5月20日早上6点45分,我接到了来自我们Twilio集成的Spike.sh的电话警报,称呼叫量激增。
诈骗者滥用我们的电话验证,通过动态口令生成数千个电话。这算是通行费欺诈。
在接下来的15分钟内,我醒了,盯着屏幕,想知道到底发生了什么。
过去一小时内使用一次性电子邮件地址的40个新注册,主要是Mailinator(.com和.Net)。
到目前为止,我在Twilio身上花了107美元,因为骗子已经给摩尔多瓦的一个号码打了大约数百个电话。
此外,令人敬畏的Twilio当时发现了可疑活动,并屏蔽了几个电话。我收到了他们的欺诈侦破小组发来的电子邮件。谢谢你,特利奥。
在深入挖掘日志后,我了解到诈骗者从我们的电话验证区产生了电话。在Spike上注册后,我们会打电话验证您的电话号码。我知道这也不是最好的主意.。🙁我们现在发送短信进行验证,而不是打电话。
我接到我们信用卡公司的电话,他们告诉我们,到目前为止,我们总共被收取了大约870美元。😭
我们已经禁止使用Twilio的GeoPermission给摩尔多瓦和其他一些诈骗者瞄准的地区打电话。
在仪表板上集成Google reCaptcha。阻止垃圾邮件用户的帐户。我个人非常怀疑事情是否会恢复正常。
到目前为止,我已经对生产进行了大约20次部署,这要归功于GitHub操作的自动化。
取消所有Twilio代币,并再次阅读其关于通行费欺诈的指南。我们错过什么了吗?
facepalm-Twilio在他们的文档中明确写道,不要通过动态口令使用电话进行验证,这正是我们所做的🤦♀️。
我们公布了一些旧电话号码,并买了一些新号码。这并没有花太长时间。
部署到生产环境中,但是我们仍然看到一些注册是通过使用Mailinator电子邮件地址的机器人来的。
问题是创建新的一次性电子邮件地址很容易。指望一项服务就能涵盖所有这些服务可能太过分了。
有趣的统计数据--我们有大量用户在使用Google OAuth,所以我们采取了大胆的举措。
CloudFlare在这方面相当出色。当你访问Spike.sh时,Cloudflare会尝试判断你是人类还是机器人。有时,还会出现使用hcaptcha进行验证的测试。
我们安装了Needle.sh,它为他们的NPM模块提供了一个安全层。在他们的仪表板上,我们注意到安全扫描仪每天都会多次探测我们的网络属性是否存在漏洞。显然,这让我们在早期阶段就意识到了为我们的网络产品使用安全工具的重要性。
速率限制非常有用,而且易于设置。在我们激活这个之后,我已经看到了大量的429响应状态。
诈骗者无法创建新帐户。耶!一些人确实使用Google OAuth创建了账户,并试图拨打更多电话,但超过99%的电话最终以401或429个响应代码结束。
设置紧急警报,如果我没有接到Spike.sh的电话,我醒来时很容易就会收到5000多美元的账单。
这些是我在整个磨难过程中读到的一些好书。希望这能帮助你-