本文來(lái)自微信公眾號(hào)“網(wǎng)絡(luò)研究院”。
從入侵、漏洞到勒索軟件,似乎CISO和其他高級(jí)安全領(lǐng)導(dǎo)者需要應(yīng)對(duì)的問(wèn)題還不夠多,但另一種威脅卻潛伏著,這種威脅幾乎是看不見(jiàn)的,可能會(huì)損害公司的聲譽(yù)、破壞客戶的信任,并悄悄地吸走收入,人為流量膨脹(AIT)騙局。
AIT也稱為短信流量詐騙,是一種網(wǎng)絡(luò)犯罪形式,其中網(wǎng)絡(luò)犯罪分子通過(guò)無(wú)保護(hù)或低保護(hù)的電話號(hào)碼輸入字段來(lái)識(shí)別目標(biāo),該輸入字段通過(guò)分發(fā)一次性密碼(OTP)、應(yīng)用程序下載鏈接或其他內(nèi)容短信。他們很陰險(xiǎn),而且正在崛起。
它們的工作原理如下:
●網(wǎng)絡(luò)犯罪分子開(kāi)發(fā)了一種機(jī)器人,旨在在網(wǎng)絡(luò)服務(wù)或應(yīng)用程序上創(chuàng)建虛假帳戶。
●網(wǎng)絡(luò)犯罪分子與流氓團(tuán)體合作攔截人為夸大的流量,而不將消息傳遞給預(yù)期的收件人。小型移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)可能是作為流氓方的合作者。
●該機(jī)器人會(huì)觸發(fā)向各種手機(jī)號(hào)碼發(fā)送一次性密碼短信。
●流氓方壓制內(nèi)容的傳遞。
●網(wǎng)絡(luò)犯罪分子和流氓方分享所產(chǎn)生的收入,并繼續(xù)循環(huán)以進(jìn)一步夸大收入或操縱轉(zhuǎn)換統(tǒng)計(jì)數(shù)據(jù),從而增加他們的非法收益。
AIT詐騙之所以具有挑戰(zhàn)性,是因?yàn)樗鼈兒茈y檢測(cè)和預(yù)防,因?yàn)樗鼈兺ǔI婕澳7抡鎸?shí)用戶行為的復(fù)雜技術(shù)。它們還對(duì)廣告商、內(nèi)容提供商和電信公司構(gòu)成重大財(cái)務(wù)威脅,最終可能會(huì)為毫無(wú)價(jià)值的流量或參與度付出高昂的代價(jià)。
為什么AIT欺詐行為有所增加?
許多因素導(dǎo)致AIT詐騙增多,最基本的驅(qū)動(dòng)因素是經(jīng)濟(jì)收益的潛力。無(wú)論是通過(guò)夸大的廣告收入、增加的運(yùn)營(yíng)商間補(bǔ)償,還是對(duì)影響者收取更高的費(fèi)用,成功的AIT騙局的潛在回報(bào)可能是巨大的。
應(yīng)用程序?qū)€(gè)人(A2P)短信服務(wù)的成本不斷上升,使得AIT詐騙的利潤(rùn)潛力對(duì)網(wǎng)絡(luò)犯罪分子越來(lái)越有吸引力。一些網(wǎng)絡(luò)犯罪分子甚至利用AIT計(jì)劃的收益來(lái)資助合法的短信流量,利用AIT的盈利能力來(lái)抵消成本。
更復(fù)雜的機(jī)器人和軟件的開(kāi)發(fā)使欺詐者更容易模仿真實(shí)的用戶行為并逃避檢測(cè)。這些系統(tǒng)正在作為軟件即服務(wù)解決方案進(jìn)行商業(yè)化,并提供給非技術(shù)用戶和傳統(tǒng)的有組織犯罪團(tuán)伙。
此外,由于通用SMS協(xié)議和監(jiān)管框架內(nèi)缺乏監(jiān)管,AIT欺詐也難以識(shí)別。這使得AIT能夠繞過(guò)MNO的防火墻,因?yàn)锳IT詐騙中使用的一次性密碼通常不會(huì)被標(biāo)記為垃圾郵件或禁止內(nèi)容。
AIT欺詐有何影響?
AIT詐騙可能會(huì)給無(wú)意中助長(zhǎng)欺詐活動(dòng)的應(yīng)用程序開(kāi)發(fā)人員帶來(lái)經(jīng)濟(jì)損失。詐騙帶來(lái)的流量增加可能會(huì)導(dǎo)致短信服務(wù)或收入分享協(xié)議的成本上漲,從而影響應(yīng)用程序的盈利能力。今年2月,埃隆·馬斯克(Elon Musk)聲稱,由于AIT詐騙,Twitter每年損失6000萬(wàn)美元。
因此,由于這些攻擊,Twitter刪除了通過(guò)文本進(jìn)行的雙因素身份驗(yàn)證(2FA)(經(jīng)過(guò)驗(yàn)證的Twitter Blue用戶除外),以便通過(guò)僅將2FA短信的使用限制為訂閱客戶來(lái)節(jié)省資金。
AIT對(duì)企業(yè)來(lái)說(shuō)是一個(gè)問(wèn)題,因?yàn)樗岣吡薃2P成本,而犧牲了企業(yè)的利益。不僅如此,向消費(fèi)者發(fā)送過(guò)多的一次性密碼還會(huì)導(dǎo)致不信任,并最終影響公司的聲譽(yù)。
此外,網(wǎng)絡(luò)犯罪分子還利用移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的基礎(chǔ)設(shè)施進(jìn)行欺詐活動(dòng),從而與網(wǎng)絡(luò)犯罪分子分享收入。隨著SMS費(fèi)率持續(xù)上升,企業(yè)可能會(huì)尋求替代的身份驗(yàn)證方法,從而減少對(duì)A2P SMS服務(wù)的需求并導(dǎo)致MNO(移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商)的收入損失。
AIT詐騙還會(huì)對(duì)企業(yè)聲譽(yù)產(chǎn)生不利影響。當(dāng)用戶收到多個(gè)他們未請(qǐng)求的OTP(一次性密碼)時(shí),就會(huì)引發(fā)對(duì)相關(guān)組織的合法性和合規(guī)性的懷疑。
這可能會(huì)導(dǎo)致客戶失去信任,他們可能會(huì)質(zhì)疑受影響應(yīng)用程序和與欺詐活動(dòng)相關(guān)的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的完整性。此類詐騙造成的負(fù)面看法和潛在的負(fù)面宣傳可能會(huì)導(dǎo)致用戶信心下降,并對(duì)相關(guān)企業(yè)的聲譽(yù)產(chǎn)生不利影響。
為什么應(yīng)該關(guān)心AIT欺詐
雖然AIT欺詐可能并不代表對(duì)系統(tǒng)或網(wǎng)絡(luò)的直接攻擊或入侵,但它不僅影響營(yíng)銷部門或利潤(rùn),而且影響整個(gè)組織。這意味著CISO和首席安全官CSO對(duì)AIT欺詐跡象保持警惕非常重要,因?yàn)樗麄冊(cè)诒Wo(hù)組織的信息和資產(chǎn)方面發(fā)揮著至關(guān)重要的作用。
AIT是對(duì)這些責(zé)任的直接威脅,并可能產(chǎn)生嚴(yán)重后果。因此,每個(gè)CISO和CSO都應(yīng)該關(guān)注這一問(wèn)題,因?yàn)檫@些攻擊可能會(huì)對(duì)您的公司產(chǎn)生財(cái)務(wù)影響,增加聲譽(yù)和安全風(fēng)險(xiǎn),并影響數(shù)據(jù)完整性、監(jiān)管合規(guī)性以及客戶關(guān)系和信任??紤]到這些原因,很明顯,AIT欺詐屬于CISO和CSO的職權(quán)范圍。
AIT詐騙不僅會(huì)給組織造成重大財(cái)務(wù)損失,還會(huì)干擾數(shù)據(jù)隱私和安全法的遵守。由于CISO負(fù)責(zé)管理和減輕與網(wǎng)絡(luò)安全相關(guān)的財(cái)務(wù)風(fēng)險(xiǎn),這成為他們需要減輕的風(fēng)險(xiǎn)。
為了確保SMS通信的完整性并防止AIT詐騙,CISO和CSO應(yīng)通過(guò)實(shí)施強(qiáng)有力的控制、監(jiān)控系統(tǒng)和用戶驗(yàn)證流程來(lái)優(yōu)先考慮公司移動(dòng)渠道的安全。他們需要改善與應(yīng)用程序開(kāi)發(fā)人員和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的合作,分享信息、最佳實(shí)踐和對(duì)策,共同打擊AIT詐騙。
提高認(rèn)識(shí)是打擊AIT詐騙的第一步
通過(guò)隨時(shí)了解AIT詐騙等新興威脅,CISO和CSO可以主動(dòng)評(píng)估風(fēng)險(xiǎn)、實(shí)施適當(dāng)?shù)目刂撇⒎峙滟Y源,以減輕這些詐騙的財(cái)務(wù)和聲譽(yù)影響。
流量增加本身并沒(méi)有利用安全漏洞,而是利用了創(chuàng)建新帳戶的便捷性。攻擊者可以利用該過(guò)程進(jìn)行不同類型的惡意活動(dòng),具體取決于服務(wù)的可用性。
從安全角度來(lái)看,重點(diǎn)將放在身份驗(yàn)證和新帳戶創(chuàng)建過(guò)程上,而不是僅僅依賴短信,這已被證明是最不安全的,而是使用多因素身份驗(yàn)證或其他方法。這將消除此類騙局成功的可能性,同時(shí)有助于提高客戶帳戶的安全性。
減少SMS AIT欺詐的最佳實(shí)踐
這通常是一個(gè)復(fù)雜的過(guò)程,需要采取多方面的方法,包括檢測(cè)、預(yù)防和應(yīng)對(duì)策略。沒(méi)有任何單一策略是完全萬(wàn)無(wú)一失的,關(guān)鍵是建立強(qiáng)大的、多層的防御,其中包括:
定期審核:公司應(yīng)定期審核其移動(dòng)流量和廣告活動(dòng),并查找數(shù)據(jù)中是否存在任何不一致或違規(guī)行為。
技能和意識(shí):確保團(tuán)隊(duì)了解AIT詐騙的風(fēng)險(xiǎn)和跡象。受過(guò)良好教育的團(tuán)隊(duì)更有能力發(fā)現(xiàn)潛在的欺詐行為并采取行動(dòng)。
用戶行為分析:了解合法用戶的行為,以便更好地發(fā)現(xiàn)異常情況。這將有助于區(qū)分真實(shí)流量和欺詐流量。企業(yè)面臨的挑戰(zhàn)是它們的成熟度,因?yàn)楹苌儆衅髽I(yè)具有如此細(xì)粒度的確定性。
值得信賴的廣告網(wǎng)絡(luò):對(duì)于從事數(shù)字廣告的企業(yè)來(lái)說(shuō),與以采取主動(dòng)措施打擊欺詐而聞名的廣告網(wǎng)絡(luò)合作至關(guān)重要。這些網(wǎng)絡(luò)擁有強(qiáng)大的系統(tǒng)來(lái)識(shí)別和減輕AIT詐騙。
以下最佳實(shí)踐來(lái)減少移動(dòng)SMS AIT欺詐:
●阻止機(jī)器人:機(jī)器人通常用于欺詐活動(dòng),模仿人類行為并生成虛假流量。默認(rèn)阻止機(jī)器人,特別是那些無(wú)法識(shí)別自己身份的機(jī)器人,可以有效減少欺詐流量。組織應(yīng)該維護(hù)允許爬行其網(wǎng)站的用戶代理列表,并在新的合法機(jī)器人出現(xiàn)時(shí)主動(dòng)更新這些列表。
●reCAPTCHAv2:該服務(wù)可以幫助區(qū)分人類用戶和機(jī)器人。它提供的任務(wù)對(duì)人類來(lái)說(shuō)很容易,但對(duì)機(jī)器人來(lái)說(shuō)卻很困難。在移動(dòng)應(yīng)用程序上實(shí)施reCAPTCHAv2,特別是在表單和其他交互元素上,可以大大減少機(jī)器人活動(dòng)。
●速率限制:這涉及對(duì)用戶或IP地址在特定時(shí)間范圍內(nèi)可以發(fā)出的請(qǐng)求數(shù)量設(shè)置限制。如果超過(guò)限制,該用戶或IP將被暫時(shí)封鎖。這種技術(shù)可以減緩或阻止欺詐性流量,尤其是來(lái)自執(zhí)行高頻活動(dòng)的機(jī)器人的流量。
●設(shè)備指紋識(shí)別:該技術(shù)根據(jù)設(shè)備的獨(dú)特配置(例如操作系統(tǒng)、瀏覽器版本、安裝的字體等)來(lái)識(shí)別和跟蹤設(shè)備。通過(guò)這樣做,公司可以識(shí)別來(lái)自同一設(shè)備的可疑模式或重復(fù)的欺詐活動(dòng),即使他們更改IP地址或使用VPN。
●蜜罐:蜜罐是誘餌系統(tǒng)或陷阱,看似組織網(wǎng)絡(luò)的一部分,但實(shí)際上是隔離和監(jiān)控的。它們旨在引誘攻擊者,攻擊者將時(shí)間和資源浪費(fèi)在誘餌上,同時(shí)他們的行為會(huì)被記錄并用于改進(jìn)安全措施。
●切換到密鑰:這是許多大公司采用的新標(biāo)準(zhǔn)。它解決了許多問(wèn)題,其中之一是由于密碼總是在變化,因此不會(huì)泄露真正的密碼。
隨著技術(shù)的不斷發(fā)展和新形式的AIT欺詐的出現(xiàn),保持信息靈通和了解最新情況至關(guān)重要。持續(xù)學(xué)習(xí)、適應(yīng)能力和警惕性是領(lǐng)先欺詐者一步的關(guān)鍵。
AIT欺詐是一個(gè)復(fù)雜而普遍的問(wèn)題,給企業(yè)、消費(fèi)者和整個(gè)社會(huì)帶來(lái)了重大挑戰(zhàn)。
但是,通過(guò)了解風(fēng)險(xiǎn)、采取主動(dòng)措施并共同努力,可以減輕這些風(fēng)險(xiǎn),從而創(chuàng)建一個(gè)更安全、更值得信賴的數(shù)字環(huán)境。