O SMS é o principal canal de comunicação para os consumidores. Organizações em todo o mundo o usam para interagir e se envolver com seus públicos. Mas enquanto ganha maior popularidade, fraudadores buscam por novas maneiras de lucrar com suas vulnerabilidades. Conheça aqui cinco fraudes por SMS que podem colocar sua empresa em risco.
Você sabia que 90% das pessoas abrem uma mensagem de texto três minutos após o recebimento? Os textos têm grandes benefícios para a comunicação empresarial. Eles têm uma taxa de resposta de 45% em comparação com os 6% do e-mail. E ainda mais revelador, as pessoas respondem a uma mensagem de texto em 90 segundos – por outro lado, respondem a e-mails em 90 minutos.
Mas o problema é que a fraude é uma questão cada vez mais difundida nas comunicações móveis. À medida que o SMS A2P cresce rapidamente, mais hackers procuram tirar proveito disso.
O que é Fraude por SMS?
De acordo com um relatório do Mobile Ecosystem Forum, a fraude é um “engano ilícito ou criminoso, com a intenção de resultar em ganho financeiro ou pessoal, contra um indivíduo ou organização”.
A Fraude por SMS ocorre quando os fraudadores usam mensagens de texto como um canal para atingir suas vítimas. Existem vários objetivos de uma fraude por SMS. Pode ser roubo de dados, roubo de identidade ou manipulação do sistema. Eles são liderados por instituições criminosas que se organizam e coordenam um plano elaborado visando grandes empresas para obter o máximo de vantagem.
A maioria das organizações acredita que esse tipo de fraude tem consequências apenas para os usuários finais, aqueles que recebem a mensagem de texto. A verdade é que pode impactar direta ou indiretamente todas as partes da cadeia de comunicação do SMS empresarial, desde o destinatário final e o originador até o orquestrador e provedor.
Hoje, os esquemas de fraude são vastos, abrangentes e caros. De acordo com o site Fraud.com, “apenas 14% das empresas podem se recuperar totalmente de transações não autorizadas e outras atividades fraudulentas”.
Vamos mergulhar nas fraudes de SMS mais comuns para conhecê-las e saber como agir.
Tipos comuns de fraudes por SMS
O Forum do Mobile Ecosystem identificou, definiu e mapeou 14 tipos de fraude. Aqui vamos nos concentrar nos cinco tipos mais comuns de fraude por SMS para entender como eles funcionam antes que o ataque ocorra. Here we’ll focus on the five most common types of SMS fraud to understand how they work before the attack occurs.
Phishing por SMS
O Phishing por SMS ou Smishing é um tipo de fraude de mensagens móveis em que os fraudadores enviam SMSs para os destinatários finais simulando que eles são confiáveis e os convidam a clicar em um link fraudulento para obter acesso a sistemas, contas ou dados online.
Este tipo de fraude está em alta. Em 2021, os EUA perderam US$ 44 bilhões graças ao smishing. Mesmo com destinatários finais mais experientes em tecnologia, os números continuam preocupantes. Em 2022, as tentativas de smishing aumentaram 69% em todo o mundo.
Isso ocorre porque os fraudadores criam mensagens que parecem legítimas. No entanto, existem alguns sinais de alerta que os usuários finais podem considerar antes de clicar no link, como URLs estranhos, falta de pontuação e erros tipográficos.
Mensagem de Lixeira
Na fraude de mensagem de lixeira ou message trashing, o alvo é o originador da mensagem. Os fraudadores tentam não entregar uma mensagem SMS comercial formatada de forma válida com conteúdo válido destinado a ser enviado para uma Rede Digital de Serviços Integrados de Estação Móvel (MSISDN) válida.
A parte perpetradora na cadeia de entrega de mensagens descarta a mensagem em vez de enviá-la a uma operadora de rede móvel (MNO) ou provedor de mensagens para entrega posterior ao consumidor.
Os fraudadores geralmente enviam recibos de entrega falsos ao remetente da mensagem, mostrando altas taxas de entrega. Ao trabalhar com um agregador mal intencionado, eles apenas “jogam no lixo” algumas das mensagens e repassam ao originador uma conta de todo o tráfego solicitado, embolsando a diferença.
Dessa forma, o MNO não obterá a receita e o consumidor não obterá o valor informativo da mensagem.
O alvo típico da fraude de mensagens de lixeira é o marketing, porque não é necessária uma ação ou resposta direta do destinatário.
Hacking de acesso
Como o próprio nome diz, o hacking de acesso é o ato de sequestrar as credenciais de um terceiro legítimo para obter acesso a um aplicativo, dispositivo, plataforma ou qualquer outra infraestrutura de TI.
Nesse tipo de fraude, o alvo é o orquestrador. Muitas grandes empresas em todo o mundo já sofreram suas consequências. Medibank, uma seguradora de saúde australiana, sofreu o roubo de dados pessoais e médicos de quase 10 milhões de clientes.
Os custos do hacking de acesso podem ser devastadores quando o alvo é uma plataforma de orquestração de mensagens. Primeiro, eles geralmente armazenam uma grande quantidade de dados valiosos de clientes. Em segundo lugar, quando os fraudadores estão dentro de uma plataforma de mensagens, eles podem usar o número do remetente legítimo e aproveitar a confiança do público acessível para enviar SMSs de smishing, desviar e roubar consumidores rapidamente e em grandes volumes.
Falsificação de título global
Agora falaremos sobre um dos tipos mais comuns de fraude por SMS que custa milhões anualmente para as MNOs. Sim, é falsificação de título global.
Existem várias etapas necessárias para enviar um SMS. Os fraudadores se aproveitam disso e enganam os MNOs sobre a verdadeira identidade do remetente por meio do uso indevido de um título global.
Vamos explicar a falsificação de título global em mais detalhes:
- Os fraudadores usam uma rede C7 internacional para perguntar ao MNO (vítima) onde está o dispositivo e de qual rede ele é cliente.
- O MNO fornece as informações para rotear a mensagem corretamente.
- Os fraudadores usam essas informações para enviar o SMS, mas substituem o endereço de envio por um MNO de outra empresa que não sabe de nada.
Quando o MNO que encerrou a mensagem cobra o MNO cujo número de título global está vinculado ao tráfego enviado, o MNO cujo número de título foi usado acabará pagando pelo tráfego enviado pelo fraudador.
Dica para evitar a falsificação de títulos: se uma empresa que deseja comprar um grande volume de tráfego de SMS encontra um preço que parece bom demais para ser verdade, pode ser porque o vendedor está falsificando números de títulos globais.
Bombeamento de Tráfego de SMS
A Inflação de Tráfego Artificial ou Bombeamento de SMS é um tipo de fraude que visa ganhar dinheiro por meio do compartilhamento de receita, enviando grandes volumes de solicitações para um formulário online ou aplicativo da web.
O fraudador aborda um provedor com a proposta de gerar grandes volumes de mensagens, receita e margem com números pertencentes a esse provedor.
Quando possível, esses grandes volumes de SMS são enviados para destinos de alto custo, muitas vezes internacionalmente, o que aumenta ainda mais os custos (ou seja, fraude de tarifação). Quando a vítima corporativa visada paga sua fatura de SMS significativamente inflada, o provedor dá uma parte dos lucros aos fraudadores que iniciaram o ataque.
Esse tipo de fraude por SMS ataca mais de uma única vulnerabilidade na cadeia de comunicação do SMS. As vítimas geralmente o descobrem assim que ocorre. É por isso que é importante entender o que é a fraude de bombeamento de SMS e como evitá-la.
Outros tipos de fraudes por SMS
- Roubo de identidade: falsificação do originador de SMS, phishing de SMS, hacking de acesso.
- Manipulação de rede: falsificação de título global MAP, falsificação de título global SCCP. Fraude de comprometimento do SMSC.
- Roubo de dados: fraude de troca de SMS, fraude de interceptação de SMS em roaming, malware de SMS (hacking de SMS).
- Exploração Comercial: Rotas cinzentas, bypass, rotas off-net não interligadas, SIM farms, Spam. Inflação artificial de tráfego (AIT), Destruição de mensagens.
As empresas que usam comunicação móvel têm a responsabilidade de proteger a si mesmas e a seus públicos. Embora seja importante educar os destinatários finais sobre a detecção de esquemas de fraude móvel, a educação por si só não é suficiente.
As empresas devem definir proteções para os originadores, avaliar cuidadosamente os fornecedores parceiros e escolher uma plataforma de orquestração que forneça mensagens seguras com os recursos certos para evitar violações de dados.
Quer saber mais sobre os tipos de fraude de SMS e como evitá-los? Preencha o formulário para baixar nosso novo whitepaper de segurança “Protegendo sua empresa contra a próxima geração de esquemas de fraude móvel”.