author
Mélanie Baste2023-07-25

Artificial Inflation of Traffic (AIT) : comment prévenir la fraude par SMS A2P  ?

Le secteur des SMS A2P et ses clients sont confrontés à un nouveau type d'attaques frauduleuses impliquant un trafic SMS généré de manière non désirée, appelé "Artificially Inflated Traffic" (AIT). Des services web faiblement sécurisés sont exploités pour déclencher des messages SMS. Il est actuellement presque impossible d'identifier les auteurs de ces attaques. Bien que le nombre d'entreprises touchées par ce type d'attaques soit encore limité, chez LINK Mobility, nous prenons ce problème au sérieux et souhaitons vous informer sur la manière dont vous pouvez réduire le risque qu'il affecte votre entreprise.

Explication des abréviations utilisées :

  • CAPTCHA : signifie Completely Automated Public Turing test to tell Computers and Humans Apart. Ce sont des outils que vous pouvez utiliser pour identifier les utilisateurs réels et les utilisateurs automatisés, par exemple les bots.

  • A2P : Application-to-person. Il s’agit de tout type de trafic dans lequel une personne reçoit des messages d'une application.

  • OTP : One-Time Password (mot de passe à usage unique). C’est-à-dire un mot de passe qui n'est valable que pour une seule session de connexion.

  • AIT : Artificial Inflation of Traffic. C’est un type de fraude par SMS qui génère un faux trafic SMS par l'intermédiaire d'applications et de sites web, ce qui permet aux attaquants de réaliser d'énormes gains financiers.

  • MSISDN : Mobile Station International Subscriber Directory Number. C’est le numéro complet des utilisateurs (par exemple, un numéro de téléphone mobile).

Qu'est-ce que l’inflation artificielle du trafic (AIT) ?

L'Artificially Inflated Traffic (AIT) est un nouveau type de fraude par SMS dans lequel des acteurs génèrent de grands volumes de faux trafic par le biais d'applications ou de sites web. La fraude a généralement lieu par le biais de SMS OTP (One-time password SMS), où le fraudeur utilise des bots qui génèrent par exemple de faux comptes pour déclencher des SMS OTP vers plusieurs numéros de téléphone mobile. Plusieurs parties sont impliquées dans ce type d'attaque : l'une d'entre elles exécute l'attaque proprement dite et un acteur malhonnête intercepte le trafic gonflé sans réellement délivrer de messages à l'utilisateur final. De grandes quantités de SMS non désirés sont générées en appelant le service de manière répétée. Les deux acteurs tirent en fin de compte d'importants profits de ces attaques.

La fraude au trafic se produit par l'intermédiaire des utilisateurs finaux et contre des services web faiblement protégés, tels que les formulaires web et les applications qui peuvent générer des SMS A2P. Le trafic est envoyé à partir du système normal du client et les messages n'ont pas de contenu anormal. Une attaque et le résultat d'une campagne de marketing ou d'une expansion sur un nouveau marché peuvent avoir des schémas de trafic presque identiques.

Nous vous aidons à gérer et à réduire le risque de fraude au trafic. Cependant, il est important de souligner que les attaques ne sont pas dues à des failles de sécurité dans les solutions, réseaux, plateformes, API ou applications de LINK Mobility. Pour contrer ce type d'attaque, nos équipes surveillent nos systèmes 24 heures sur 24 et 7 jours sur 7 et peuvent donc intervenir et stopper une attaque dès qu'elle est détectée. Mais même lorsqu'une attaque se produit, il peut être difficile de la détecter du côté du fournisseur. Pour améliorer la protection, nous encourageons donc nos clients à renforcer la sécurité de leurs services clients qui peuvent générer des SMS A2P afin de minimiser le risque d'AIT.

Comment les attaques de l'AIT se produisent-elles ?

Nous énumérons ci-dessous les situations les plus courantes dans lesquelles des attaques AIT ont été détectées. Elles se produisent principalement par le biais de formulaires web et d'applications pour smartphones qui peuvent déclencher des SMS A2P :

  • Inscription par SMS

  • Inscription par SMS avec authentification à deux facteurs

  • Changement de MSISDN pour l'authentification à deux facteurs

  • SMS avec l'URL de l'AppStore pour le mobile

  • Envoi d'un SMS avec le lien AppStore vers le mobile

Les attaques par formulaire web peuvent facilement être déclenchées par des bots, tandis que les attaques sur les applications peuvent être déclenchées par des bots sur des émulateurs de smartphones et par des informations d'identification API extraites de l'application.

Ce que vous pouvez faire pour prévenir les attaques

Pour contrer ces types d'attaques, il existe plusieurs mesures que vous pouvez prendre afin de minimiser le risque qu'elles se produisent. Vous pouvez notamment :

  • Bloquer ou mettre sur liste blanche des marchés pour limiter les envois vers des pays qui ne font pas partie de vos marchés cibles.

  • Mettre en place une limite de taux pour les envois vers des pays situés en dehors de vos marchés cibles

  • Mettre en place un CAPTCHA sophistiqué (par exemple, Google reCaptcha)

  • Examiner manuellement ou automatiquement les statistiques relatives aux SMS par pays

  • Appliquer des contre-mesures à tous les processus qui incluent des SMS (enregistrement, connexion, mise à jour des données de l'utilisateur, exclusion, etc.)

Contre-mesures connues pour être contournées par les attaquants

Nous souhaitons également vous informer des mesures qui peuvent être facilement contournées par les attaquants et qui n'offrent donc pas une bonne protection. Cela ne signifie pas pour autant que ces mesures sont inutiles et qu'elles ne peuvent pas contrer d'éventuelles attaques. Cependant, elles n'offrent aucune garantie d'arrêter les pirates malveillants persistants.

Voici une liste de ces mesures et de la manière dont les attaquants les contournent :

Contre-mesures de l'AITComment les attaquants contournent la mesure
Limiter le nombre de requêtes par adresse IPLes attaquants utilisent des botnets pour exploiter plusieurs adresses IP
Blocage des adresses IP et des plages d'adresses IPLes attaquants utilisent des réseaux de zombies pour exploiter plusieurs adresses IP et plages d'adresses IP
Blocage de l'envoi de SMS au même MSISDNLes attaquants génèrent plusieurs MSISDN aléatoires
Blocage de plusieurs MSISDN différents à partir d'une seule IPLes attaquants encerclent différents MSISDN par le biais de différentes IP
Utilisation de CAPTCHA simplesLes attaquants utilisent la reconnaissance de texte ou une main-d'œuvre bon marché pour résoudre les CAPTCHA
Surveiller le nombre élevé de messages non délivrés par paysLes attaquants renvoient de faux DLR

Comportement de l'attaquant pour éviter le blocage

Il existe un modèle de comportement des attaquants pour contourner le blocage des attaques. Gardez-les à l'esprit lorsque vous renforcez la sécurité de vos systèmes :

  • Les attaques de l'AIT commencent la nuit, avant les week-ends et les jours fériés, c'est-à-dire à des moments où les systèmes sont généralement moins surveillés.

  • Elles commencent par envoyer des messages lentement afin de rester sous le radar et de documenter les volumes de SMS lorsque le trafic est bloqué.

  • Ils envoient ensuite d'autres campagnes à une vitesse inférieure à la vitesse de blocage documentée.

  • Ils envoient des SMS à de nombreux pays qui ne peuvent pas être complètement bloqués. Une grande partie du trafic peut être un dommage indirect pour cacher des SMS aux marchés cibles des attaquants.

  • Synchroniser les MSISDN utilisés entre la partie qui déclenche le trafic et la partie qui vise à augmenter les bénéfices. Des nombres aléatoires entraîneraient un nombre élevé de messages non délivrés. Si la seconde partie sait à quels MSISDN entrants elle doit s'attendre, elle peut renvoyer de faux DLR positifs pour éviter d'être détectée et rejeter le SMS (ce qui permet d'obtenir une marge de 100 % et d'éviter tout risque de plainte de la part de l'utilisateur final).

Notre meilleur conseil est de prendre en compte la sécurité de vos services web qui peuvent générer du trafic SMS A2P, afin de réduire le risque de trafic artificiellement gonflé. Si vous avez des questions, n'hésitez pas à contacter votre équipe d'assistance locale !

Vous avez des questions ? Nous sommes là pour vous aider ! Contactez-nous, nous serons ravis de vous répondre.