Os celulares são parte fundamental da nossa vida cotidiana, assim como a comunicação com nossos conhecidos, marcas e familiares. Dentro deste contexto, o SMS é um dos canais mais utilizados para essas interações – especialmente na relação entre marcas e consumidores.

Mas, infelizmente, criminosos e empresas desonestas sabem disso e estão sempre criando novas formas de utilizar os SMS para fraudes ou para conseguir nossas informações pessoais.

Neste conteúdo, vamos explicar como os cibercriminosos usam os SMS para nos atingir, os golpes mais comuns, como reconhecer essas ameaças, e o que as operadoras móveis podem fazer para proteger seus clientes.

Todos os anos, o impacto gerado pelos golpes financeiros é enorme. No Brasil, uma estimativa do Banco Central aponta para perdas de R$2,5 bilhões ao longo de 2022 como consequência deste tipo de crime. E segundo a Federação de Bancos (Febraban) 31% dos brasileiros já foram vítimas de algum tipo de golpe financeiro.

Se você achou esses números alarmantes, saiba que mais de mil golpes financeiros virtuais são tentados a cada hora no Brasil. O principal deles é phishing, quando um link malicioso é enviado para um indivíduo e ao clicar nele um malware é instalado no dispositivo da pessoa. E apesar de a maior parte das ameaças serem direcionadas às pessoas físicas, empresas não estão imunes a este tipo de problema.

E não é só no Brasil: consumidores americanos perderam mais de U$ 5,8 bilhões em 2021 em fraudes, e no Reino Unidos os ataques de SMS smishing aumentaram 700% nos primeiros seis meses de 2021. Este pico pode ser, em parte, atribuído às restrições impostas pela pandemia e o consequente aumento das entregas a domicílio e das notificações SMS associadas às compras e cadastros online.

Mas, além das perdas monetárias diretas, existem outros impactos que são menos óbvios. Por exemplo, a desconfiança geral dos consumidores em relação aos canais de comunicação e especialmente em relação ao SMS. E este receio pode corroer as receitas dos operadores móveis, levando a aumentos de preços sobre os outros serviços que prestam.

O custo de medidas de segurança adicionais também será transferido para os consumidores a longo prazo, e estas medidas podem afetar a experiência dos usuários, por exemplo, através de etapas adicionais de autenticação.

Os criminosos têm muitas maneiras de usar os SMS para fraudes. E, por isso, neste conteúdo vamos nos concentrar em exemplos em que o SMS é o principal canal para facilitar esses crimes, que incluem o smishing, o SMS spoofing, e o SIM Swap.

E, embora tenha menos impacto nos usuários de celulares, o tráfego de rotas cinzentas (SMS grey routes) também é um tipo de fraude importante de ser mencionada. A longo prazo, se ela não for detectada, ela pode afetar os usuários através do aumento das taxas de serviços e tarifas, à medida que as operadoras tentam recuperar as receitas perdidas com essas rotas não monetizadas.

Por último, existe o spam de SMS. Ele não causa um impacto financeiro propriamente dito, mas, convenhamos, é um incômodo enorme para os usuários! E no meio de tanto “lixo” é possível que alertas importantes sejam perdidos.

O smishing é um tipo de fraude em que os criminosos contactam potenciais vítimas por SMS para convencê-las a passar informações pessoais ou informações sobre contas bancárias, clicando em links que instalam malware em seus telefones.

Smishing é, portanto, o equivalente para um SMS do tradicional phishing de e-mail. O mecanismo aqui é o mesmo – um link malicioso é enviado -, mas a “isca” é outra plataforma.

Os ataques de smishing – que estão cada vez mais sofisticados – utilizam táticas de engenharia social para recolher informações sobre potenciais vítimas, incluindo onde vivem, com quem interagem online, e de que bancos e empresas de cartões de crédito são clientes. Estas informações podem então ser utilizadas na criação de mensagens SMS falsificadas muito realistas que realmente tem a capacidade de enganar a vítima, fazendo-a acreditar que são de um negócio ou pessoa legítima.

Para os usuários é interessante ficar muito atento ao remetente das mensagens. SMS Verificados, por exemplo, são uma boa maneira de garantir que o remetente é verídico. E, claro, em caso de dúvidas, busque caminhos oficiais antes de clicar no link – como entrar no app da empresa diretamente ou contatar o serviço de atendimento ao cliente para checar aquela informação.

O SMS spoofing é uma forma de alterar a informação do remetente de uma mensagem para que o destinatário veja qualquer texto alfanumérico definido, em vez de um número de celular.

Essa “falsificação” de remetente de SMS não é de fato ilegal. Existem muitas aplicações válidas para ele e existem até serviços gratuitos de spoofing de SMS na Internet.

Algumas aplicações válidas para esse recurso são:

Como já vimos, o spoofing de SMS pode ser usado para fins legítimos. O problema é que ele também é frequentemente utilizado por criminosos para imitar mensagens de empresas como parte de ataques de “smishing”.

Eles podem fingir ser de um banco, uma empresa de entregas, uma instituição de confiança ou até mesmo o próprio empregador do destinatário no caso de ataques direcionados.

Não percebendo que a mensagem é falsa, os destinatários podem baixar a guarda e clicar em links, o que poderia instalar malwares em seus telefones ou levá-los a páginas web falsas concebidas para extrair deles informações privadas.

Outra tática engenhosa dos criminosos é utilizar o SMS spoofing para falsificar confirmações de pagamento para a compra de itens caros. Nela, eles afirmam que vão pagar por um produto por transferência bancária, mas ao invés de efetuarem o pagamento, falsificam um SMS de confirmação de pagamento e enviam para o vendedor.

Esta fraude é particularmente comum em sites que não têm verificações de identidade rigorosas. Uma boa dica se você for vender através desses sites é sempre conferir no banco se o dinheiro foi transferido antes de entregar o produto aos compradores.

Assim como o SMS spoofing, a troca de SIM surge de uma necessidade legítima. Afinal, ela nada mais é do que a portabilidade do seu número de celular de um cartão SIM para outro. Esse procedimento pode ser muito útil quando o usuário quer:

No entanto, este procedimento se tornou tão comum que os criminosos passaram a explorá-lo para assumir o controle de números de telefone celular das pessoas. Eles fazem isso simplesmente entrando em contato com a operadora e informando dados pessoais através de táticas de engenharia social e efetuando a troca de SIM.

Uma vez que a conta tenha sido assumida, o criminoso terá acesso a todos os dados pessoais da pessoa e à sua caixa de entrada de mensagens para receber as notificações de 2FA necessárias para alterar as senhas dos bancos e dos cartões de crédito.

Os serviços de detecção de troca de SIM utilizam uma série de inputs para avisar tanto tentativas como procedimentos bem sucedidos de troca, por exemplo, verificando o registo do IMSI para quaisquer alterações depois da data de ativação do SIM. Os operadores móveis que implementam estas soluções são capazes de proteger os seus usuários dessa fraude também conhecida como SIM Swap e de todo o stress envolvido em um roubo de identidade.

Como já mencionámos, o grey routing não afeta tão diretamente os usuários como outros tipos de ataques de cibercriminosos.

Mas perturba o equilíbrio do ecossistema, elevando os preços globalmente e criando uma experiência desarticulada devido às medidas preventivas que são necessárias.

O grey routing SMS representa um tipo de fraude cometida por operadores móveis desonestos em que as mensagens SMS A2P, que deveriam ser cobradas a uma tarifa premium, são passadas como tráfego P2P pela totalidade ou parte da sua viagem para se beneficiar de tarifas reduzidas.

Isto faz com que os fornecedores de telecomunicações, que facilitam a entrega das mensagens através da sua infraestrutura de rede, não sejam compensados pelos serviços que prestam de forma correta.

Em resumo, existem três tipos de grey routing:

Há várias razões válidas (e até úteis) para receber mensagens SMS que não sejam diretamente solicitadas pelo usuário. Por exemplo: notificar a suspeita de uma fraude ou como forma de alertá-lo para um evento climático extremo ou uma campanha de vacinação obrigatória.

O spam de SMS, no entanto, não faz nada disso. Ele viola as leis de conformidade em quase todos os países a nível mundial e, infelizmente, isto não impede que empresas comprem listas de números e os bombardeiem com ofertas e promoções irrelevantes.

É bom lembrar que enviar uma comunicação para um usuário que não autorizou expressamente este tipo de mensagem é uma violação da Lei Geral de Proteção de Dados Pessoais (LGPD), a não ser que você tenha um motivo legal para isso (como é o caso dos exemplos citados acima.

O grande problema é que esse tipo de mensagem não desejada está aumentando, uma vez que as pessoas estão mais atentas em relação às ligações spam e não as atendem mais. Para se ter uma ideia, o Brasil recebeu a triste medalha de ouro (pela quarta vez seguida) como país em que sua população mais recebeu chamadas spam. Foram, em média, 32,9 chamadas por usuário por mês! Isso faz com que muitas empresas que compactuam com essas práticas estejam migrando para o SMS para continuar com essa “estratégia”.

Do ponto de vista do usuário, há muito pouco que se possa fazer para parar completamente o spam dos SMS. O bloqueio e os pedidos de “saída”, quando disponibilizados, são ineficazes ou temporários no melhor dos cenários. Afinal, os spammers têm um vasto conjunto de números para usar, e o número que você reportar provavelmente já terá sido descartado.

Para os usuários finais, a ação mais efetiva é feita direto no aparelho, bloqueando notificações de números desconhecidos ou filtrando-as por uma caixa de entrada especial. Contudo, ao fazer isso, arrisca-se perder comunicações realmente relevantes.

Assim, a responsabilidade de reduzir os Spams de SMS e outras tentativas de fraude recai, em última análise, sobre os fornecedores de telecomunicações, antes mesmo de chegarem aos seus usuários.

Mas como eles podem fazer isto sem bloquear o tráfego genuíno?

As Telecoms têm um aliado na guerra contra os spammers e os fraudadores de SMS. Com a ajuda de empresas tecnológicas como a Infobip, elas podem avançar nas suas estratégias de segurança, implementando uma série de soluções concebidas para detectar e prevenir as fraudes de SMS.

Uma parte chave desta defesa são as firewalls SMS que fornecem:

Num relatório recente que publicamos, descrevemos como o nosso firewall SMS foi o primeiro a detectar um tipo de fraude anteriormente desconhecido e que se espalhava a nível mundial. Ele identificou um padrão irregular de conteúdo de mensagens SMS que não parecia ser nem tráfego A2P, nem mensagens P2P legítimas. Também não era spam, uma vez que as mensagens eram rastreadas até aos remetentes legítimos.

As investigações mostraram que o tráfego estava sendo encaminhado através de uma aplicação particular de terceiros que era capaz de contornar as taxas internacionais de mensagens. Os operadores móveis foram informados para que pudessem ser tomadas medidas para proteger tanto os seus negócios como os usuários desta nova ameaça de fraude.

O firewall SMS da Infobip foi atualizado para detectar e bloquear automaticamente estas mensagens, e a informação sobre os usuários afetados foi transmitida a cada operador móvel, para que eles pudessem ajudar seus clientes a lidar com o problema.

A solução demonstrou ser extremamente precisa, com menos de 0,1% de casos falsos-positivos.

Este exemplo demonstra que a implementação de uma solução antifraude não deve ser encarado como apenas um exercício de “box ticking” para os fornecedores de telecomunicações.

É fundamental que eles unam forças com um parceiro tecnológico especializado que monitore e se adapte constantemente para garantir que as suas ferramentas sejam eficazes contra as últimas ameaças que correm no mercado.

Com uma presença global e uma equipe especializada em segurança SMS, a Infobip está qualificada e disposta a assumir este papel de co-guardiã do ecossistema de telefonia móvel. Entre em contato com um de nossos especialistas e saiba mais!

Você já parou para pensar em como a tecnologia, apesar de todas as suas facilidades, também é o espaço perfeito para ameaças virtuais cada vez mais sofisticadas? Tanto que um estudo da Nord Security revelou que 71% dos brasileiros já foram vítimas de pelo menos um golpe online.

Uma dessas ameaças é o golpe chamado smishing, uma fusão de “SMS” e “phishing”. Embora o phishing já seja um golpe conhecido, o smishing adiciona uma nova camada de complexidade ao crime virtual.

Então, para saber o que é smishing e como proteger sua empresa dessa fraude, continue a leitura!

Smishing é uma forma de ataque virtual em que criminosos tentam enganar as pessoas por meio de mensagens de texto. Essa fraude utiliza o SMS para induzir as vítimas a revelarem informações pessoais, financeiras ou sensíveis.

Em resumo: golpistas se fazem passar por entidades confiáveis, como instituições de serviços públicos, bancos ou até mesmo órgãos governamentais, enviando mensagens falsas que solicitam uma ação imediata. Essas mensagens frequentemente contêm links maliciosos ou instruções para responder com informações confidenciais, como senhas ou números de cartão de crédito.

O smishing explora o caráter pessoal das mensagens de texto, criando uma sensação de urgência para persuadir a vítima a agir rapidamente, sem questionar a autenticidade da mensagem.

O ponto de partida dos ataques de smishing são os SMS, que geralmente vêm acompanhados com textos que transmitem senso de urgência.

Nesse caso, sua empresa recebe uma mensagem de texto com informações como “problemas no seu login” ou “movimentações suspeitas nas suas contas”.

Ao deixar o responsável preocupado com possíveis problemas, os golpistas estimulam que esse usuário tome alguma atitude, que geralmente é clicar em um link. Esse link leva para um formulário que rouba informações sensíveis.

Com essas informações em mãos, os golpistas podem vender seus dados ilegalmente, ter acesso a informações confidenciais da sua empresa ou utilizar dados bancários para aplicar golpes financeiros.

A principal diferença entre smishing e phishing está no canal de comunicação utilizado para realizar os golpes. Enquanto o smishing utiliza o SMS como ponto de partida, no phishing, o meio usado é o e-mail.

Assim como no smishing, no phishing, os golpistas enviam e-mails fraudulentos para roubar informações do usuário. Os métodos incluem links maliciosos, anexos com malware ou a criação de páginas da web falsas que imitam sites legítimos.

Os golpes de smishing muitas vezes envolvem tentativas de se passar por instituições legítimas para enganar os usuários. Alguns exemplos de golpes de smishing associados a empresas são:

A melhor forma de se proteger dessa fraude é ter cautela com o fornecimento de informações e dados, e não clicar em links de procedência desconhecida.

É crucial para sua empresa implementar uma abordagem abrangente que envolva conscientização, treinamento e medidas de segurança. Promova treinamentos regulares para educar os funcionários sobre os riscos associados ao smishing, com instruções para reconhecimento de mensagens suspeitas.

Além disso, implemente medidas de segurança como autenticação multifatorial para proteger contas e sistemas, e instrua sua equipe a verificar a identidade de qualquer pessoa ou empresa que solicite informações confidenciais por SMS – ou qualquer outro canal de comunicação.

Considere a implementação de soluções de segurança móvel que possam detectar e bloquear mensagens de texto maliciosas, e reforce a prática de verificar a autenticidade de mensagens por meio de canais oficiais de comunicação da empresa.

Se, por acaso, sua empresa já sofreu esse golpe, é preciso agir rapidamente para minimizar os danos e proteger os dados. O primeiro passo é identificar quais informações foram comprometidas e como o ataque ocorreu. Isso ajudará a entender a extensão do problema.

Informe imediatamente a equipe interna sobre o incidente, incluindo a equipe de segurança, TI e outros departamentos relevantes. A comunicação rápida é essencial para coordenar a resposta. Se as informações de login foram comprometidas, altere as senhas imediatamente.

Dependendo da natureza e extensão da situação, notifique as autoridades competentes e informe aos clientes e parceiros se as informações comprometidas incluírem dados deles – especialmente se a sua empresa quer estar em conformidade com a LGPD..

Por fim, o ideal é estabelecer um programa de monitoramento contínuo para identificar atividades suspeitas e responder rapidamente a qualquer sinal de outro incidente de segurança.

O importante é ter uma resposta rápida e coordenada em caso de violação de dados. Colaborar com profissionais de segurança e seguir as práticas recomendadas ajudará a minimizar os impactos do golpe de smishing na sua empresa.

Quando Elon Musk disse que o Twitter perdeu US$ 60 milhões por ano porque as empresas de telecomunicações usaram contas de bots para bombear SMS A2P causou um alvoroço no mercado. Essa bomba trouxe à tona um tipo de fraude que tem consequências imensas para todo o ecossistema móvel e de mensageria: a inflação artificial de tráfego (AIT).

A inflação artificial de tráfego usa bots para gerar solicitações de PIN únicas, o que se reflete em custos indevidos e beneficia financeiramente o fraudador. O impacto desse tipo de fraude é muito amplo e vai desde a confiança geral no ecossistema digital e móvel, afetando a reputação das empresas de telecomunicações e das empresas, até a percepção de segurança do sistema. Isso levanta a questão de saber se a autenticação de dois fatores através de SMS A2P é confiável e, consequentemente, se ela pode prejudicar a viabilidade do SMS como um canal de mensagens comerciais.

Para ser franco, os riscos são altos. Há muito tempo as empresas de telecomunicações veem o SMS A2P como um fluxo de receita confiável, principalmente por causa do fornecimento de PINs de uso único baseado. Por outro lado, a fraude de AIT pode levar as empresas a procurar outros tipos de autenticação que podem não estar disponíveis para a maioria dos usuários – a maior vantagem do SMS para 2FA é sua onipresença e facilidade de uso. Cortá-lo pode deixar suas contas sem proteção, e isso não deveria nem ser uma opção para a sua empresa.

A ironia da situação é que, apesar do custo associado à inflação artificial do tráfego, todos no ecossistema podem ser um potencial beneficiário. Isso porque, embora as empresas sejam as vítimas mais comuns desse tipo de fraude, há algumas que a utilizam para aumentar o número de usuários e mostrar crescimento.

No entanto, no longo prazo, isso tem efeitos prejudiciais para todo o ecossistema de mensagens. Para combater essas ameaças crescentes, as empresas de telecomunicações, os provedores de comunicação e as empresas devem trabalhar juntos para proteger seus clientes e negócios contra fraudes e abusos, proteger o ecossistema de mensagens comerciais e reconquistar a confiança dos usuários.

A inflação artificial de tráfego é um tipo de fraude que aumenta o número de solicitações de PINs de uso único. Esse tipo de fraude é geralmente perpetrado por criminosos que usam programas de software automatizados para enviar um grande número de solicitações de PIN para gerar receita através dessas empresas. O maior problema aqui é que as empresas têm dificuldades para distinguir as solicitações “falsas” das solicitações genuínas dos usuários.

O complexo ecossistema de mensagens pode levar várias partes a utilizar a AIT:

Conclusão: Todas as partes envolvidas poderiam se beneficiar da AIT, portanto, é difícil apontar o dedo para alguém. No entanto, se todos trabalharmos juntos, poderemos fazer com que o canal volte a ser seguro e confiável.

Podemos identificar duas fontes de tráfego artificialmente inflado.

A primeira são as empresas que procuram proativamente as tarifas e opções de provedor mais baratas do mercado, o que as leva a fazer parcerias com agregadores de nível inferior. Como se costuma dizer, se a oferta for boa demais para ser verdade, você pode estar sendo enganado.

A lógica aqui é que rotas mais baratas para fornecer tráfego ajudarão a economizar custos. No entanto, com esses custos baixos, os agregadores podem ter dificuldade para atingir o ponto de equilíbrio depois de pagar à operadora de telecomunicações pelo uso do tráfego das marcas. E é aí que o bombeamento de tráfego artificial para a marca com mensagens geradas pelo usuário se torna útil. Como o agregador de nível inferior não envia o tráfego para a empresa de telecomunicações, ele mantém o lucro desse tráfego para si mesmo.

E para a empresa que trabalha com o agregador de baixo custo e não com um agregador de boa reputação com conexões diretas ou com a empresa de telecomunicações diretamente, há casos em que bots estão sendo criados para solicitar OTPs e aumentar o número de mensagens enviadas.

No segundo cenário, às vezes as empresas de telecomunicações estabelecem metas altas de receita de SMS A2P, e isso leva a parcerias intencionais ou não intencionais com agregadores que estão bombeando tráfego artificial para elas. Isso gera mais receita para a empresa de telecomunicações e contas infladas para as empresas.

E esses dois cenários prejudicam a reputação do setor de mensagens A2P.

Os principais tipos de mensagens usadas para a inflação artificial de tráfego são:

Por que a 2FA e as OTPs são os principais casos de uso para a inflação artificial de tráfego?

As empresas geralmente usam OTP para cadastrar novos usuários, fazer login e redefinir senhas. Com as altas taxas de SMS em alguns mercados, tudo o que é necessário para um criminoso é criar bots para pedir a geração de tráfego falso.

Embora alguns possam considerar a inflação artificial de tráfego como um fluxo de receita, ela é um desserviço para o setor e levanta questões sobre confiança e conformidade com as regulamentações locais.

Por isso, para reduzir o risco de inflação artificial do tráfego, as empresas de telecomunicações, os provedores de comunicação e as empresas devem implementar uma estratégia abrangente de prevenção de fraudes. Isso inclui o monitoramento de atividades suspeitas, a implementação de protocolos de autenticação, o uso de análises avançadas para detectar anomalias nos padrões de tráfego e novos recursos para reconhecer a AIT.

Por fim, eles devem garantir que seus sistemas sejam atualizados regularmente com os patches de segurança mais recentes para proteger contra possíveis vulnerabilidades.

Conforme mencionado anteriormente, o ônus recai sobre as três organizações, inclusive as empresas. Como empresa, é importante escolher com responsabilidade o provedor de comunicação para ajudar a combater a AIT. Embora o custo seja sempre um fator na escolha de um provedor ou agregador de comunicação, ele não deve ser o único.

Mas, na prática, o que uma empresa pode fazer? Nós recomendamos avaliar os seguintes itens:

As empresas de telecomunicações ou operadoras de redes móveis são uma das principais partes interessadas no ecossistema de mensagens.

Por isso, elas devem:

Para proteger todo o ecossistema, os agregadores e os provedores de comunicação podem acrescentar um selo de segurança, adotando uma política de tolerância zero em relação à inflação artificial do tráfego e fornecendo consultoria e soluções para ajudar a monitorar e proteger o ecossistema.

A inflação artificial de tráfego pode ser difícil de detectar e evitar, mas existem algumas práticas recomendadas e soluções que podem ajudar a reduzir o risco.

Por exemplo:

Os firewalls de SMS são uma ferramenta eficaz para evitar a inflação artificial de tráfego. Eles podem detectar e bloquear padrões suspeitos de tráfego de SMS, como grandes volumes de mensagens enviadas de e para o mesmo destino. Isso ajuda a proteger as empresas contra agentes mal-intencionados que podem estar tentando aumentar seus números de tráfego enviando mensagens falsas.

Além disso, os firewalls podem ser usados para detectar e bloquear mensagens com conteúdo malicioso, como spam ou links de phishing.

Os limites de taxa são proteções importantes usadas para interromper o comportamento fraudulento e impedir que os invasores tenham como alvo os aplicativos. A definição de um limite para o número de mensagens que podem ser enviadas para determinados números ou prefixos ajuda a manter a atividade criminosa sob controle, principalmente em relação aos serviços financeiros, em que os fraudadores podem tentar usar vulnerabilidades para acessar dados ou recursos confidenciais.

A definição de limites de taxa precisa ser monitorada de forma inteligente com a ajuda da IA e de aprendizado de máquina – e não com a definição de um limite estático. Dessa forma, os limites de taxa podem ser alterados dinamicamente e em tempo real, dificultando a vida dos fraudadores.

A prevenção de bots que enviam tráfego gerado artificialmente ou solicitam OTPs é importante para proteger o ecossistema. Bibliotecas como BOTd ou CAPTCHAs podem ajudar a detectar e frustrar o tráfego de bots aplicando pequenas alterações na experiência do usuário, por exemplo, exigindo que os usuários validem seu endereço de e-mail antes de se inscreverem na 2FA.

Mesmo que isso resulte em um pequeno esforço para os usuários, isso impede scripts e bots automatizados.

Além disso, há soluções de aprendizado de máquina disponíveis que podem ajudar a identificar bots monitorando o tempo entre a solicitação de OTP, verificando a sequência de números e o histórico de tráfego.

A implementação de intervalos exponenciais entre novas tentativas de autenticação é importantíssima para impedir transmissões rápidas. Esse tipo de regulação de taxa garante que o mesmo número de telefone não seja sobrecarregado com um número excessivo de mensagens em um curto período e ajuda a identificar ações iniciadas por bots.

Ao usar atrasos exponenciais (ou seja, quando o intervalo entre cada consulta aumenta exponencialmente), se fornece mais controle sobre a frequência com que as notificações são distribuídas. Uma boa prática ao implementar a 2FA por SMS é especificar um número máximo de tentativas e utilizar algoritmos de back-off para identificar o intervalo de tempo entre cada tentativa.

Examinar as taxas de conversão de códigos de uso único é parte fundamental da proteção de qualquer configuração que utilize OTPs para autenticação. Para garantir que as OTPs sejam utilizadas adequadamente, é essencial monitorar as taxas de conversão e criar alarmes quando a utilização ultrapassar um determinado limite.

Para proteger as empresas contra a inflação artificial de tráfego, desenvolvemos uma solução para detectar o tráfego fraudulento e evitar danos à reputação e à receita sem afetar o tráfego normal.

A solução é tão simples quanto um plug and play e não requer nenhum esforço do seu time de desenvolvedores. O Signals usa abordagens volumétricas e baseadas em taxas para detectar qualquer atividade suspeita, técnicas orientadas por inteligência, como análise de perfis de risco, índices de contato, densidades de saturação e comportamento de contas suspeitas para atenuar ataques, além de detectar e impedir o tráfego gerado artificialmente em tempo real com aprendizado de máquina e algoritmos avançados.

Concluindo: para criar um ecossistema de mensagens seguro e reconquistar a confiança dos usuários e do mercado, as telecomunicações, as empresas e os agregadores precisam trabalhar juntos e implementar soluções para evitar a inflação artificial do tráfego. Afinal, o setor de comunicação está crescendo, e a tolerância contínua à inflação artificial do tráfego pode resultar na perda de credibilidade e na transferência de casos de uso de mensagens para outros canais OTT.

Os negócios precisam estar cientes dos riscos de usar rotas de baixo custo, as empresas de telecomunicações precisam alinhar suas expectativas com o crescimento orgânico de seus mercados e os agregadores não devem colocar sua reputação em risco para economizar alguns reais.

Na Infobip, trabalhamos diretamente com as telecomunicações e empresas para proteger o ecossistema. Nossas mais de 800 conexões diretas com operadoras e soluções de firewall nos ajudam a limitar a fraude e garantem que nenhum terceiro se beneficie do tráfego artificial. Fale com um de nossos consultores e saiba mais!

Os SIM farms e SIM boxes continuam sendo uma preocupação crescente para as operadoras de rede móvel (MNOs) e para o setor de telecomunicações.

Neste artigo, exploraremos o funcionamento interno dos SIM farms e SIM boxes, as ameaças que eles representam para as mensagens A2P e o custo associado a eles. Também discutiremos os aspectos legais e as questões de conformidade que envolvem esses sistemas, bem como o que as MNOs podem fazer para assumir o controle e resolver o problema.

Um SIM farm é um sistema que usa um grande número de cartões SIM para enviar mensagens, geralmente para fins fraudulentos ou ilegais. Eles também são usados para encerrar chamadas, mas hoje vamos nos concentrar no lado do SMS.

Um SIM box, por outro lado, é um dispositivo que permite que o usuário conecte vários cartões SIM a uma única conexão, o que possibilita o envio de mensagens a um custo menor. Os bancos de SIM boxes criam as farms. Os dois termos são considerados sinônimos e podem ser usados de forma intercambiável.

Uma coisa importante a se destacar é que os SIM farms distribuídos são uma novidade. Eles usam um aplicativo que permite que os assinantes móveis vendam seus SMS não utilizados para as operadoras de SIM farm. Essas mensagens são então vendidas como SMS para empresas.

Os SIM farms podem ser usados para contornar os canais de mensagens A2P padrão, que são usados pelas empresas para enviar mensagens a seus clientes.

Os SIM farms ganham dinheiro enviando mensagens que têm um custo menor do que os canais tradicionais de mensagens A2P.

As operadoras de SIM farm podem fazer isso se instalando em países onde as operadoras de telefonia móvel vendem cartões SIM a preços baixos, com planos de mensagens de texto ilimitados e sem necessidade de cadastro.

Essas configurações permitem que os fraudadores explorem as rotas de mensagens peer-to-peer (P2P) para o tráfego A2P. A exploração de rotas P2P custa às operadoras de SIM farm uma fração de uma mensagem A2P tradicional – e é por isso que os custos de SMS oriundos de SIM farm são tão baixos.

As operações de SIM farm representam uma ameaça significativa para as mensagens A2P, já que elas podem ser usadas para enviar mensagens de spam, mensagens fraudulentas e até mesmo malware.

Essa ameaça é impulsionada por dois fatores: a ausência de processos de due diligence e KYC no lado do SIM farm e o baixo custo de SMS que atrai spammers e agentes mal-intencionados.

Mas uma exposição constante a esse tipo de fraude pode levar a uma diminuição da confiança nas mensagens A2P, bem como a uma perda de receita para as MNOs. Além disso, os SIM farms também podem sobrecarregar as redes móveis, levando ao congestionamento da rede e a uma experiência ruim para o usuário.

E não são apenas as MNOs que são afetadas pelos SIM farms e SIM boxes, mas também as empresas. Os SIM farms representam várias ameaças às empresas que dependem de mensagens A2P para suas operações de marketing e vendas.

Algumas das principais ameaças incluem:

É importante que as empresas e as MNOs estejam cientes dessas ameaças e tomem as medidas necessárias para se protegerem de SIM farms e SIM boxes. Isso pode incluir a implementação de um firewall de SMS, o monitoramento de padrões de tráfego incomuns, a implementação de sistemas de detecção e prevenção de fraudes e a implementação de planos de resposta a incidentes.

Além disso, as MNOs também podem implementar o registro de SIM ou limitar as tarifas para dificultar o uso indevido de cartões SIM pelos fraudadores, ao mesmo tempo em que implementam uma estrutura adequada.

A legislação multijurisdicional de proteção de dados deve ser levada em conta sempre que se envia SMS comercial.

Na Europa, as multas por violações do Regulamento Geral de Proteção de Dados (GDPR) podem chegar a 20 milhões de euros ou 4% do faturamento anual, o que for maior. A versão brasileira da lei, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem multas parecidas. Ou seja, não é brincadeira.

Apesar de os SIM farms padrão não violarem totalmente o GDPR ou a LGPD, considerando o modelo de negócios sem conformidade dos SIM farms, é improvável que eles tenham investido as quantias consideráveis necessárias para estar em conformidade com essas regulamentações.

Os SIM farms distribuídos não estão em conformidade devido à própria natureza da tecnologia. Isso ocorre porque o usuário do aplicativo tem acesso ao número do destinatário pretendido, bem como ao conteúdo. Uma clara violação da política de proteção de dados em praticamente qualquer lugar do mundo.

E, embora os SIM farms possam estar localizados em países com leis de proteção de privacidade mais frouxas, as empresas têm a obrigação de selecionar diligentemente seus provedores de serviços para garantir a segurança e a privacidade dos dados dos seus clientes.

Além disso, as empresas também são obrigadas a:

A falha em qualquer um desses pontos pode levar uma empresa a ser multada por não conformidade com a LGPD.

O custo associado às SIM farms é significativo para as MNOs. Eles podem levar a uma perda de receita com mensagens A2P, além de aumentar os custos de gerenciamento e segurança da rede.

Os analistas de mercado da Mobilesquared fizeram uma pesquisa com 66 operadoras de redes móveis e descobriu que um quinto delas acreditava ter perdido entre 15% e 20% de sua receita devido a fraudes.

Mas não se trata apenas de dinheiro. O tráfego de SIM box pode ser lento e de baixa qualidade, o que impede que as operadoras e as empresas cumpram os acordos de nível de serviço, prejudica a experiência do cliente e as expõe a fraudes.

Uma solução é usar sistemas de teste de tráfego de penetração para rastrear como os SMS A2P estão sendo roteados para os assinantes.

A análise inteligente desses resultados pode detectar o uso de SIM boxes como ponto de entrada na rede para causar o desvio da terminação de SMS A2P. Embora a capacidade de detecção e identificação relacionada a essas técnicas esteja melhorando constantemente, os resultados serão, no máximo, “quase em tempo real”.

E, considerando que as tecnologias das SIM farms estão cada vez mais sofisticadas e com níveis crescentes de criatividade para evasão de identidade, é necessário ter métodos mais elaborados para se proteger seu tráfego de SMS A2P.

É nesse ponto que a implementação de um firewall de SMS se torna uma necessidade. Eles são sistemas que podem detectar e bloquear mensagens enviadas de SIM farms em tempo real.

No entanto, o desafio para os firewalls de SMS existentes é que o tráfego de SMS proveniente de SIM boxes pode ser facilmente ajustado para desafiar as verificações volumétricas e de padrão simples, especialmente se elas forem implementadas como configuração estática. As operadoras de SIM Box também podem reprogramar dinamicamente o IMEI (quase por transação), o que evita qualquer técnica de bloqueio unidimensional baseada na detecção de IMEI.

Para contornar esses desafios se faz necessário uma abordagem multifacetada e, em combinação com um firewall de SMS de última geração, implementar outras medidas, como o cadastro do cartão SIM, que pode ajudar a identificar e bloquear o uso de SIM farms e SIM boxes.

Para isso, as operadoras de redes móveis precisam trabalhar com um parceiro de telecomunicações que entenda os desafios e trabalhar em conjunto para ter uma estratégia de segurança abrangente que inclua o monitoramento de padrões de tráfego incomuns, a implementação de sistemas de detecção e prevenção de fraudes e planos de resposta a incidentes. Além disso, as MNOs também devem educar seus clientes sobre os perigos dos SIM farms e SIM boxes e incentivá-los a relatar qualquer atividade suspeita.

Proteja sua rede contra o tráfego de SIM farm. Descubra como o melhor firewall da categoria mantém você e seus usuários protegidos. Fale com um de nossos consultores e saiba mais!