我正在开发一个银行应用程序,其中部分要求涉及禁用 OTP 字段并自动从用户电话中检索它。这样做的目的是在用户天真地给出他/她的 OTP 的情况下防止欺诈。
这样,欺诈者必须克隆用户的电话号码才能继续。这在 SMS 检索器 API 之前运行良好,我在将 OTP 发送到后端进行验证之前自动从用户设备读取消息并验证发件人。但是,自从我将应用程序迁移到 SMS Retriever API 后,出现了欺诈问题,因为 SMS Retriever API 上无法使用额外的验证 SMS 发件人的层。
欺诈者所要做的就是向安装了应用程序的手机上的号码发送一条消息,其中包含他必须从之前发送的消息中获得的哈希密钥,并且他首先绕过了禁用 OTP 字段的原因。有没有人有这个或一些建议的解决方法?