کارشناسان صنعت نسبت به خطر فزاینده ای برای سود شرکت ها از به اصطلاح کلاهبرداری های پمپاژ پیام کوتاه هشدار داده اند که از تولید رمز یک بار مصرف (OTP) برای کسب درآمد برای مجرمان سایبری سوء استفاده می کنند.
مقیاس این تهدید توسط ایلان ماسک در ماه گذشته برجسته شد، زمانی که او ادعا کرد که توییتر سالانه 60 میلیون دلار توسط پیامک های جعلی احراز هویت دو مرحله ای (2FA) کلاهبرداری می شود.
به گفته هنری کازالت، مدیر TheSMSWorks، در حالی که صنعت امنیت سایبری بر پاسخ او متمرکز شده است – برای برداشتن OTP های مبتنی بر پیام های متنی برای غیر مشترکین – مشکل واقعی همچنان حل نشده است.
کسبوکارهای کوچک و استارتآپها به ویژه در برابر کلاهبرداری ارسال پیامک آسیبپذیر هستند. آنها کمتر احتمال دارد که منابع مورد نیاز برای امن تر کردن فرم های وب خود را داشته باشند.
“به نفع سرعت و پایین نگه داشتن هزینه ها، آنها اغلب آماده اند تا چند گوشه را کاهش دهند، که خدمات آنها را در برابر کمین کلاهبرداران آسیب پذیر می کند.”
برای اجرای یک کمپین پمپاژ پیامک، کلاهبردار معمولاً در سرویس یا حسابی ثبت نام می کند که به 2FA نیاز دارد، یا در غیر این صورت یک OTP یا پیوندی برای کاربر برای امنیت/احراز هویت ایجاد می کند. اگر فرم وب کنترلهای کافی را نداشته باشد، مهاجم میتواند اعداد نرخ برتر را وارد کند که برای آنها و اپراتور شبکه تلفن همراه مربوطه (MNO) بودجه ایجاد میکند.
گاهی اوقات MNOها طرف کلاهبرداری هستند و گاهی اوقات کلاهبرداری بدون اطلاع آنها انجام می شود. ربات ها معمولاً برای ایجاد سودهای کلان برای کلاهبرداران استفاده می شوند.
به گفته Lanck Telecom، این کلاهبرداریها که بهعنوان «ترافیک تولید شده مصنوعی» (AGT) یا «تقلب OTP پیامک» نیز شناخته میشوند، 6 درصد از کل ترافیک پیامک و 10 درصد درآمد را تشکیل میدهند.
تحقیقات این شرکت نشان داد که برای برخی برندهای بزرگ، 30 تا 60 درصد از کل ترافیک تلفن همراه ممکن است AGT باشد، و برای برخی از شبکهها میتواند به 80 درصد برسد.
TheSMSWorks گفت چندین نشانه وجود دارد که یک فرم وب توسط کلاهبرداران مورد سوء استفاده قرار می گیرد:
افزایش شدید ترافیک وب و پیامک های خودکار تولید شده
حجم متنی بزرگ به کشورهای غیرمعمول ارسال می شود
متنهایی که به دستهای از اعداد به ترتیب عددی فعال میشوند
فرم های وب تا حدی توسط ربات ها پر نشده است
کازالت توصیه کرد: «چند اقدام نسبتاً ساده ای وجود دارد که سازمان ها می توانند برای کاهش خطر انجام دهند.
«OTPهای پیامک را از کشورهایی که در آن فعالیت نمیکنید غیرفعال کنید. محدودیتهای نرخ را برای تعداد پیامکهایی که میتوان به هر طیفی از شمارههای تلفن همراه ارسال کرد، تعیین کنید و رباتها را شناسایی و از آنها منصرف کنید. همچنین، جهشها را در سطوح ترافیک SMS OTP شناسایی و نظارت کنید.
