防止短信和语音诈骗贴士

首先，如果企业在CM.com帐户上遇到任何不寻常或可疑的活动，请与我们联系。我们将采取一切必要措施来保护企业的数据，确保帐户安全。同时，企业也可以采取一些预防措施。在本文中，我们列出了一些企业可能会遇到的最常见的欺诈类型，以及可以采取哪些措施来将风险降至最低。

骗子们需要与他们的潜在受害者进行大量的沟通，他们更倾向于通过企业的CM.com账户免费做到这一点。所以防止账户泄露很重要，我们可以通过不同的方式来降低帐户泄露的风险。下面我们来逐一了解。

为什么骗子们想要使用企业的CM.com账户？

我们都熟悉网络钓鱼:通过欺诈性的电子邮件和网站，诱骗收件人透露敏感信息，特别是银行信息，最终达成诈骗的目的。同样，短信和语音通话也被用来“钓”数据，这些技术被称为“短信钓鱼”和“语音钓鱼”。

通过CM.com账户进行钓鱼对骗子们来说很有吸引力：他们不仅可以免费发送消息还可以隐藏自己的身份。如果企业的账户被骗子们利用进行不法操作被发现，那么欺诈性信息就是来自企业，即便最终通过调查重获清白但企业名誉也遭受了损失。除此之外，骗子们还可能试图利用企业的账户发起语音呼叫，拨打溢价号码，仍然是企业将承担费用。

当然，企业可以也必须做一些事情来防止犯罪分子破解帐户或窃取API令牌（Token）。

如何防止账户信息泄露？

• 确保企业的CM.com帐户启用了双重身份验证(2FA)。与仅使用用户名和密码保护的帐户相比，此功能大大降低了未经授权访问的可能性。

• 使用字母、数字、符号和大小写字母的组合创建复杂的密码，甚至是短语型密码。避免使用个人信息或字典中可以找到的单词。

• 切勿在网上或与不相关的人共享企业的Token。Token必须安全的存储在自己的服务器上，在任何情况下都不应将其显示给企业网站的终端用户，即使是以加密形式也不可以。Token不应包含在企业的网站或移动应用程序的源代码中。

• 设定每月信用额度的上限，在活动需要时通过联系对应的CM.com客户经理提高额度。当企业的信用额度使用达到75%时，会自动收到电子邮件通知。当达到100%时，帐户将被暂时暂停，并在未付发票结算后重新激活。

短信批量诈骗和通话资费诈骗

在对话式商务领域，账户信息泄露并不是唯一的诈骗方式，企业还需要与短信批量诈骗和通话资费诈骗作斗争，骗子们可能会通过网站和认证步骤来进行诈骗。

什么是短信批量诈骗？

骗子们利用自动登录系统触发短信流量高峰，流向他们拥有的号码或与他们合谋的特定移动网络运营商(MNO)控制的一系列号码。骗子们通过这种方式获得收入，但CM.com账户持有人却要为此买单。

注意那些发送到连号(即+1234567890、+1234567891、+1234567892、+1234567893等)的信息峰值，这些连续的号码很可能是由一个MNO控制的。另外，一般情况下骗子们不会完成双重验证（获取验证码后不会登录）的，但不幸的是，有些高级的骗子会使用工具来完成登录步骤。

什么是通话资费诈骗？

在通话资费诈骗的场景中，骗子们以语音验证为目标，生成大量的语音呼叫到付费电话号码，这些电话号码向呼叫者收取每次呼叫或每分钟的费用。如果这样的电话是从企业的网站产生的则企业要承担这种诈骗性的费用。 

企业如何预防和侦测短信批量诈骗和通话资费诈骗？

• 通过在网站上部署BOTD或captcha等来检测和阻止机器人攻击。

• 监控一次性密码(OTP)转化率，并在转化率下降时发出警报。

• 在相同电话号码的验证重试请求之间实现(指数级)延迟。

• 提供替代渠道，如语音验证，不是在第一次，而是比如说在第三次验证尝试时。

• 在企业的网站上建立一个目的地“允许”或“阻止”列表。

• 分析IP并检测企业网站上的vpn。

• 对请求数量进行速率限制。例如，在企业的网站上限制每个电话号码/IP地址在一段时间内的请求数量。

• 如上所述，设定每月信用额度的上限。

在我们的生活中骗子们无处不在，这是一个可悲的事实。犯罪分子们总是会千方百计地寻找下手的机会。如果您想要更多了解CM.com如何防范安全漏洞，请访问我们的信任中心。

希望这篇文章可以在欺诈风险方面给您带来一些启示和应对的措施，如果您认为您的账户可能已被泄露或存在其他不法行为，请与我们联系。