Se protéger de la fraude à l’OTP
Un nouveau type de fraude prend de plus en plus d’ampleur dans l’utilisation de la vérification d’identité par SMS OTP, il s’appelle le ” SMS PUMPING ” ou encore “Artificially Inflated Traffic”. Les fraudeurs génèrent d’importants volumes de SMS issus d’applications mobiles ou de sites web, par l’envoi massif de code de vérification. Selon une étude de Mobilesquared, cette fraude constitue plus de 20 % du trafic SMS professionnel mondial en 2022. Découvrez comment vous pouvez vous protéger de ce type de fraude et comment smsmode© peut vous y aider.
Table des matières :
Comment fonctionne le SMS PUMPING ?
Comment déterminer si vous êtes victime d’une attaque ?
Quelles sont les actions à mener pour se protéger ?
→ Contrôle des IPs
→ Contrôle et détection des VPN
→ Détecter les bots
→ Mettre en place une « pré-vérification »
→ Fixer des limites serveur et taux de service
→ Fixer des limites d’envoi
→ Instaurer des délais exponentiels
→ Mettre en place des autorisations géographiques
→ Vérification du n° avec smsmode©
→ Surveiller les taux de conversion
Que faire si vous soupçonnez une fraude sur votre compte smsmode?
Comment fonctionne le SMS PUMPING ?
Les fraudeurs utilisent diverses méthodes incluant des bots pour générer de fausses demandes via SMS. Ils créent par exemple de faux comptes sur une application ou un site web, demandent des mises à jour de mot de passe, cliquent sur « mot de passe oublié », etc. Ils profitent de la présence d’un champ de saisie de numéro de téléphone pour recevoir un code d’accès à usage unique (OTP) , un lien de téléchargement ou tout autre type de contenu délivré par SMS. Si ce formulaire de vérification n’est pas surveillé, les fraudeurs peuvent l’exploiter pour générer du trafic SMS frauduleux depuis votre compte.
Dans la majorité des cas, les attaquants utilisent leur bot pour remplir en masse ce formulaire afin de « valider » ces faux comptes, ce qui déclenche l’envoi d’un SMS.
Les SMS sont envoyés sur des numéros dont les fraudeurs ont le « contrôle », ce qui leur permet d’obtenir une part des revenus générés par ce trafic SMS artificiellement gonflé (Artificially Inflated Traffic).
Si vous subissez une telle attaque, en tant que propriétaire de l’application, vous serez probablement contraint de payer la facture pour la livraison des messages. Le but de cette fraude est de gagner de l’argent et non de voler des informations.
Il y a deux manières de faire du profit avec ce type de fraude :
Cas n°1 :
Les fraudeurs bénéficient d’un opérateur/agrégateur complice, avec lequel ils ont conclu un accord de partage des revenus. Ils génèrent des envois massifs de SMS vers ces opérateurs et se répartissent les revenus.
Cas n°2 :
Un opérateur/agrégateur est exploité à son insu par les fraudeurs.
Dans le second cas, les petits opérateurs ou agrégateurs sont payés par de plus grands acteurs pour le volume de trafic qu’ils peuvent permettre de faire transiter. Un fraudeur peut donc créer une fausse société et promettre un trafic volumineux (qu’il va lui-même fabriquer). Le petit opérateur/agrégateur peut ne pas chercher à connaitre la source du trafic et finit par soutenir la fraude.
Vous l’aurez compris, dans les deux cas, il est plus probable que ce type de fraude se produise chez les petits opérateurs. Il est également fréquent de voir ces anomalies de trafic être issues de destinations lointaines, car certaines destinations internationales ont des coûts de livraison plus élevés et sont donc plus rentables pour les fraudeurs (et plus coûteuses pour les entreprises victimes).
Mais les entreprises ne sont pas les seules perdantes dans cette histoire. La fraude à l’authentification OTP est un problème pour l’ensemble de l’écosystème de la messagerie.
Les opérateurs et les agrégateurs peuvent difficilement prendre des mesures sans la validation de leurs clients, ce qui réduit le champ d’action contre cette fraude et engendre une perte de crédibilité ainsi qu’une frustration légitime pour leurs clients impactés.
Comment déterminer si vous êtes victime d’une attaque ?
Cette fraude peut passer complètement inaperçue et n’apparaître qu’après avoir comparé le volume de messages livrés au nombre d’authentifications prévues.
Cependant, plusieurs éléments peuvent vous mettre la puce à l’oreille :
- Un pic de messages envoyés à des numéros adjacents (ex +33111111110, +33111111111, +33111111112, +33111111113, etc.) et donc contrôlés par le même opérateur de réseau mobile.
- Un nombre important de cycles de vérification qui n’aboutissent pas. (taux de conversion en forte baisse)
- Un grand volume de SMS envoyé vers des destinations où vous n’êtes pas ou très peu présent.
Quelles sont les actions à mener pour se protéger ?
Bien qu’il n’existe pas de protection miracle contre ce nouveau type de fraude, les entreprises peuvent mettre en œuvre quelques bonnes pratiques de prévention et de détection qui peuvent réduire de manière significative ces attaques. La participation des clients est essentielle pour lutter efficacement contre la fraude, car aucune solution côté fournisseur ne peut garantir une efficacité à 100 % contre ces attaques. smsmode© peut vous accompagner dans la mise en place de ces bonnes pratiques et également fournir une série de fonctionnalités pour limiter drastiquement la fraude.
GUIDE|Les Bonnes Pratiques 2FA Par SMS
L’authentification à deux facteurs (2FA) par SMS est devenue un moyen répandu d’améliorer la sécurité. Cependant, ces SMS 2FA doivent être optimisés et votre fournisseur doit vous garantir un niveau de sécurité élevé.
Contrôle des IPs
Ajoutez des contrôles supplémentaires sur les identifiants d’IP, d’utilisateur ou d’appareil lorsqu’un nouvel utilisateur crée un compte (FAI/proxy/TOR/fournisseur de cloud, etc.). Cela permet d’identifier les comportements suspects et de prendre des mesures avant que le fraudeur ne demande l’envoi d’un message.
Vous pouvez également limiter le nombre de tentatives de demande SMS à partir de la même adresse IP ou du même appareil et inclure une latence dans les demandes par exemple un reset mot de passe par heure, etc
Contrôle et détection des VPN
Bien qu’il existe des cas d’utilisation légitimes pour les VPN, les attaquants en utiliseront sûrement un, ne serait-ce que pour contourner un blocage d’adresse IP. Il existe de nombreuses solutions pour la détection des VPN.
Détecter les bots
Il y a de grandes chances que les fraudeurs utilisent des bots afin de générer un gros volume de SMS. L’utilisation d’un dispositif comme le CAPTCHA peut aider à détecter et empêcher les bots de répéter les requêtes.
Mettre en place une « pré-vérification »
Évitez de faire de l’envoi d’un SMS votre premier et unique dispositif d’authentification. Ce type de process ajoute certes une étape à la création et donc une petite friction pour les utilisateurs légitimes, mais peut dissuader les scripts automatisés et les bots. Vous pouvez par exemple vous assurer que vos utilisateurs confirment leur adresse email avant son n° de téléphone.
Fixer des limites serveur et taux de service
Assurez-vous que votre application n’enverra pas plus d’un message toutes les X secondes à la même plage de numéros mobiles ou au même préfixe. Mettez en place des limites de débit par utilisateur, IP ou identifiant d’appareil.
Vous pouvez configurer des règles qui restreignent le nombre de requêtes autorisées à partir d’une adresse IP ou d’un utilisateur spécifique sur une période donnée en implémentant des modules dans votre serveur web comme Nginx et Apache pour une limitation du taux ou la fréquence des requêtes vers votre serveur.
Fixer des limites d’envoi
Vous pouvez fixer plusieurs types de limites en collaboration avec votre account manager smsmode©:
- Des limites mensuelles pour éviter les surfacturations
- Des limites quotidiennes pour ajouter une couche de surveillance. smsmode© vous enverra des alertes pour chaque palier franchi.
- Une limitation du nombre de SMS envoyés par minute en prévention.
Instaurer des délais exponentiels entre les tentatives de vérification
La mise en place de délais exponentiels entre les requêtes effectuées avec le même numéro de téléphone est un moyen efficace d’empêcher l’envoi en masse. Ils n’empêcheront peut-être pas la fraude, mais ils peuvent suffisamment ralentir les attaquants pour qu’ils décident qu’il ne vaut pas la peine de s’en prendre à votre application.
Mettre en place des autorisations géographiques pour restreindre les pays de destination
Passez en revue les zones géographiques dans lesquelles l’authentification sur votre application est possible et désactivez toutes les destinations non éligibles à vos services (la plupart des cas se produisent dans des pays où les marques ne sont pas présentes).
Vous pouvez également créer une liste d’autorisations ou de blocages automatiques basée sur les codes de pays du numéro de téléphone.
Vérification du numéro de téléphone avant l’envoi avec smsmode©
Utilisez notre API Lookup pour obtenir toutes les informations sur le numéro de téléphone utilisé pour l’authentification (country code, type de numéro, réseau…)
Vous pouvez également automatiser cette requête API. Le Lookup peut notamment vous permettre de déterminer le ou les opérateurs à l’origine d’un trafic excessif (sciemment ou non) pour ainsi bloquer ce ou ces opérateurs.
Surveiller les taux de conversion des codes d’accès uniques (OTP) et créer des alertes
Créez, dans votre outil de monitoring interne, une alerte sur le taux de conversion des authentifications (c’est-à-dire le nombre d’OTP validés par les utilisateurs finaux / le nombre d’OTP envoyés). Si vous constatez que ce taux commence à baisser de manière anormale, en particulier si les demandes OTP viennent d’un pays inattendu, déclenchez une alerte pour un examen manuel.
Une analyse des DLR reçus de la part de smsmode© peut vous permettre de bloquer le service en cas de suspicion sur un ou plusieurs numéros.
Que faire si vous soupçonnez une fraude sur votre compte smsmode?
Envoyez un e-mail à commercial@smsmode.com dans lequel inclure les détails suivants:
ID du compte :
Canal(aux) concerné(s) :
Plage de dates et d’heures :
Pays de destination des SMS :
Description de l’activité :
Notre équipe vous conseille
Vous êtes intéressés par nos services ? Nos account managers et notre équipe techniques sont à votre disposition pour répondre à toutes vos questions sur nos solutions SMS et pour bénéficier des conseils de mise en place de campagne.