L'RCS è ora disponibile tramite API con smsmode©. Consultare il documento I nostri termini e condizioni cambiano. Ulteriori informazioni Le nostre condizioni generali possono cambiare. Ulteriori informazioni I nostri termini e condizioni sono soggetti a modifiche. Ulteriori informazioni Le nostre condizioni generali di contratto sono soggette a modifiche. Ulteriori informazioni
28 marzo 2025 - 9 min. lettura

Proteggersi dalle frodi sulle WBS

SMS
OTP
Operazione
Autore dell'immagine

Romain Didelot

Frodi OTP

Condividi :

Riepilogo

Introduzione

Un nuovo tipo di frode sta prendendo piede per i servizi Web che utilizzano la verifica dell'identità SMS OTP. Si chiama SMS PUMPING" o "traffico gonfiato artificialmente". I truffatori generano grandi volumi di SMS da applicazioni mobili o siti web inviando massicci codici di verifica. Secondo uno studio di Mobilesquared, questa frode ha rappresentato più del 20% del traffico mondiale di SMS professionali nel 2022. Scopri come puoi proteggerti da questo tipo di frode e come smsmode© può essere d'aiuto.

Come funziona l'SMS Pumping?

Schema di frode 2FA OTP

I truffatori utilizzano vari metodi, compresi i bot, per generare false richieste via SMS. Ad esempio, creano falsi account su un'applicazione o un sito web, chiedono l'aggiornamento della password, cliccano su "password dimenticata", ecc. Sfruttano la presenza di un campo di inserimento del numero di telefono per ricevere un codice di accesso unico (OTP), un link per il download o qualsiasi altro tipo di contenuto inviato via SMS. Se questo modulo di verifica non viene monitorato, i truffatori possono sfruttarlo per generare traffico SMS fraudolento dal vostro account.

Nella maggior parte dei casi, gli aggressori utilizzano il loro bot per compilare in massa un campo o un modulo al fine di "convalidare" questi falsi account, il che provoca l'invio di un SMS.

I SMS vengono inviati a numeri sui quali i truffatori hanno il "controllo", consentendo loro di ottenere una quota dei ricavi generati da questo traffico SMS artificialmente gonfiato.

Se subite un attacco di questo tipo, in quanto proprietari dell'applicazione, sarete probabilmente costretti a pagare il conto per la consegna dei messaggi. L'obiettivo di questa frode è fare soldi, non rubare informazioni.

Ci sono due modi per trarre profitto da questo tipo di frode:

Caso 1

I truffatori beneficiano di un operatore/aggregatore complice, con il quale hanno concluso un accordo di condivisione dei ricavi. SMS Generano spedizioni massicce a questi operatori e dividono i ricavi tra di loro.

Caso 2

Un operatore/aggregatore viene sfruttato inconsapevolmente dai truffatori.

Nel secondo caso, i piccoli operatori o aggregatori vengono pagati dagli operatori più grandi per il volume di traffico che possono lasciar passare. Un truffatore può quindi creare una società fittizia e promettere un grande volume di traffico (che egli stesso produrrà). Il piccolo operatore/aggregatore può non cercare di conoscere la fonte del traffico e finisce per sostenere la frode.

Come si può notare, in entrambi i casi questo tipo di frode è più probabile che si verifichi tra gli operatori più piccoli. È anche comune che queste anomalie di traffico provengano da destinazioni lontane (dalla Francia, ndr), poiché alcune destinazioni internazionali hanno costi di consegna più elevati e sono quindi più redditizie per i truffatori (e più costose per le aziende vittime).

Ma non sono solo le aziende a rimetterci. Le frodi di autenticazione OTP sono un problema per l'intero ecosistema della posta elettronica.

Gli operatori e gli aggregatori difficilmente possono intervenire senza la convalida dei loro clienti, il che riduce le possibilità di azione contro queste frodi e comporta una perdita di credibilità e una legittima frustrazione per i clienti interessati.

Come determinare se si è vittima di un attacco?

Questa frode può passare del tutto inosservata e diventare evidente solo dopo aver confrontato il volume dei messaggi consegnati con il numero di autenticazioni effettive.

Tuttavia, ci sono diversi elementi che possono far pensare a qualcosa:

  • Un picco di messaggi inviati a numeri adiacenti (ad esempio +33611111110, +33611111111, +33611111112, +33611111113, ecc.) e quindi controllati dallo stesso operatore di rete mobile.
  • Un numero elevato di cicli di verifica non andati a buon fine (tasso di conversione in forte calo)
  • Un grande volume di SMS inviati a destinazioni in cui la vostra presenza è scarsa o nulla.

Cosa si può fare per proteggersi?

Sebbene non esista una protezione miracolosa contro questo nuovo tipo di frode, le aziende possono implementare alcune buone pratiche di prevenzione e rilevamento che possono ridurre significativamente questi attacchi. Il coinvolgimento dei clienti è essenziale per combattere efficacemente le frodiQuesto perché nessuna soluzione del fornitore può garantire il 100% di efficacia contro questi attacchi. smsmode© può aiutarvi a implementare queste best practice e a fornire una serie di funzioni per limitare drasticamente le frodi.

GUIDA
Le migliori pratiche 2FA via SMS

SMS L'autenticazione a due fattori (2FA) è diventata un modo diffuso per migliorare la sicurezza. SMS Tuttavia, queste 2FA devono essere ottimizzate e il vostro fornitore deve garantire un elevato livello di sicurezza.

Scaricare gratuitamente

Controllo IP

Aggiungere ulteriori controlli sugli identificatori IP, utente o dispositivo quando un nuovo utente crea un account (ISP/proxy/TOR/cloud provider, ecc.). Ciò consentirà di identificare comportamenti sospetti e di intervenire prima che il truffatore richieda l'invio di un messaggio.

È inoltre possibile limitare il numero di tentativi di richiesta di SMS dallo stesso indirizzo IP o dallo stesso dispositivo e includere una latenza nelle richieste, ad esempio una reimpostazione della password all'ora, ecc.

Monitoraggio e rilevamento VPN

Sebbene esistano casi d'uso legittimi per le VPN, gli aggressori ne utilizzeranno sicuramente una, anche solo per aggirare un blocco dell'indirizzo IP. Esistono molte soluzioni per il rilevamento delle VPN.

Rilevamento dei bot

SMSÈ probabile che i truffatori utilizzino i bot per generare un grande volume di . L'utilizzo di una funzione come il CAPTCHA può aiutare a rilevare e impedire ai bot di ripetere le richieste.

Implementare un "pre-audit

SMS Evitate di inviare un dispositivo di autenticazione come primo e unico strumento. Questo tipo di processo aggiunge certamente un passaggio alla creazione e quindi un po' di attrito per gli utenti legittimi, mapuò scoraggiare script e bot automatizzati. Ad esempio, potete fare in modo che gli utenti confermino il loro indirizzo e-mail prima del loro numero di telefono.

Impostare i limiti dei server e le tariffe dei servizi

Assicuratevi che l'applicazione non invii più di un messaggio ogni X secondi allo stesso intervallo o prefisso di numeri mobili. Impostare limiti di throughput per utente, IP o ID del dispositivo.

È possibile impostare regole che limitano il numero di richieste consentite da un indirizzo IP o da un utente specifico in un determinato periodo di tempo, implementando moduli nel server web come Nginx e Apache per limitare la velocità o la frequenza delle richieste al server.

Impostazione dei limiti di invio

È possibile impostare diversi tipi di limiti in collaborazione con l'account manager di smsmode©:

  • Limiti mensili per evitare la sovrafatturazione
  • Limiti giornalieri per aggiungere un livello di monitoraggio. smsmode© invierà avvisi per ogni livello superato.
  • Un limite al numero di SMS inviati al minuto come misura preventiva.

Stabilire ritardi esponenziali tra i tentativi di verifica

L'impostazione di ritardi esponenziali tra le richieste effettuate con lo stesso numero di telefono è un modo efficace per prevenire gli invii di massa. Forse non impediscono le frodi, ma possono rallentare gli aggressori abbastanza da far loro decidere che non vale la pena attaccare la vostra applicazione.

Implementazione di autorizzazioni geografiche per limitare i paesi di destinazione

Esaminate le zone geografiche in cui è possibile l'autenticazione sulla vostra applicazione e disattivate tutte le destinazioni non idonee ai vostri servizi (la maggior parte dei casi si verifica in Paesi in cui i marchi non sono presenti).

È inoltre possibile creare un elenco di autorizzazioni o blocchi automatici in base ai codici paese del numero di telefono.

Controllare il numero di telefono prima dell'invio con smsmode©

Utilizzate la nostra Ricerca API per ottenere tutte le informazioni sul numero di telefono utilizzato per l'autenticazione (codice paese, tipo di numero, rete, ecc.).

È anche possibile automatizzare questa richiesta API. Lookup può aiutarvi a identificare gli operatori responsabili del traffico eccessivo (consapevolmente o meno) e a bloccarli.

Monitorare i tassi di conversione dei codici di accesso monouso (OTP) e creare avvisi.

Create un avviso nel vostro strumento di monitoraggio interno per il tasso di conversione dell'autenticazione (ovvero numero di OTP convalidati dagli utenti finali / numero di OTP inviati). Se notate che questo tasso inizia a diminuire in modo anomalo, soprattutto se le richieste OTP provengono da un paese inaspettato, attivate un allarme per una revisione manuale.

L'analisi dei DLR ricevuti da smsmode© può consentire di bloccare il servizio se si sospetta la presenza di uno o più numeri.

Cosa fare se si sospetta una frode sul proprio conto smsmode?

Inviare un'e-mail a smsmode
con i seguenti dati:

ID conto :

Canale/i interessato/i :

Intervallo di data e ora :

SMS Paese di destinazione per :

Descrizione dell'attività :

Crea il tuo account gratuito

SMS Provate la nostra piattaforma e ottenete 20 crediti di prova gratuiti, senza alcun obbligo.

Creare il mio account
Avete bisogno di ulteriori informazioni?
Non esitate a contattarci.
Contattateci