验证码盗刷，指攻击者利用您的短信验证码场景，重复发起验证码请求，导致流量突增，给您带来经济损失。本文档主要列举了盗刷的常见特征，并提供了防盗刷的建议，您可参考以下建议进行应对。

盗刷常见特征

1. 连号，例如+1111111110、+1111111111、+1111111112等；

2. 某国家或者某运营商的发送量数倍级突增，且转化率异常；

3. 经常发生在晚上和节假日；

4. 经常发生在小APP、新接口、新场景；

5. 经常发生在规模较小的运营商，或者小国家价格高的运营商；

防盗刷建议

您可通过以下方式进行应对，但需要注意的是，通信安全复杂多变，盗刷场景很难完全杜绝，需要长期对抗，不断更新对抗策略。

增强终端用户身份验证

1. 收集客户端上报的信息特征，并做针对性的过滤和拦截。如是否有IP聚簇，号段聚簇，客户端版本集中，IMSI 伪造识别等；

2. 增加图形验证、滑块验证、字符验证、连线验证等人机交互功能；

3. 重复请求之间设置冷却时间；

4. 有的刷量也和运营活动有关，可考虑增加对新注册用户参加运营活动的冷却时间等；

保障账号安全

1. 设置 IP 白名单。您可将您的请求 IP 提供给火山引擎进行 IP 加白，设置成功后，火山引擎将会拦截非白名单 IP 发起的请求；

2. 定期更换 API 访问密钥，防止黑灰产恶意盗用盗刷。设置方式：登录火山引擎控制台，进入 访问控制-API 访问密钥 页面管理密钥；

增加频率限制

1. 为您的服务增加频控限制，设置同一手机号每分钟、每小时和每 24 小时最多可接收的短信数量。需要注意的是：设置频控并不能杜绝被攻击，只能拦截超出频率限制的请求。设置方式：进入 火山引擎短信服务控制台-通用管理-频控管理 页面，设置频控；

2. 设置单 IP 频控；

禁用无业务需求的国家/地区

如果您的业务不涉及某些国家/地区，或者不打算向某些国家或者地区发送消息，建议您登录火山引擎控制台，将该部分国家/地区设置为禁发，设置成功后，火山引擎将会拦截发往该部分国家/地区的消息。
设置方式：
1. 从火山引擎短信控制台进入消息组列表页面，点击编辑；

2. 点击设置，即可设置允许发送的国家/地区；

设置发送上限

如果您能预估您的账号或者某个国家/地区每天发送消息的数据，您可设置告警上限和发送上限，到达告警上限我们会给您指定的联系人发送告警通知，达到发送上限我们将会拦截消息。但请您谨慎设置拦截上限，确保拦截不会影响您的正常业务。

1. 设置告警上限或者发送上限，支持按照火山引擎主账号、消息组、国家/地区、短信类型设置；设置方式：火山引擎短信控制台-国际/港澳台短信-发送阈值；

2. 设置告警联系人；设置方式：火山引引擎短信控制台-通用管理-告警联系人