Quando Elon Musk disse que o Twitter perdeu US$ 60 milhões por ano porque as empresas de telecomunicações usaram contas de bots para bombear SMS A2P causou um alvoroço no mercado. Essa bomba trouxe à tona um tipo de fraude que tem consequências imensas para todo o ecossistema móvel e de mensageria: a inflação artificial de tráfego (AIT).
A inflação artificial de tráfego usa bots para gerar solicitações de PIN únicas, o que se reflete em custos indevidos e beneficia financeiramente o fraudador. O impacto desse tipo de fraude é muito amplo e vai desde a confiança geral no ecossistema digital e móvel, afetando a reputação das empresas de telecomunicações e das empresas, até a percepção de segurança do sistema. Isso levanta a questão de saber se a autenticação de dois fatores através de SMS A2P é confiável e, consequentemente, se ela pode prejudicar a viabilidade do SMS como um canal de mensagens comerciais.
Para ser franco, os riscos são altos. Há muito tempo as empresas de telecomunicações veem o SMS A2P como um fluxo de receita confiável, principalmente por causa do fornecimento de PINs de uso único baseado. Por outro lado, a fraude de AIT pode levar as empresas a procurar outros tipos de autenticação que podem não estar disponíveis para a maioria dos usuários – a maior vantagem do SMS para 2FA é sua onipresença e facilidade de uso. Cortá-lo pode deixar suas contas sem proteção, e isso não deveria nem ser uma opção para a sua empresa.
A ironia da situação é que, apesar do custo associado à inflação artificial do tráfego, todos no ecossistema podem ser um potencial beneficiário. Isso porque, embora as empresas sejam as vítimas mais comuns desse tipo de fraude, há algumas que a utilizam para aumentar o número de usuários e mostrar crescimento.
No entanto, no longo prazo, isso tem efeitos prejudiciais para todo o ecossistema de mensagens. Para combater essas ameaças crescentes, as empresas de telecomunicações, os provedores de comunicação e as empresas devem trabalhar juntos para proteger seus clientes e negócios contra fraudes e abusos, proteger o ecossistema de mensagens comerciais e reconquistar a confiança dos usuários.
O que é inflação artificial de tráfego?
A inflação artificial de tráfego é um tipo de fraude que aumenta o número de solicitações de PINs de uso único. Esse tipo de fraude é geralmente perpetrado por criminosos que usam programas de software automatizados para enviar um grande número de solicitações de PIN para gerar receita através dessas empresas. O maior problema aqui é que as empresas têm dificuldades para distinguir as solicitações “falsas” das solicitações genuínas dos usuários.
O complexo ecossistema de mensagens pode levar várias partes a utilizar a AIT:
- Empresas: As marcas podem usar indevidamente a AIT para inflar erroneamente a percepção sobre a sua base de clientes, pois ela pode ser um indicador do crescimento dessa base.
- Provedores de comunicação: Os provedores de CPaaS podem usar indevidamente a AIT para aumentar o número de OTPs, o que poderia lhes trazer, direta ou indiretamente, mais receita.
- Operadoras de rede móvel: As operadoras de redes móveis podem usar indevidamente o AIT para aumentar o número de OTPs, o que poderia lhes trazer, direta ou indiretamente, mais receita.
Conclusão: Todas as partes envolvidas poderiam se beneficiar da AIT, portanto, é difícil apontar o dedo para alguém. No entanto, se todos trabalharmos juntos, poderemos fazer com que o canal volte a ser seguro e confiável.
Por que as empresas e as empresas de telecomunicações caem na armadilha da AIT?
Podemos identificar duas fontes de tráfego artificialmente inflado.
A primeira são as empresas que procuram proativamente as tarifas e opções de provedor mais baratas do mercado, o que as leva a fazer parcerias com agregadores de nível inferior. Como se costuma dizer, se a oferta for boa demais para ser verdade, você pode estar sendo enganado.
A lógica aqui é que rotas mais baratas para fornecer tráfego ajudarão a economizar custos. No entanto, com esses custos baixos, os agregadores podem ter dificuldade para atingir o ponto de equilíbrio depois de pagar à operadora de telecomunicações pelo uso do tráfego das marcas. E é aí que o bombeamento de tráfego artificial para a marca com mensagens geradas pelo usuário se torna útil. Como o agregador de nível inferior não envia o tráfego para a empresa de telecomunicações, ele mantém o lucro desse tráfego para si mesmo.
E para a empresa que trabalha com o agregador de baixo custo e não com um agregador de boa reputação com conexões diretas ou com a empresa de telecomunicações diretamente, há casos em que bots estão sendo criados para solicitar OTPs e aumentar o número de mensagens enviadas.
No segundo cenário, às vezes as empresas de telecomunicações estabelecem metas altas de receita de SMS A2P, e isso leva a parcerias intencionais ou não intencionais com agregadores que estão bombeando tráfego artificial para elas. Isso gera mais receita para a empresa de telecomunicações e contas infladas para as empresas.
E esses dois cenários prejudicam a reputação do setor de mensagens A2P.
Quais são os principais casos de uso de mensagens para a inflação artificial de tráfego?
Os principais tipos de mensagens usadas para a inflação artificial de tráfego são:
- Mensagens geradas por usuários sensíveis ao tempo, como senhas de uso único.
- Usuário que recebe uma mensagem sobre uma atividade suspeita que o leva a iniciar uma conversa.
Por que a 2FA e as OTPs são os principais casos de uso para a inflação artificial de tráfego?
As empresas geralmente usam OTP para cadastrar novos usuários, fazer login e redefinir senhas. Com as altas taxas de SMS em alguns mercados, tudo o que é necessário para um criminoso é criar bots para pedir a geração de tráfego falso.
Como mitigar a inflação artificial do tráfego?
Embora alguns possam considerar a inflação artificial de tráfego como um fluxo de receita, ela é um desserviço para o setor e levanta questões sobre confiança e conformidade com as regulamentações locais.
Por isso, para reduzir o risco de inflação artificial do tráfego, as empresas de telecomunicações, os provedores de comunicação e as empresas devem implementar uma estratégia abrangente de prevenção de fraudes. Isso inclui o monitoramento de atividades suspeitas, a implementação de protocolos de autenticação, o uso de análises avançadas para detectar anomalias nos padrões de tráfego e novos recursos para reconhecer a AIT.
Por fim, eles devem garantir que seus sistemas sejam atualizados regularmente com os patches de segurança mais recentes para proteger contra possíveis vulnerabilidades.
O que as empresas podem fazer para proteger o ecossistema?
Conforme mencionado anteriormente, o ônus recai sobre as três organizações, inclusive as empresas. Como empresa, é importante escolher com responsabilidade o provedor de comunicação para ajudar a combater a AIT. Embora o custo seja sempre um fator na escolha de um provedor ou agregador de comunicação, ele não deve ser o único.
Mas, na prática, o que uma empresa pode fazer? Nós recomendamos avaliar os seguintes itens:
- Custo: custos mais altos de mensagens são um indicador de que rotas oficiais estão sendo usadas e indicam o uso de conexões diretas
- Validade das conexões: Cartas de confirmação e referências de provedores de telecomunicações aumentam a credibilidade dos agregadores e provedores de comunicação.
- Taxa de conversão: A taxa de conversão fornece transparência sobre as mensagens que são convertidas e as associa à atividade da plataforma
- Conexões diretas: O número de conexões diretas com as operadoras de telecomunicações elimina o risco de rotas cinzentas e reduz as chances de fraude na comunicação.
- Testes: Antes de assinar um contrato com um provedor, as empresas devem testar a conexão para vê-la em primeira mão.
O que as operadoras de telecomunicações podem fazer?
As empresas de telecomunicações ou operadoras de redes móveis são uma das principais partes interessadas no ecossistema de mensagens.
Por isso, elas devem:
- Definir metas realistas: Ao definir metas de tráfego de SMS A2P ou KPIs, as empresas de telecomunicações devem observar seu crescimento orgânico e definir metas alcançáveis.
- Parceria responsável: Assim como as empresas, as empresas de telecomunicações devem escolher seus parceiros de comunicação com sabedoria e não escolher apenas com base na receita que o provedor ou agregador de comunicação pode oferecer, mas com base em um que possa atuar como consultor e oferecer segurança juntamente com a receita.
O que os agregadores e os provedores de comunicação podem fazer?
Para proteger todo o ecossistema, os agregadores e os provedores de comunicação podem acrescentar um selo de segurança, adotando uma política de tolerância zero em relação à inflação artificial do tráfego e fornecendo consultoria e soluções para ajudar a monitorar e proteger o ecossistema.
Quais são as práticas recomendadas para evitar a inflação artificial de tráfego?
A inflação artificial de tráfego pode ser difícil de detectar e evitar, mas existem algumas práticas recomendadas e soluções que podem ajudar a reduzir o risco.
Por exemplo:
Implementação de firewalls
Os firewalls de SMS são uma ferramenta eficaz para evitar a inflação artificial de tráfego. Eles podem detectar e bloquear padrões suspeitos de tráfego de SMS, como grandes volumes de mensagens enviadas de e para o mesmo destino. Isso ajuda a proteger as empresas contra agentes mal-intencionados que podem estar tentando aumentar seus números de tráfego enviando mensagens falsas.
Além disso, os firewalls podem ser usados para detectar e bloquear mensagens com conteúdo malicioso, como spam ou links de phishing.
Definição de limites de taxa
Os limites de taxa são proteções importantes usadas para interromper o comportamento fraudulento e impedir que os invasores tenham como alvo os aplicativos. A definição de um limite para o número de mensagens que podem ser enviadas para determinados números ou prefixos ajuda a manter a atividade criminosa sob controle, principalmente em relação aos serviços financeiros, em que os fraudadores podem tentar usar vulnerabilidades para acessar dados ou recursos confidenciais.
A definição de limites de taxa precisa ser monitorada de forma inteligente com a ajuda da IA e de aprendizado de máquina – e não com a definição de um limite estático. Dessa forma, os limites de taxa podem ser alterados dinamicamente e em tempo real, dificultando a vida dos fraudadores.
Detecção de bots
A prevenção de bots que enviam tráfego gerado artificialmente ou solicitam OTPs é importante para proteger o ecossistema. Bibliotecas como BOTd ou CAPTCHAs podem ajudar a detectar e frustrar o tráfego de bots aplicando pequenas alterações na experiência do usuário, por exemplo, exigindo que os usuários validem seu endereço de e-mail antes de se inscreverem na 2FA.
Mesmo que isso resulte em um pequeno esforço para os usuários, isso impede scripts e bots automatizados.
Além disso, há soluções de aprendizado de máquina disponíveis que podem ajudar a identificar bots monitorando o tempo entre a solicitação de OTP, verificando a sequência de números e o histórico de tráfego.
Implementação de atrasos entre as solicitações de novas tentativas de verificação
A implementação de intervalos exponenciais entre novas tentativas de autenticação é importantíssima para impedir transmissões rápidas. Esse tipo de regulação de taxa garante que o mesmo número de telefone não seja sobrecarregado com um número excessivo de mensagens em um curto período e ajuda a identificar ações iniciadas por bots.
Ao usar atrasos exponenciais (ou seja, quando o intervalo entre cada consulta aumenta exponencialmente), se fornece mais controle sobre a frequência com que as notificações são distribuídas. Uma boa prática ao implementar a 2FA por SMS é especificar um número máximo de tentativas e utilizar algoritmos de back-off para identificar o intervalo de tempo entre cada tentativa.
Monitoramento das taxas de conversão de OTP
Examinar as taxas de conversão de códigos de uso único é parte fundamental da proteção de qualquer configuração que utilize OTPs para autenticação. Para garantir que as OTPs sejam utilizadas adequadamente, é essencial monitorar as taxas de conversão e criar alarmes quando a utilização ultrapassar um determinado limite.
Detecção de fraudes usando o Signal da Infobip
Para proteger as empresas contra a inflação artificial de tráfego, desenvolvemos uma solução para detectar o tráfego fraudulento e evitar danos à reputação e à receita sem afetar o tráfego normal.
A solução é tão simples quanto um plug and play e não requer nenhum esforço do seu time de desenvolvedores. O Signals usa abordagens volumétricas e baseadas em taxas para detectar qualquer atividade suspeita, técnicas orientadas por inteligência, como análise de perfis de risco, índices de contato, densidades de saturação e comportamento de contas suspeitas para atenuar ataques, além de detectar e impedir o tráfego gerado artificialmente em tempo real com aprendizado de máquina e algoritmos avançados.
Criando juntos um ecossistema de mensagens mais seguro
Concluindo: para criar um ecossistema de mensagens seguro e reconquistar a confiança dos usuários e do mercado, as telecomunicações, as empresas e os agregadores precisam trabalhar juntos e implementar soluções para evitar a inflação artificial do tráfego. Afinal, o setor de comunicação está crescendo, e a tolerância contínua à inflação artificial do tráfego pode resultar na perda de credibilidade e na transferência de casos de uso de mensagens para outros canais OTT.
Os negócios precisam estar cientes dos riscos de usar rotas de baixo custo, as empresas de telecomunicações precisam alinhar suas expectativas com o crescimento orgânico de seus mercados e os agregadores não devem colocar sua reputação em risco para economizar alguns reais.
Na Infobip, trabalhamos diretamente com as telecomunicações e empresas para proteger o ecossistema. Nossas mais de 800 conexões diretas com operadoras e soluções de firewall nos ajudam a limitar a fraude e garantem que nenhum terceiro se beneficie do tráfego artificial. Fale com um de nossos consultores e saiba mais!
Conteúdos relacionados:
