AIT och fraud SMS: så kan du motverka trafikbedrägeri

Artificially Inflated Traffic (AIT): så kan du motverka trafikbedrägeri
author
LINK Mobility AB2023-06-01

A2P (application-to-person) SMS-branschen och deras kunder står inför en ny typ av bedrägliga attacker som innebär oönskad genererad SMS-trafik, även kallat Artificially Inflated Traffic. Otillräckligt säkrade webbtjänster utnyttjas för att utlösa den här typen av SMS-meddelanden. Det är i dagsläget nästan omöjligt att identifiera de som ligger bakom attackerna. Även om antalet svenska företag som drabbas av den här typen av attacker är få, ser vi på LINK allvarligt på detta och vill därför uppmärksamma dig på hur du kan minska risken för att de drabbar ditt företag.

Vad är Artificially Inflated Traffic?

Artificial Inflation of Traffic (AIT) är en ny typ av SMS-bedrägeri där aktörer genererar stora volymer av falsk trafik via appar eller webbplatser. Bedrägerierna sker vanligtvis via så kallade OTP SMS (One-time password SMS) där bedragaren använder sig av bottar som genererar falska konton för att trigga OTP SMS till flera mobilnummer. Det är flera parter som är inblandade i den här typen av attacker, en som utför själva attacken och en oseriös aktör som sedan fångar upp den uppblåsta trafiken utan att faktiskt leverera meddelanden till slutanvändaren. Stora mängder oönskad SMS-trafik genereras genom att anropa tjänsten upprepade gånger. De båda aktörerna genererar i slutändan stora vinster på attackerna.

Ordlista: förklaring av förekommande förkortningar

  • AIT: Artificially Inflated Traffic är ett typ av SMS-bedrägeri som genererar falsk SMS-trafik via appar och webbsidor där angriparna gör stora ekonomiska vinster

  • A2P: Application-to-person är all typ av trafik där en person tar emot meddelanden från en applikation

  • OTP: One-time password, det vill säga, engångslösenord som enbart är giltig under en inloggningssession

  • MSISDN: Mobile Station International Subscriber Dirctory Number är det kompletta nummer en användare har (ex. ett mobiltelefonnummer).

  • CAPTCHA: Som står för Completely Automated Public Turing test to tell Computers and Humans Apart är verktyg du kan nyttja för att identifiera riktiga användare och automatsierade användare, t.ex. bottar

Trafikbedrägeriet sker genom slutanvändare och mot svagt skyddade webbtjänster, till exempel webbformulär och appar som kan generera A2P SMS. Trafiken skickas från en kunds normala system och meddelandena har inget avvikande innehåll. En attack och resultatet av en marknadsföringskampanj eller expansion till en ny marknad kan ha nästan identiska trafikmönster.

Så kan LINK hjälpa dig hantera AIT-attacker

Vi arbetar för att hjälpa dig hantera och minska risken för trafikbedrägerier. Det är dock viktigt att poängtera att attackerna inte beror på säkerhetsbrister i LINK Mobilitys lösningar, nätverk, plattformar, API:er eller applikationer. För att motverka den här typen av attacker övervakar LINKs NOC våra system dygnet runt och kan därför gå in och stoppa en attack när den upptäcks. Men även när en attack pågår kan det vara svårt att upptäcka den från leverantörens sida. För att förbättra skyddet uppmanar vi därför våra kunder att utöka säkerheten för sina kundnära tjänster som kan generera A2P SMS så att risken för oönskad trafik kan minimeras.

Hur sker AIT-attacker?

Nedan listar vi de tillfällen då AIT-attacker framförallt har upptäckts. De sker framförallt via webbformulär och smartphone-appar som kan utlösa A2P SMS:

  • Anmälan via SMS

  • Registrering via SMS med tvåfaktorsautentisering

  • Ändra MSISDN till tvåfaktorsautentisering

  • SMS med AppStore URL för mobil

  • Skicka SMS med AppStore-länk till mobil

Attacker av webbformulär kan enkelt triggas av bots, medan attacker av smartphone-appar kan triggas av bots på smartphoneemulatorer och av extraherade API-uppgifter från appen.

Detta kan du göra för att motverka attacker

För att motverka den här typen av attacker finns det flera åtgärder du kan ta, och på så vis minimera risken för att de sker. Du kan bland annat:

  • Blockera eller vitlista marknader för att begränsa sändning till länder utanför dina marknader

  • Implementera prisgräns för sändning till länder utanför dina marknader

  • Implementera en sofistikerad CAPTCHA (t.ex. Google reCaptcha)

  • Manuellt eller automatiskt granska SMS-statistiken per land

  • Tillämpa motåtgärder på alla processer som inkluderar SMS (registrering, inloggning, uppdatera användardata, opt-out, etc)

Åtgärder som kan kringgås av angriparna

Vi vill också uppmärksamma dig om åtgärder som enkelt kan kringgås av angriparna och därför inte ger något säkert skydd. Detta betyder dock inte att åtgärderna är värdelösa och inte kan motverka eventuella attacker. De ger dock ingen garanti för att stoppa ihållande illvilliga hackare. Nedan listas dessa åtgärder samt hur angriparna kringgår dem:

  • Begränsning av antalet förfrågningar per IP-adress – angriparna använder botnätverk för att utnyttja flera olika IP-adresser

  • Blockering av IP-adresser och IP-intervall – angriparna använder botnätverk för att utnyttja fler olika IP-adresser och intervall

  • Blockering av flera SMS-meddelanden som skickas till samma MSISDN – angriparna genererar flera slumpmässiga MSISDN:er

  • Blockering till många olika MSISDN från en IP-adress – angriparna cirklar olika MSISDN:er genom olika IP:er

  • Användning av enkla CAPTCHAs– angriparna använder textigenkänning eller billig arbetskraft för att lösa CAPTCHAs

  • Övervakning av högt antal ej levererade meddelanden per land – angriparna returnerar falska DLR

Angriparnas beteende för att undvika blockering

Det finns ett mönster i hur angriparna beter sig för att kringgå blockering av attackerna vilka kan vara bra att ha i beaktande när du utökar säkerheten av dina system:

  • Attackerna börjar med oönskad trafik på natten, före helger och helgdagar, det vill säga vid tillfällen med mindre övervakning av systemen

  • De sänder långsamt för att hålla sig under radarn och dokumenterar SMS-volymer när trafiken blir blockerad

  • De skickar oönskad trafik i en långsammare takt än den dokumenterade blockeringshastigheten

  • De skickar SMS till många destinationsländer som inte kan blockeras helt. Majoriteten av trafiken kan vara en indirekt skada för att dölja SMS-meddelanden till angriparnas önskade destinationer eller marknader

Vårt bästa råd är att överväga säkerheten för dina kundnära webbtjänster som kan generera A2P SMS-trafik så att du kan minska risken för Artificially Inflated Traffic. Om du har några frågor är du välkommen att kontakta vår support!