Innanzitutto, invitiamo a contattarci se si riscontrano attività insolite o sospette sull'account CM.com. Adotteremo tutte le misure necessarie per proteggere sia i dati, sia gli account, e attraverso questo blog segnaliamo alcuni dei tipi di frode più diffusi e le misure da adottare per ridurre al minimo i rischi.
I truffatori hanno bisogno di comunicare in scala con le loro potenziali vittime e se possono farlo gratuitamente appoggiandosi all'account CM.com, è molto meglio per loro. Il rischio di compromissione dell'account può essere affrontato in diversi modi, che vedremo in seguito.
Perché i criminali vogliono compromettere il mio account CM.com?
Conosciamo tutti la minaccia del phishing: e-mail e siti web fraudolenti progettati per ingannare i destinatari e indurli a rivelare informazioni sensibili, in particolare i dati bancari. Anche i messaggi di testo e le chiamate vocali vengono sfruttati per "pescare" dati; queste tecniche sono chiamate "smishing" (con la "s" di SMS) e "vishing" per i messaggi vocali fraudolenti.
Prendere di mira un account cliente di CM.com è interessante per i truffatori per due motivi: possono inviare messaggi gratuitamente e possono nascondere la loro identità. Se l'account utilizzato è compromesso, i messaggi fraudolenti provengono da te.
Oltre al phishing, allo smishing e al vishing, i truffatori possono anche cercare di sfruttare l'account per avviare chiamate vocali a numeri a tariffa maggiorata, per le quali il titolare dell'account CM.com verrà poi addebitato.
Naturalmente, ci sono cose che si possono e si devono fare per impedire ai criminali di crackare le credenziali dell'account o di rubare il token API. Le elenchiamo di seguito.
Cosa si può fare per prevenire la compromissione dell'account?
Assicurarsi che l'autenticazione a due fattori (2FA) sia abilitata sul proprio account CM.com. Questa funzione riduce notevolmente la probabilità di accesso non autorizzato rispetto a un account protetto esclusivamente da nome utente e password. Le istruzioni sono disponibili sulla pagina del nostro servizio clienti.
Creare una password complessa o anche una passphrase utilizzando una combinazione di parole, numeri, simboli e lettere maiuscole e minuscole. Evitare di usare informazioni personali o parole che possono essere trovate nel dizionario.
Non condividere mai il token online o con qualcuno che non ne ha bisogno. Il token deve rimanere protetto sui propri server; in nessun caso deve essere mostrato agli utenti finali del sito web, nemmeno in forma criptata. Il token non deve essere incluso nel codice sorgente del sito web o della applicazione mobile.
Impostare un limite al proprio credito mensile e aumentarlo quando necessario per una campagna contattando il proprio account manager CM.com. Quando si raggiunge il 75% del credito, si riceve automaticamente una notifica via e-mail. Quando si raggiunge il 100%, l'account verrà temporaneamente sospeso e riattivato una volta saldate le fatture in sospeso.
SMS Pumping e frodi sui pedaggi
La compromissione dell'account non è l'unico rischio di frode nel commercio conversazionale; è importante proteggersi anche dal cosiddetto pompaggio via SMS e dalle frodi a pagamento, in cui il truffatore abusa del proprio sito web e delle possibilità di verifica.
Che cos'è l'SMS Pumping?
Nel pompaggio di SMS o traffico, i truffatori sfruttano sistemi di accesso automatizzati per innescare forti picchi di traffico verso numeri di loro proprietà o verso una serie di numeri controllati da uno specifico operatore di rete mobile (MNO) con il quale cospirano. I truffatori raccolgono una parte delle entrate generate in questo modo, ma il titolare dell'account CM.com deve pagare il conto.
Bisogna fare attenzione al picco di messaggi inviati a un blocco di numeri consecutivi (ad esempio +1234567890, +1234567891, +1234567892, +1234567893 e così via). Questi numeri sono molto probabilmente controllati dallo stesso MNO. Un segno rivelatore dell'uso fraudolento di un codice SMS unico è un ciclo di verifica incompleto. Purtroppo, i truffatori più avanzati hanno anche gli strumenti per falsificare un ciclo di verifica completato.
Che cos'è la frode del pedaggio?
Nello scenario delle frodi a pagamento, i criminali prendono di mira la verifica del telefono per generare un elevato volume di chiamate vocali a numeri a tariffa maggiorata, che addebitano ai chiamanti un prezzo per chiamata o per minuto. Se tali chiamate sono generate in modo fraudolento dal proprio sito web, le spese ricadono su di essi.
Cosa si può fare per prevenire o rilevare il pompaggio di SMS e le frodi sui pedaggi?
Rilevare e scoraggiare gli attacchi bot implementando librerie come BOTD o CAPTCHA sul proprio sito web.
Monitorare i tassi di conversione dei codici OTP (one-time passcode) e creare avvisi in caso di calo dei tassi.
Implementate ritardi (esponenziali) tra le richieste di verifica con lo stesso numero di telefono.
Offrire canali alternativi come la verifica vocale, non in prima istanza ma, ad esempio, al terzo tentativo di verifica.
Creare un elenco di destinazioni "consentite" o "bloccate" sul proprio sito web.
Analizzare l'IP e rilevate le VPN sul proprio sito web.
Implementare limiti di velocità sul numero di richieste. Ad esempio, bisogna limitare il numero di richieste per numero di telefono/indirizzo IP in un determinato periodo di tempo sul proprio sito web.
Impostare un limite all'importo del credito mensile, come indicato sopra.
Le frodi sono una triste realtà e i criminali cercano sempre nuovi modi per sfruttare le tecnologie innovative.
Ci auguriamo che questo breve blog ti abbia dato un'idea più precisa dei rischi di frode nel commercio conversazionale e di ciò che puoi fare per mitigarli. Se ritieni che il tuo account possa essere stato compromesso o se sospetti qualsiasi altro tipo di illecito, contattaci.