开头的。诈骗链接会伪装成TG登录界面来获取你的验证码。
2. 作为站长的你必须强制用户绑定邮箱+手机双重验证,验证码发送间隔不少于30秒,请求过于频繁自动拉黑。
建议后台加异常登陆提醒,异地登陆就发邮件给用户,平时多在官网提醒用户不要泄露验证码,骗子太会演了。