Traffic Pumping - tak przeciwdziałamy nabijaniu ruchu SMS!
Warto sobie zdać sprawę z tego, że kiedy używasz w swoim serwisie, lub aplikacji kodów jednorazowych np. do potwierdzenia rejestracji, albo potwierdzenia zamówienia, może dojść do sytuacji w której podmioty zewnętrzne będą próbowały nabijać ruch SMS (Traffic Pumping), czyli sztucznie tworzyć zapytania, by został wysłany kod SMS, co prowadzi do zwiększonych kosztów komunikacji mobilnej. Jak dokładnie wygląda ten proceder i jak się przed nim chronić?
Czym jest Traffic Pumping?
Oszustwo nabijania ruchu SMS-ami (nazywane także sztucznym pompowaniem ruchu), ma miejsce wtedy, gdy oszuści wykorzystują pole wprowadzania numeru w jakimś formularzu, aby otrzymać:
- jednorazowy kod dostępu (nazywane także OTP - one time password),
- link do pobrania aplikacji
- jakiekolwiek inne dane za pośrednictwem SMS-a.
Jeśli taki formularz nie ma odpowiednich zabezpieczeń, podmioty (może to także być jedna osoba lub jeden podmiot) wyłudzające mogą zawyżać ruch wykorzystując do tego Twoją aplikację/serwis. Na czym to dokładnie polega? Polega to na wysłaniu SMS-a na numery kontrolowane przez określonego operatora sieci komórkowej.
Dwa częste scenariusze:
- Operator GSM świadomienie bierze udział w procederze
- Operator GSM zostaje nieświadomie wykorzystywany przez “fraudowiczów”.
W drugim przypadku, mniejsze GSM-y otrzymują wynagrodzenie od większych GSM-ów za abonentów i ruch. W tej sytuacji oszust może stworzyć fałszywą firmę obiecując duże natężenie ruchu (wysoki wolumen wysyłania wiadomości). Operator może nie sprawdzić, jakie jest jest źródło ruchu i koniec końców nieświadomie wesprzeć oszustwo lub przeoczyć fraud.
Jak ustalić, czy mamy do czynienia z takim nadużyciem?
Przede wszystkim dobrze analizuj ruch SMS i kierunki wysyłania wiadomości. Prawdopodobnie zobaczysz skok wolumenu wysłanych SMS-ów oraz kampanie kierowane do “egzotycznych” krajów, gdzie koszt SMS-a jest bardzo wysoki. Możesz także zaobserwować, że krótkie wiadomości tekstowe wysyłane są na podobne numery, często z podobnymi końcówkami, lub podobnie wyglądające (+ 2222222220, + 2222222221, + 2222222222, + 2222222223 itd.) Dodatkowo możesz zauważyć niestandardowe kierunki wysyłanych wiadomości. Twój biznes działa lokalnie np. w danym mieście lub regionie, a komunikaty wysyłane są np. do Azji, czy Ameryki południowej - to automatycznie powinno dać do myślenia!
Najlepsze praktyki zapobiegania oszustwom związanym z pompowaniem ruchu SMS
Wyłącz uprawnienia geograficzne dla nieużywanych krajów
Zapewnienie, że kraje, do których nie zamierzasz wysyłać wiadomości, są wyłączone, zmniejszy prawdopodobieństwo oszustwa związanego z nabijaniem ruchu. Uprawnienia geograficzne SMS mogą być kontrolowane na Twoim koncie, wystarczy, że włączysz Traffic Cost Protect od SerwerSMS w ramach ekosystemu Tarczy 360.
Ustaw limity szybkości
Upewnij się, że Twoja aplikacja nie będzie wysyłać więcej niż jedną wiadomość na X sekund na ten sam zakres numerów komórkowych lub prefiksów. Wdrażaj limity szybkości według użytkownika, adresu IP lub identyfikatora urządzenia. Możesz użyć do tego CDN, takiego jak Cloudflare, lub zaimplementować moduły na swoim serwerze internetowym, takie jak Nginx i Apache, do podstawowego ograniczania szybkości. Limity szybkości mogą nie zapobiec 100% oszustwom, ale znacznie ograniczą potencjalne szkody.
Wykrywaj boty i odśwież środowisko użytkownika, aby im zapobiegać
Biblioteki takie jak botd lub CAPTCHA z ang. Completely Automated Public Turing test to tell Computers and Humans Apart (całkowicie zautomatyzowany publiczny test Turinga, aby odróżnić komputery od ludzi) mogą pomóc w wykrywaniu i powstrzymywaniu ruchu botów. Niewielkie zmiany w doświadczeniu użytkownika takie, jak upewnienie się, że użytkownicy potwierdzą swój adres e-mail przed zarejestrowaniem się w 2FA, wprowadzają pewnego rodzaju tarcia (coś, co spowalnia, albo powoduje większe zaangażowanie użytkownika) dla legalnych użytkowników, ale mogą zniechęcić automatyczne skrypty i boty.
Implementacja wykładniczych opóźnień między kolejnymi żądaniami weryfikacji
Podobnie jak w przypadku limitów szybkości, wprowadzanie wykładniczych opóźnień między żądaniami kierowanymi na ten sam numer telefonu jest jednym ze sposobów zapobiegania szybkiemu wysyłaniu wiadomości.
Monitoruj współczynniki konwersji jednorazowych kodów dostępu (OTP) i twórz alerty
Monitoruj wewnętrznie współczynnik konwersji weryfikacji (na potrzeby tego artykułu nazwijmy go WWKW) tj. liczba haseł jednorazowych zweryfikowanych przez użytkowników końcowych / liczba haseł jednorazowych wysyłanych do użytkowników końcowych.
WWKW = liczba haseł jednorazowych zweryfikowanych przez użytkowników końcowych/liczba haseł jednorazowych wysyłanych do użytkowników końcowych
Jeśli zauważysz, że ten wskaźnik zaczyna spadać, zwłaszcza w jakimś konkretnym przypadku, np. w komunikatach wysyłanych na dany kraj, skontaktuj się z nami, a my pomożemy ustalić przyczynę i wdrożymy odpowiednie zabezpieczenia.
Migracja ruchu z jednorazowym kodem dostępu (OTP) do Traffic Cost Protect
Migracja do Tarczy 360 pozwoli Ci korzystać z funkcji, które pomogą zapobiegać oszustwom związanym z SMS-ami, dzieje się to za pomocą blokowania wysyłek SMS do dowolnego miejsca docelowego uznanego za fałszywe. Traffic Cost Protect to wszechstronne rozwiązanie stworzone specjalnie do weryfikacji nowych i powracających użytkowników. Traffic Cost Protect jest trzecim z modułów Tarczy 360. Więcej informacji na temat konkretnych modułów i ich działania przejdź do strony Tarcza 360.
Co zrobić, jeśli podejrzewam nadużycie na moim koncie?
Bez zbędnej zwłoki skontaktuj się z nami - możesz to zrobić wysyłając e-maila na adres bok@serwersms.pl, skontaktować się z nami telefonicznie poprzez infolinię, czy bezpośrednio ze swoim opiekunem konta lub prześlij zgłoszenie na HelpDesku - w takich sytuacjach zawsze możesz na nas liczyć.
Pamiętaj, aby za każdym razem podać następujące szczegóły:
- opisz zaistniałą sytuację
- od kiedy do kiedy miało miejsce nadużycie
- jeżeli Twoje zgłoszenie jest mailowo, lub telefonicznie, podaje dane, które pomogą zidentyfikować osobę kontaktową oraz konto.
Co SerwerSMS robi w sprawie bezpieczeństwa komunikacji SMS?
Stworzyliśmy ekosystem oraz odpowiednie narzędzia do ochrony brandów (niezależnie od branży i wielkości firmy, czy instytucji) oraz danych konsumentów. W ramach Tarczy 360 współpracujemy z wieloma podmiotami, tworząc system bezpieczeństwa komunikacji mobilnej i zwalczająca nadużycia takie jak np. “nabijanie ruchu”, podszywanie się pod jakiś podmiot, czy próbę wyłudzenia danych. W ramach ekosystemu współpracujemy z takimi podmiotami: Google, Bitly, Cutly, Eset, NASK, CERT, Operatorzy GSM czy PayPal. Wszystkie niebezpieczne zdarzenia są przesyłane do wszystkich partnerów w razie potrzeby i na bieżąco monitorowane i sprawdzane.
Wspomniana "Tarcza" posiada trzy moduły, które raz włączone działają cały czas w tle:
- Antyphishing - moduł monitorujący niebezpieczne zajścia w SMS-ach
- Fraud alert - moduł z systemem alertów wysyłanych w przypadku wykrycia zagrożenia
- Traffic Cost Protect - moduł z systemem do weryfikacji kierunku wysyłanych wiadomości w tym Traffic Pumpingu.
Podsumowanie
W przypadku komunikacji SMS trzeba mieć na uwadze, aby zawsze korzystać z platform, które kładą nacisk na wielowymiarowe bezpieczeństwo. Nie chodzi tylko o korzystania z jakościowo najlepszych połączenia z Operatorami GSM, zgodności z RODO, ale także monitorowanie kampanii pod kątem egzotycznych wysyłek, czy nabijania ruchu SMS.Ważne jest także nie samo wychwycenie problemu, ale także aktywne zapobieganie oraz wysyłanie alertów w przypadku wykryciu zagrożenia.