Tráfico Inflado Artificialmente (AIT): Cómo prevenir el fraude de SMS A2P
La industria de los SMS A2P y sus clientes se enfrentan a un tipo de ataques que involucran tráfico generado no deseado, llamado Tráfico Inflado Artificialmente. Los servicios web inadecuadamente protegidos se utilizan para activar este tipo de mensajes SMS. Actualmente es casi imposible identificar a los responsables de los ataques. Aunque el número de empresas afectadas por este tipo de ataques sigue siendo limitado, desde LINK nos lo tomamos muy en serio el tema y por ello queremos informarte sobre cómo puedes reducir el riesgo de que afecte a tu empresa.
Explicación de las abreviaturas que aparecen:
CAPTCHA: Son las siglas de Prueba de Turing Pública Completamente Automatizada para diferenciar a las computadoras de los humanos y son herramientas que se usan para identificar usuarios reales o automatizados; por ejemplo, bots.
A2P: De aplicación a persona es cualquier tipo de tráfico en el que una persona recibe mensajes de una aplicación.
OTP: Contraseña de un solo uso, es decir, contraseña que solo es válida durante una sesión de inicio.
AIT: La inflación artificial del tráfico es un tipo de fraude por SMS que genera tráfico de SMS falso a través de aplicaciones y sitios web donde los atacantes obtienen enormes ganancias financieras.
MSISDN: El número de directorio internacional de abonados de la estación móvil es el número completo de usuarios (por ejemplo, un número de teléfono móvil).
¿Qué es el tráfico inflado artificialmente?
El tráfico inflado artificialmente (AIT) es un tipo de fraude por SMS en el que los actores generan grandes volúmenes de tráfico falso a través de aplicaciones o sitios web. El fraude suele tener lugar a través de los llamados OTP SMS (One-time password SMS), donde el estafador utiliza bots que generan cuentas falsas para activar OTP SMS a varios números de móvil. Hay varias partes involucradas en este tipo de ataque, una que realiza el ataque real y un actor deshonesto que luego intercepta el tráfico inflado sin entregar mensajes al usuario final. Se generan grandes cantidades de tráfico SMS no deseado al llamar al servicio repetidamente. En última instancia, ambos actores generan grandes ganancias con los ataques.
El fraude de tráfico se produce a través de los usuarios finales y contra servicios web débilmente protegidos, como formularios web y aplicaciones que pueden generar SMS A2P. El tráfico se envía desde el sistema normal de un cliente y los mensajes no tienen contenido anormal. Un ataque y el resultado de una campaña de marketing o expansión a un nuevo mercado pueden tener patrones de tráfico casi idénticos.
Cómo puede ayudar LINK a prevenir los ataques AIT
Te ayudamos a gestionar y reducir el riesgo de fraude de tráfico. Sin embargo, es importante señalar que los ataques no se deben a fallos de seguridad en las soluciones, redes, plataformas, APIs o aplicaciones de LINK Mobility. Para contrarrestar este tipo de ataque, el NOC de LINK monitorea nuestros sistemas las 24 horas del día, los 7 días de la semana y, por lo tanto, puede intervenir y detener un ataque cuando se detecta. Pero incluso cuando se produce un ataque, puede ser difícil detectarlo desde el lado del proveedor. Por lo tanto, para mejorar la protección, alentamos a nuestros clientes a aumentar la seguridad de sus servicios de atención al cliente que pueden generar SMS A2P para minimizar el riesgo de AIT.
¿Cómo se producen los ataques AIT?
A continuación, enumeramos las situaciones más comunes en las que se han detectado ataques AIT. Se llevan a cabo principalmente a través de formularios web y aplicaciones para teléfonos inteligentes que pueden activar SMS A2P:
Registro a través de SMS
Registro a través de SMS con autenticación de dos factores
Cambio de MSISDN para la autenticación en dos fases
SMS con URL de AppStore para dispositivos móviles
Envío de SMS con el enlace de la AppStore al móvil
Los ataques a formularios web pueden ser desencadenados fácilmente por bots, mientras que los ataques a las aplicaciones pueden ser desencadenados por bots en emuladores de teléfonos inteligentes y por credenciales de API extraídas de la aplicación.
Para contrarrestar este tipo de ataques, hay varias medidas que puedes tomar, minimizando así el riesgo de que ocurran. Puedes, entre otras cosas:
Bloquea o incluye mercados en la lista blanca para limitar el envío a países fuera de sus mercados objetivo.
Implementa un límite de velocidad para el envío a países fuera de sus mercados objetivo.
Implementa un CAPTCHA sofisticado (por ejemplo, Google reCaptcha).
Revisa de forma manual o automática las estadísticas de SMS por país.
Aplicar contramedidas a todos los procesos que incluyan SMS (registro, inicio de sesión, actualización de datos de usuario, exclusión, etc.)
Contramedidas evitadas por los atacantes
También queremos informar sobre las medidas que los atacantes pueden eludir fácilmente y, por lo tanto, no brindan una buena protección. Sin embargo, esto no significa que las medidas sean inútiles y no puedan contrarrestar posibles ataques o que no ofrecen ninguna garantía de detener a los piratas informáticos maliciosos persistentes. A continuación, se enumeran estas medidas y cómo los atacantes las evitan:
Comportamiento del atacante para evitar el bloqueo
Hay un patrón en la forma en que los atacantes se comportan para eludir el bloqueo de ataques. Tómalos en cuenta a la hora de aumentar la seguridad de sus sistemas:
Los ataques AIT comienzan por la noche, antes de los fines de semana y festivos, es decir, en momentos en los que los sistemas suelen estar menos vigilados.
Comienzan a enviar lentamente para pasar desapercibidos y documentar los volúmenes de SMS cuando el tráfico está bloqueado.
A continuación, envían más campañas a una velocidad más lenta que la velocidad de bloqueo documentada.
Envía SMS a muchos países que no se pueden bloquear por completo. Gran parte del tráfico puede ser un daño indirecto para ocultar SMS a los mercados objetivo de los atacantes.
Sincronizan los MSISDN usados entre la parte que desencadena el tráfico y la parte que tiene como objetivo aumentar las ganancias. Los números aleatorios darían como resultado un gran número de mensajes no entregados. Si la segunda parte sabe qué MSISDN entrantes debe esperar, puede devolver DLR falsos positivos para a) evitar la detección y b) descartar el SMS (lo que da como resultado un margen del 100% y ningún riesgo de quejas del usuario final).
Nuestro mejor consejo es que tengas en cuenta la seguridad de tus servicios web que pueden generar tráfico SMS A2P, para que puedas reducir el riesgo de tráfico inflado artificialmente. Si tienes alguna pregunta, contáctanos.