本文来自微信公众号“网络研究院”。
从入侵、漏洞到勒索软件,似乎CISO和其他高级安全领导者需要应对的问题还不够多,但另一种威胁却潜伏着,这种威胁几乎是看不见的,可能会损害公司的声誉、破坏客户的信任,并悄悄地吸走收入,人为流量膨胀(AIT)骗局。
AIT也称为短信流量诈骗,是一种网络犯罪形式,其中网络犯罪分子通过无保护或低保护的电话号码输入字段来识别目标,该输入字段通过分发一次性密码(OTP)、应用程序下载链接或其他内容短信。他们很阴险,而且正在崛起。
它们的工作原理如下:
●网络犯罪分子开发了一种机器人,旨在在网络服务或应用程序上创建虚假帐户。
●网络犯罪分子与流氓团体合作拦截人为夸大的流量,而不将消息传递给预期的收件人。小型移动网络运营商(MNO)可能是作为流氓方的合作者。
●该机器人会触发向各种手机号码发送一次性密码短信。
●流氓方压制内容的传递。
●网络犯罪分子和流氓方分享所产生的收入,并继续循环以进一步夸大收入或操纵转换统计数据,从而增加他们的非法收益。
AIT诈骗之所以具有挑战性,是因为它们很难检测和预防,因为它们通常涉及模仿真实用户行为的复杂技术。它们还对广告商、内容提供商和电信公司构成重大财务威胁,最终可能会为毫无价值的流量或参与度付出高昂的代价。
为什么AIT欺诈行为有所增加?
许多因素导致AIT诈骗增多,最基本的驱动因素是经济收益的潜力。无论是通过夸大的广告收入、增加的运营商间补偿,还是对影响者收取更高的费用,成功的AIT骗局的潜在回报可能是巨大的。
应用程序对个人(A2P)短信服务的成本不断上升,使得AIT诈骗的利润潜力对网络犯罪分子越来越有吸引力。一些网络犯罪分子甚至利用AIT计划的收益来资助合法的短信流量,利用AIT的盈利能力来抵消成本。
更复杂的机器人和软件的开发使欺诈者更容易模仿真实的用户行为并逃避检测。这些系统正在作为软件即服务解决方案进行商业化,并提供给非技术用户和传统的有组织犯罪团伙。
此外,由于通用SMS协议和监管框架内缺乏监管,AIT欺诈也难以识别。这使得AIT能够绕过MNO的防火墙,因为AIT诈骗中使用的一次性密码通常不会被标记为垃圾邮件或禁止内容。
AIT欺诈有何影响?
AIT诈骗可能会给无意中助长欺诈活动的应用程序开发人员带来经济损失。诈骗带来的流量增加可能会导致短信服务或收入分享协议的成本上涨,从而影响应用程序的盈利能力。今年2月,埃隆·马斯克(Elon Musk)声称,由于AIT诈骗,Twitter每年损失6000万美元。
因此,由于这些攻击,Twitter删除了通过文本进行的双因素身份验证(2FA)(经过验证的Twitter Blue用户除外),以便通过仅将2FA短信的使用限制为订阅客户来节省资金。
AIT对企业来说是一个问题,因为它提高了A2P成本,而牺牲了企业的利益。不仅如此,向消费者发送过多的一次性密码还会导致不信任,并最终影响公司的声誉。
此外,网络犯罪分子还利用移动网络运营商提供的基础设施进行欺诈活动,从而与网络犯罪分子分享收入。随着SMS费率持续上升,企业可能会寻求替代的身份验证方法,从而减少对A2P SMS服务的需求并导致MNO(移动网络运营商)的收入损失。
AIT诈骗还会对企业声誉产生不利影响。当用户收到多个他们未请求的OTP(一次性密码)时,就会引发对相关组织的合法性和合规性的怀疑。
这可能会导致客户失去信任,他们可能会质疑受影响应用程序和与欺诈活动相关的移动网络运营商的完整性。此类诈骗造成的负面看法和潜在的负面宣传可能会导致用户信心下降,并对相关企业的声誉产生不利影响。
为什么应该关心AIT欺诈
虽然AIT欺诈可能并不代表对系统或网络的直接攻击或入侵,但它不仅影响营销部门或利润,而且影响整个组织。这意味着CISO和首席安全官CSO对AIT欺诈迹象保持警惕非常重要,因为他们在保护组织的信息和资产方面发挥着至关重要的作用。
AIT是对这些责任的直接威胁,并可能产生严重后果。因此,每个CISO和CSO都应该关注这一问题,因为这些攻击可能会对您的公司产生财务影响,增加声誉和安全风险,并影响数据完整性、监管合规性以及客户关系和信任。考虑到这些原因,很明显,AIT欺诈属于CISO和CSO的职权范围。
AIT诈骗不仅会给组织造成重大财务损失,还会干扰数据隐私和安全法的遵守。由于CISO负责管理和减轻与网络安全相关的财务风险,这成为他们需要减轻的风险。
为了确保SMS通信的完整性并防止AIT诈骗,CISO和CSO应通过实施强有力的控制、监控系统和用户验证流程来优先考虑公司移动渠道的安全。他们需要改善与应用程序开发人员和移动网络运营商的合作,分享信息、最佳实践和对策,共同打击AIT诈骗。
提高认识是打击AIT诈骗的第一步
通过随时了解AIT诈骗等新兴威胁,CISO和CSO可以主动评估风险、实施适当的控制并分配资源,以减轻这些诈骗的财务和声誉影响。
流量增加本身并没有利用安全漏洞,而是利用了创建新帐户的便捷性。攻击者可以利用该过程进行不同类型的恶意活动,具体取决于服务的可用性。
从安全角度来看,重点将放在身份验证和新帐户创建过程上,而不是仅仅依赖短信,这已被证明是最不安全的,而是使用多因素身份验证或其他方法。这将消除此类骗局成功的可能性,同时有助于提高客户帐户的安全性。
减少SMS AIT欺诈的最佳实践
这通常是一个复杂的过程,需要采取多方面的方法,包括检测、预防和应对策略。没有任何单一策略是完全万无一失的,关键是建立强大的、多层的防御,其中包括:
定期审核:公司应定期审核其移动流量和广告活动,并查找数据中是否存在任何不一致或违规行为。
技能和意识:确保团队了解AIT诈骗的风险和迹象。受过良好教育的团队更有能力发现潜在的欺诈行为并采取行动。
用户行为分析:了解合法用户的行为,以便更好地发现异常情况。这将有助于区分真实流量和欺诈流量。企业面临的挑战是它们的成熟度,因为很少有企业具有如此细粒度的确定性。
值得信赖的广告网络:对于从事数字广告的企业来说,与以采取主动措施打击欺诈而闻名的广告网络合作至关重要。这些网络拥有强大的系统来识别和减轻AIT诈骗。
以下最佳实践来减少移动SMS AIT欺诈:
●阻止机器人:机器人通常用于欺诈活动,模仿人类行为并生成虚假流量。默认阻止机器人,特别是那些无法识别自己身份的机器人,可以有效减少欺诈流量。组织应该维护允许爬行其网站的用户代理列表,并在新的合法机器人出现时主动更新这些列表。
●reCAPTCHAv2:该服务可以帮助区分人类用户和机器人。它提供的任务对人类来说很容易,但对机器人来说却很困难。在移动应用程序上实施reCAPTCHAv2,特别是在表单和其他交互元素上,可以大大减少机器人活动。
●速率限制:这涉及对用户或IP地址在特定时间范围内可以发出的请求数量设置限制。如果超过限制,该用户或IP将被暂时封锁。这种技术可以减缓或阻止欺诈性流量,尤其是来自执行高频活动的机器人的流量。
●设备指纹识别:该技术根据设备的独特配置(例如操作系统、浏览器版本、安装的字体等)来识别和跟踪设备。通过这样做,公司可以识别来自同一设备的可疑模式或重复的欺诈活动,即使他们更改IP地址或使用VPN。
●蜜罐:蜜罐是诱饵系统或陷阱,看似组织网络的一部分,但实际上是隔离和监控的。它们旨在引诱攻击者,攻击者将时间和资源浪费在诱饵上,同时他们的行为会被记录并用于改进安全措施。
●切换到密钥:这是许多大公司采用的新标准。它解决了许多问题,其中之一是由于密码总是在变化,因此不会泄露真正的密码。
随着技术的不断发展和新形式的AIT欺诈的出现,保持信息灵通和了解最新情况至关重要。持续学习、适应能力和警惕性是领先欺诈者一步的关键。
AIT欺诈是一个复杂而普遍的问题,给企业、消费者和整个社会带来了重大挑战。
但是,通过了解风险、采取主动措施并共同努力,可以减轻这些风险,从而创建一个更安全、更值得信赖的数字环境。
