Suggerimenti per prevenire le frodi nel traffico SMS e voce

Innanzitutto, invitiamo a contattarci se si riscontrano attività insolite o sospette sull'account CM.com. Adotteremo tutte le misure necessarie per proteggere sia i dati, sia gli account, e attraverso questo blog segnaliamo alcuni dei tipi di frode più diffusi e le misure da adottare per ridurre al minimo i rischi.

I truffatori hanno bisogno di comunicare in scala con le loro potenziali vittime e se possono farlo gratuitamente appoggiandosi all'account CM.com, è molto meglio per loro. Il rischio di compromissione dell'account può essere affrontato in diversi modi, che vedremo in seguito.

Perché i criminali vogliono compromettere il mio account CM.com?

Conosciamo tutti la minaccia del phishing: e-mail e siti web fraudolenti progettati per ingannare i destinatari e indurli a rivelare informazioni sensibili, in particolare i dati bancari. Anche i messaggi di testo e le chiamate vocali vengono sfruttati per "pescare" dati; queste tecniche sono chiamate "smishing" (con la "s" di SMS) e "vishing" per i messaggi vocali fraudolenti.

Prendere di mira un account cliente di CM.com è interessante per i truffatori per due motivi: possono inviare messaggi gratuitamente e possono nascondere la loro identità. Se l'account utilizzato è compromesso, i messaggi fraudolenti provengono da te.

Oltre al phishing, allo smishing e al vishing, i truffatori possono anche cercare di sfruttare l'account per avviare chiamate vocali a numeri a tariffa maggiorata, per le quali il titolare dell'account CM.com verrà poi addebitato.

Naturalmente, ci sono cose che si possono e si devono fare per impedire ai criminali di crackare le credenziali dell'account o di rubare il token API. Le elenchiamo di seguito.

Cosa si può fare per prevenire la compromissione dell'account?

• Assicurarsi che l'autenticazione a due fattori (2FA) sia abilitata sul proprio account CM.com. Questa funzione riduce notevolmente la probabilità di accesso non autorizzato rispetto a un account protetto esclusivamente da nome utente e password. Le istruzioni sono disponibili sulla pagina del nostro servizio clienti.

• Creare una password complessa o anche una passphrase utilizzando una combinazione di parole, numeri, simboli e lettere maiuscole e minuscole. Evitare di usare informazioni personali o parole che possono essere trovate nel dizionario.

• Non condividere mai il token online o con qualcuno che non ne ha bisogno. Il token deve rimanere protetto sui propri server; in nessun caso deve essere mostrato agli utenti finali del sito web, nemmeno in forma criptata. Il token non deve essere incluso nel codice sorgente del sito web o della applicazione mobile.

• Impostare un limite al proprio credito mensile e aumentarlo quando necessario per una campagna contattando il proprio account manager CM.com. Quando si raggiunge il 75% del credito, si riceve automaticamente una notifica via e-mail. Quando si raggiunge il 100%, l'account verrà temporaneamente sospeso e riattivato una volta saldate le fatture in sospeso.

SMS Pumping e frodi sui pedaggi

La compromissione dell'account non è l'unico rischio di frode nel commercio conversazionale; è importante proteggersi anche dal cosiddetto pompaggio via SMS e dalle frodi a pagamento, in cui il truffatore abusa del proprio sito web e delle possibilità di verifica. 

Che cos'è l'SMS Pumping?

Nel pompaggio di SMS o traffico, i truffatori sfruttano sistemi di accesso automatizzati per innescare forti picchi di traffico verso numeri di loro proprietà o verso una serie di numeri controllati da uno specifico operatore di rete mobile (MNO) con il quale cospirano. I truffatori raccolgono una parte delle entrate generate in questo modo, ma il titolare dell'account CM.com deve pagare il conto.

Bisogna fare attenzione al picco di messaggi inviati a un blocco di numeri consecutivi (ad esempio +1234567890, +1234567891, +1234567892, +1234567893 e così via). Questi numeri sono molto probabilmente controllati dallo stesso MNO. Un segno rivelatore dell'uso fraudolento di un codice SMS unico è un ciclo di verifica incompleto. Purtroppo, i truffatori più avanzati hanno anche gli strumenti per falsificare un ciclo di verifica completato.

Che cos'è la frode del pedaggio?

Nello scenario delle frodi a pagamento, i criminali prendono di mira la verifica del telefono per generare un elevato volume di chiamate vocali a numeri a tariffa maggiorata, che addebitano ai chiamanti un prezzo per chiamata o per minuto. Se tali chiamate sono generate in modo fraudolento dal proprio sito web, le spese ricadono su di essi.

Cosa si può fare per prevenire o rilevare il pompaggio di SMS e le frodi sui pedaggi?

• Rilevare e scoraggiare gli attacchi bot implementando librerie come BOTD o CAPTCHA sul proprio sito web.

• Monitorare i tassi di conversione dei codici OTP (one-time passcode) e creare avvisi in caso di calo dei tassi.

• Implementate ritardi (esponenziali) tra le richieste di verifica con lo stesso numero di telefono.

• Offrire canali alternativi come la verifica vocale, non in prima istanza ma, ad esempio, al terzo tentativo di verifica.

• Creare un elenco di destinazioni "consentite" o "bloccate" sul proprio sito web.

• Analizzare l'IP e rilevate le VPN sul proprio sito web.

• Implementare limiti di velocità sul numero di richieste. Ad esempio, bisogna limitare il numero di richieste per numero di telefono/indirizzo IP in un determinato periodo di tempo sul proprio sito web.

• Impostare un limite all'importo del credito mensile, come indicato sopra.

Le frodi sono una triste realtà e i criminali cercano sempre nuovi modi per sfruttare le tecnologie innovative.

Ci auguriamo che questo breve blog ti abbia dato un'idea più precisa dei rischi di frode nel commercio conversazionale e di ciò che puoi fare per mitigarli. Se ritieni che il tuo account possa essere stato compromesso o se sospetti qualsiasi altro tipo di illecito, contattaci.