Combattere il rischio di SMS pumping (Artificially Inflated Traffic)

La messaggistica A2P (application-to-person) sta diventando sempre più popolare tra le aziende che desiderano migliorare l’interazione con i clienti attraverso comunicazioni personalizzate. Con l’evoluzione dell’adozione di A2P, anche il panorama delle minacce per l’ecosistema di messaggistica si è sviluppato. Il fenomeno recente dell’SMS Pumping rappresenta una tendenza preoccupante e costituisce una significativa minaccia per l’affidabilità della messaggistica A2P nelle comunicazioni aziendali. Tuttavia, esistono strategie per mitigarne gli effetti.  

Cos’è l’SMS Pumping (traffico gonfiato artificialmente)?  

L’SMS Pumping, noto anche come Artificially Inflated Traffic (AIT), è una pratica fraudolenta che viene utilizzata per generare grandi volumi di messaggi utilizzando bot o software online. I truffatori creano account falsi per inviare un gran numero di richieste di codici OTP (One-Time Password) tramite SMS.  

Gli aggressori utilizzano software automatizzati per inserire numeri di telefono (sia numeri virtuali falsi che, meno frequentemente, numeri reali) in moduli online su siti web e applicazioni mobili collegati ai sistemi SMS. Spesso possono inserire numeri a tariffa premium e selezionare mercati A2P con alte tariffe di terminazione per il traffico fraudolento al fine di ottenere maggiori profitti.  

Molti soggetti possono essere coinvolti nella frode del traffico SMS, rendendo il problema complesso da risolvere. 

Le compagnie di telefonia mobile (MNO, mobile network operator) possono talvolta gonfiare il traffico SMS per mostrare alte statistiche di utilizzo e trarne profitto. A volte, i fornitori di comunicazioni possono gonfiare il traffico per aumentare i ricavi. Possono fare richieste ripetute di OTP e quindi inserire i codici OTP nell’app o nel sito web del cliente, rendendo la transazione apparentemente legittima. Tuttavia, poiché il messaggio non raggiunge l’MNO, possono addebitare al cliente senza dover pagare l’MNO. In alcuni casi, le aziende possono approfittare dell’AIT per esagerare la loro base clienti e mostrare metriche di crescita ingannevoli. 

Quali sono gli effetti negativi del traffico artificialmente inflazionato?

L’AIT ha implicazioni che si estendono a tutto l’ecosistema di messaggistica, influenzando negativamente MNO, fornitori di comunicazione e aziende. 

Perdite finanziarie  

L’AIT può causare ingenti perdite finanziarie per le aziende. Il traffico gonfiato può esagerare le statistiche di conversione, risultando in aziende che spendono per messaggi che non hanno alcun impatto. Le aziende possono incorrere in costi elevati per i servizi SMS a causa del traffico inflazionato, che viene scoperto solo dopo aver valutato i volumi di messaggi rispetto ai rendimenti stimati. Inoltre, la frode nel traffico aumenta il costo degli SMS, influenzando le aziende che dipendono dagli SMS per le comunicazioni con i clienti. Il costo maggiore può spingere le aziende a cercare soluzioni più convenienti ed esplorare canali di comunicazione alternativi, con conseguente calo della domanda di servizi SMS A2P. 

Reputazione del brand 

Le organizzazioni il cui brand è compromesso da attacchi AIT possono subire una perdita di reputazione poiché possono essere considerate non conformi e illegittime. Inoltre, i messaggi non richiesti possono rovinare l’esperienza dell’utente e erodere la fiducia del cliente. Poiché l’AIT ha il potenziale per manipolare le statistiche di conversione, può diminuire l’affidabilità degli SMS, portando infine le aziende a optare per canali alternativi. La credibilità degli SMS come canale di messaggistica sicuro è a rischio, e quindi tutte le parti dovrebbero collaborare per mitigare l’impatto negativo dell’AIT. 

Come individuare la frode AIT nel traffico SMS?  

È importante adottare misure per garantire che gli attacchi di SMS pumping non passino inosservati. Un picco insolito nelle richieste di SMS può essere un indicatore di traffico inflazionato. Allo stesso modo, un improvviso aumento dei numeri a tariffa premium che fanno richieste di OTP può significare che il tuo sistema SMS è stato compromesso.  

Ecco alcuni passi che puoi seguire per individuare la frode nel traffico SMS il prima possibile:

• Monitorare i tassi di conversione Tieni d’occhio la percentuale di conversione, che rappresenta il rapporto tra il numero di OTP convalidati dagli utenti e il numero di OTP inviati. Se si verifica una diminuzione o un aumento anomalo del tasso di conversione, presta attenzione ai numeri da cui ricevi le richieste.

• Verificare i trend anomali. Controlla la frequenza e la distribuzione delle richieste SMS e cerca deviazioni dai trend tipici. Ad esempio, se vengono inviati messaggi a un paese in cui l’azienda non ha utenti, è probabile che si tratti di traffico artificialmente inflazionato.

   

• Moduli web incompleti. Poiché i bot o il software automatizzato compilano i moduli per inserire il numero di telefono, potrebbero essere compilati solo parzialmente o contenere informazioni irrilevanti. Verifica le iscrizioni non valide con dettagli che sembrano fuori posto.

   

• Identificare intervalli di numeri consecutivi. Spesso, i numeri inseriti sono intervalli consecutivi di numeri irrealistici, ad esempio +xxxxxxxxx001, +xxxxxxxxx002, +xxxxxxxxx003, ecc. Controllare questo tipo di modello permette di individuare l’SMS pumping.

   

  Misure per prevenire e mitigare i rischi del traffico artificialmente inflazionato
   

  1. Scegli fornitori affidabili. Valuta i tuoi fornitori di comunicazione e scegli solo quelli con una buona reputazione. Le aziende quotate in borsa sono sottoposte a controlli più rigorosi sulle loro pratiche e fonti di reddito e quindi possono essere più affidabili.

  2. Scegli fornitori che hanno firmato il codice di condotta di MEF – Mobile Ecosystem Forum. Verifica se i fornitori sono trasparenti e hanno processi per affrontare l’AIT. Scegli fornitori che offrono non solo la terminazione degli SMS OTP, ma anche sistemi di verifica completi (come Kaleyra Verify) che generano l’OTP, lo inviano e lo verificano quando viene utilizzato correttamente per accedere o confermare una transazione.

  3. Preferisci rotte diretti perché più è lunga la catena per terminare un SMS OTP, più opportunità hanno i malintenzionati di approfittarne. Puoi lavorare con i tuoi fornitori per mantenere un elenco di indirizzi IP sospetti o inseriti nella blacklist. Opta per fornitori che offrono un fallback per gli SMS OTP attraverso canali alternativi come l’email o la voce, semplificando il processo di autenticazione e garantendo ai tuoi clienti un’esperienza senza interruzioni.

  4. Implementa misure di prevenzione dei bot come i CAPTCHA. Puoi scoraggiare i tentativi di frode utilizzando librerie come BOTd o CAPTCHA nei moduli online. Facendo in modo che sia obbligatorio per gli utenti convalidare se stessi, puoi prevenire gli attacchi dei bot introducendo al contempo piccole modifiche all’esperienza dell’utente.
  
  5. Imposta limiti di velocità e ritardi. Impedisci agli utenti di effettuare numerose richieste SMS ripetute dallo stesso indirizzo IP o dispositivo. Imposta un numero massimo di richieste in un determinato lasso di tempo. Limitando il numero di messaggi inviati a determinati intervalli o prefissi di numeri, puoi proteggere la tua azienda dagli attacchi degli attori minacciosi. Implementa ritardi tra i tentativi per assicurarti che lo stesso numero non sia sommerso da messaggi in un breve periodo. I ritardi esponenziali, che prevedono tempi di attesa crescenti tra i tentativi, possono anche ridurre gli attacchi dei bot.

  6. Disabilita la messaggistica in base alla posizione geografica. Se la tua azienda non opera in determinate regioni, puoi disabilitare l’invio di messaggi a paesi non utilizzati. Sebbene tu possa avere una base clienti globale, puoi identificare i paesi in cui non hai utenti e impostare le autorizzazioni geografiche per disabilitare i messaggi verso quelle destinazioni. 

Come Kaleyra aiuta ad affrontare questo problema?  

La fiducia del cliente è una priorità assoluta per Kaleyra. Siamo impegnati a proteggere le aziende e i clienti dalle frodi e a fornire comunicazioni sicure e affidabili. Lavoriamo a stretto contatto con le aziende per aiutarle a monitorare le tendenze del tasso di conversione per individuare irregolarità. Le aziende possono anche utilizzare le analisi di Kaleyra per individuare rapidamente eventuali abusi legati ai piani di numerazione degli utenti finali (invio a intervalli di numeri).  

Se sospetti di essere vittima di frodi legate all’SMS pumping, contattaci e ti aiuteremo immediatamente. Kaleyra, essendo un leader globale nella messaggistica A2P, si impegna a affrontare tempestivamente le attività fraudolente e a mantenere un ecosistema sicuro per la messaggistica aziendale.