0
0
Como se não houvesse problemas suficientes para os CISOs e outros líderes seniores de segurança enfrentarem, de invasões a vulnerabilidades e ransomware, outra ameaça virtualmente invisível está à espreita, pode prejudicar a reputação de uma empresa, quebrar a confiança do cliente e desviar silenciosamente a receita — o golpe da inflação artificial do tráfego (AIT).
Também conhecidos como golpes de bombeamento de tráfego por SMS, os AITs são uma forma de cibercrime em que os cibercriminosos identificam alvos com um campo de entrada de número de telefone sem ou com pouca proteção que distribui senhas únicas (OTPs), links para download de aplicativos ou outro conteúdo por meio de mensagens de texto. Eles são insidiosos e estão em alta.
Veja como eles funcionam, de acordo com Roger Albrecht, sócio e colíder de segurança cibernética da empresa global de pesquisa e consultoria em tecnologia ISG:
- Um cibercriminoso desenvolve um bot projetado para criar contas falsas em um serviço ou aplicativo da web.
- O cibercriminoso colabora com uma parte desonesta para interceptar o tráfego inflado artificialmente sem entregar as mensagens aos destinatários pretendidos. Uma pequena operadora de rede móvel (MNO) pode ser um colaborador como um partido desonesto.
- O bot aciona a entrega de mensagens SMS com senha única para vários números de celular.
- A parte desonesta suprime a entrega do conteúdo.
- O cibercriminoso e a parte trapaceira compartilham as receitas geradas e continuam o ciclo para aumentar ainda mais as receitas ou manipular as estatísticas de conversão, aumentando seus ganhos ilícitos.
“O que torna os golpes de AIT desafiadores é que eles podem ser difíceis de detectar e prevenir, pois geralmente envolvem técnicas sofisticadas para imitar o comportamento real do usuário”, diz Nigel Gibbons, diretor e consultor sênior da empresa de consultoria de segurança NCC Group. “Eles também representam uma ameaça financeira significativa para anunciantes, provedores de conteúdo e empresas de telecomunicações que podem acabar pagando significativamente por tráfego ou engajamento sem valor”.
Por que há um aumento na fraude AIT?
Muitos fatores estão contribuindo para um aumento nos golpes de AIT. O fator mais básico é o potencial de ganho financeiro, diz Gibbons. Seja por meio de receitas de anúncios infladas, aumento da remuneração entre operadoras ou taxas mais altas para influenciadores, as recompensas potenciais para golpes de AIT bem-sucedidos podem ser substanciais.
E os custos crescentes dos serviços de SMS de aplicativo para pessoa (A2P) tornaram o potencial de lucro dos golpes de AIT cada vez mais atraente para os cibercriminosos, diz Albrecht. “Alguns cibercriminosos até utilizam os rendimentos dos esquemas de AIT para financiar o tráfego legítimo de SMS, aproveitando a lucratividade da AIT para compensar os custos.”
O desenvolvimento de bots e softwares mais sofisticados torna mais fácil para os fraudadores imitar o comportamento real do usuário e evitar a detecção, diz Gibbons. E esses sistemas estão sendo comercializados como soluções de software como serviço e disponibilizados para usuários não técnicos e gangues tradicionais do crime organizado.
Além disso, a fraude AIT apresenta dificuldades de identificação devido à falta de regulamentação nos acordos comuns de SMS e estruturas regulatórias, diz Albrecht. “Isso permite que a AIT contorne os firewalls da MNO, já que as senhas de uso único usadas em golpes da AIT não são normalmente marcadas como spam ou conteúdo proibido”.
Qual é o impacto da fraude AIT?
Os golpes de AIT podem levar a perdas financeiras para desenvolvedores de aplicativos que involuntariamente facilitam atividades fraudulentas. O aumento do tráfego do golpe pode resultar em custos inflacionados para serviços de SMS ou acordos de compartilhamento de receita, impactando a lucratividade do aplicativo, diz Albrecht. Em fevereiro, Elon Musk afirmou que o Twitter perdeu US$ 60 milhões por ano devido a golpes baseados em AIT.
Consequentemente, o Twitter removeu a autenticação de dois fatores (2FA) via texto por causa desses ataques, exceto para usuários verificados do Twitter Blue, para economizar dinheiro, limitando o uso de SMS 2FA apenas para clientes de assinatura.
AIT é um problema para as empresas porque aumenta os custos de A2P às custas da empresa, diz Lee Suker, chefe de autenticação e informações numéricas da Sinch, com sede em Estocolmo. Não apenas isso, mas enviar muitas senhas de uso único aos consumidores gera desconfiança e pode, em última análise, refletir negativamente na reputação de uma empresa. Além disso, os cibercriminosos exploram a infraestrutura fornecida pelas MNOs para realizar suas atividades fraudulentas, resultando em receita compartilhada com os cibercriminosos, de acordo com Albrecht. Como as taxas de SMS continuam aumentando, as empresas podem buscar métodos alternativos de autenticação, reduzindo a demanda por serviços de SMS A2P e causando perda de receita para MNOs.
Os golpes de AIT também podem ter um efeito prejudicial na reputação das empresas, diz Albrecht. Quando os usuários recebem vários OTPs que não solicitaram, isso levanta dúvidas sobre a legitimidade e conformidade das organizações envolvidas.
“Isso pode levar à perda de confiança dos clientes, que podem questionar a integridade dos aplicativos afetados e das MNOs associadas às atividades fraudulentas”, diz Albrecht. “A percepção negativa e a potencial publicidade negativa resultante de tais golpes podem causar um declínio na confiança do usuário e impactar adversamente a reputação das empresas envolvidas”.
Por que os CISOs devem se preocupar com a fraude de AIT
Embora possa não representar um ataque direto ou intrusão em um sistema ou rede, a fraude de AIT afeta não apenas o departamento de marketing ou os resultados financeiros, mas toda a organização. Isso significa que é importante que CISOs e diretores de segurança (CSOs) estejam atentos aos sinais de fraude AIT porque eles desempenham papéis vitais na proteção de informações e ativos de suas organizações, diz Gibbons.
“AIT é uma ameaça direta a essas responsabilidades e pode ter sérias consequências”, diz Gibbons. “Como tal, é algo que deve estar no radar de todos os CISO e CSO porque [esses ataques] podem ter um impacto financeiro em sua empresa, aumentar os riscos de reputação e segurança e afetar a integridade dos dados, conformidade regulatória e relacionamentos e confiança com os clientes. Dadas essas razões, está claro que a fraude de AIT é da alçada de CISOs e OSCs.”
Os golpes de AIT não apenas podem resultar em perdas financeiras significativas para uma organização, mas também podem interferir na conformidade com as leis de privacidade e segurança de dados, diz Avani Desai, CEO da Schellman, uma empresa de avaliação de segurança cibernética. “Como o CISO é responsável por gerenciar e mitigar os riscos financeiros relacionados à segurança cibernética, isso se torna um risco que eles precisam mitigar”, diz ela.
E para garantir a integridade das comunicações SMS e proteger contra golpes de AIT, CISOs e CSOs devem priorizar a segurança dos canais móveis de suas empresas implementando controles fortes, sistemas de monitoramento e processos de verificação de usuários, de acordo com Albrecht. E eles precisam melhorar a colaboração com desenvolvedores de aplicativos e MNOs para compartilhar informações, práticas recomendadas e contramedidas para combater golpes de AIT coletivamente.
A conscientização é o primeiro passo no combate aos golpes de AIT
“Ao se manterem informados sobre ameaças emergentes, como golpes de AIT, CISOs e CSOs podem avaliar riscos de forma proativa, implementar controles apropriados e alocar recursos para mitigar os impactos financeiros e de reputação desses golpes”, diz Albrecht.
Mandy Andress, diretora de segurança da informação da Elastic NV, concorda que os CISOs devem se preocupar com esses tipos de golpes. O bombeamento de tráfego não está tirando proveito de uma falha de segurança em si, mas está preocupado em aproveitar a facilidade de criar novas contas, diz ela. E os invasores podem aproveitar esse processo para diferentes tipos de atividades maliciosas, dependendo da disponibilidade do serviço.
“Do ponto de vista da segurança, o foco seria na autenticação e no novo processo de criação de conta e não depender apenas do SMS – que provou ser o mais inseguro – e, em vez disso, usar autenticação multifatorial ou outras abordagens”, diz Andress . “Isso tiraria a capacidade desse tipo de golpe ser bem-sucedido e, ao mesmo tempo, ajudaria a melhorar a segurança de seus clientes em suas contas”.
Melhores práticas para reduzir a fraude SMS AIT
Geralmente, esse é um processo complexo que requer uma abordagem multifacetada que envolve estratégias de detecção, prevenção e resposta, diz Gibbons. Nenhuma estratégia é completamente infalível – a chave é construir uma defesa forte e multicamadas que inclua:
- Auditorias regulares: as empresas devem realizar auditorias regulares de seu tráfego móvel e campanhas publicitárias e procurar inconsistências ou irregularidades em seus dados.
- Habilidades e consciência: Certifique-se de que as equipes entendam os riscos e sinais de golpes de AIT. Uma equipe instruída está mais bem equipada para detectar possíveis fraudes e agir.
- Análise do comportamento do usuário: Entenda o comportamento de usuários legítimos para identificar melhor quando algo está fora do comum. Isso ajudará a distinguir entre tráfego genuíno e fraudulento. O desafio para as empresas aqui é sua maturidade, pois poucas têm esse nível granular de certeza.
- Redes de anúncios confiáveis: para empresas envolvidas em publicidade digital, é crucial fazer parceria com redes de anúncios conhecidas por tomar medidas proativas contra fraudes. Essas redes possuem sistemas fortes para identificar e mitigar golpes de AIT.
Yale Fox, membro do Instituto de Engenheiros Elétricos e Eletrônicos, oferece estas práticas recomendadas para mitigar a fraude AIT por SMS móvel:
- Bloqueio de bots : os bots costumam ser usados em atividades fraudulentas para imitar o comportamento humano e gerar tráfego falso. Bloquear bots por padrão, especialmente aqueles que não se identificam, pode efetivamente reduzir o tráfego fraudulento. As organizações devem manter listas de agentes de usuários que têm permissão para rastrear seus sites e atualizar ativamente essas listas à medida que novos bots legítimos surgem.
- reCAPTCHAv2: este serviço pode ajudar a distinguir entre usuários humanos e bots. Apresenta tarefas fáceis para humanos, mas difíceis para bots. A implementação do reCAPTCHAv2 em aplicativos móveis, principalmente em formulários e outros elementos interativos, pode reduzir drasticamente a atividade de bots.
- Limitação de taxa: envolve a definição de um limite no número de solicitações que um usuário ou endereço IP pode fazer dentro de um determinado período de tempo. Se o limite for excedido, o usuário ou IP é temporariamente bloqueado. Essa técnica pode desacelerar ou interromper o tráfego fraudulento, especialmente de bots que executam atividades de alta frequência.
- Impressão digital do dispositivo: essa técnica identifica e rastreia os dispositivos com base em suas configurações exclusivas, como sistema operacional, versão do navegador, fontes instaladas etc. Ao fazer isso, as empresas podem identificar padrões suspeitos ou atividades fraudulentas recorrentes provenientes do mesmo dispositivo, mesmo que eles mudam seus endereços IP ou usam VPNs.
- Honeypots: Honeypots são sistemas de chamariz ou armadilhas que aparecem como parte da rede de uma organização, mas na verdade são isolados e monitorados. Eles são projetados para atrair invasores, que desperdiçam seu tempo e recursos na isca enquanto suas ações são registradas e usadas para melhorar as medidas de segurança.
- Alternar para chaves de acesso: este é o novo padrão que muitas grandes empresas adotaram. Ele resolve vários problemas, um dos quais é que não há senha real para vazar, pois a senha está sempre mudando.
Conforme a tecnologia continua a evoluir e surgem novas formas de fraude AIT, manter-se informado e atualizado é fundamental, de acordo com Gibbons. Aprendizagem contínua, adaptabilidade e vigilância são essenciais para ficar um passo à frente dos fraudadores.
“A fraude AIT é uma questão complexa e generalizada que representa desafios significativos para empresas, consumidores e sociedade como um todo”, diz Gibbons. “No entanto, ao entender os riscos, tomar medidas proativas e trabalhar em conjunto, esses riscos podem ser mitigados para criar um ambiente digital mais seguro e confiável”.
FONTE: CSO ONLINE