大量研究表明,与任何其他渠道相比,用户更喜欢通过短信从企业获取交易通信。SMS安全、可靠且易于使用。然而,底层消息传递基础设施很复杂,多个参与者将消息从您的系统转移到收件人的手机上,这使得它成为想要利用消息传递系统牟利的不良行为者的潜在攻击点。 每个企业都应该尽其所能避免欺诈,不仅避免承担不必要的成本,还可以防止犯罪分子从中获利。幸运的是,Plivo 提供了您可以在控制台上设置的保护措施,并推荐了您可以在应用程序中遵循的最佳实践。 最近,我们发现短信泵送(也称为流量泵送或人为膨胀流量 (AIT))有所增加。在这种类型的电信欺诈中,不良行为者使用自动化系统引发其拥有的号码的流量急剧上升,并从中获取一定比例的费用。 您可以采取几个步骤来发现有人可能正在使用您的帐户进行短信发送的警告信号: 寻找特定目的地或特定移动网络运营商 (MNO)(如果可以确定)的异常高流量。将当前用例流量与历史数据进行比较,寻找与预期流量的较大偏差。
这很可疑,但不足以将峰值确定为欺诈性的
因为可能还有其他可能的解释 – 例如,您使用消息传递进行身份验证的应用程序可能已经病毒式传播,或者您可能增加了广告支出并吸引了更多用户。 跟踪消息流量的转化。与常规模式相比,转化率极低是一个危险信号,但同样不足以构成欺诈。例如,您可能会遇到这样的情况:您使用 SMS 来登录新用户,但您获得的用户质量很差。 Plivo 支持转化反馈 API,可让您跟踪 2FA/OTP 登录转化。由于欺 阿联酋电话号码列表 诈流量会导致转化率下降(见图),您可以使用转化反馈 API 生成实时警报。 转化率图表 查找短时间内向同一手机号码发出的多个消息请求。 检查是否有向您从未向其发送过消息的国家/地区触发的消息。 检查日志中相邻号码块流量峰值。 对抗 SMS 滥用的最佳实践 您可以采取一些措施,让犯罪分子更难利用您的帐户和电话号码进行短信发送。 在控制台上,转至消息 >地理权限并禁用您不向其发送消息的国家/地区。
如果不良行为者试图向您已禁用的国家/地区发送流量
则消息将被阻止,并且您不会被收取费用 在控制台上,转至消息 >警报并订阅异常活动警报。如果我们遇到与既定模式的偏差,我们会向您发送电子邮件。 在您的应用程序中,根据您的用例限制发送到目标号码的消息数量。例如,假设您要发送一次性密码 (OTP) 以进行双因素身份验证。大多数 OTP 用例都会设置 OTP 的有效持续时间。在此期间,您可以阻止向目标号码触发的消息。对于更通用的用例,您可以编写逻 DM数据库 辑以确保每分钟或每天发送的消息不超过 n 条。您还可以查看消息请求的源IP地址;如果数百个来自同一地址,则可能涉及欺诈。考虑在源 IP 地址级别实施速率限制。消息限制取决于用例,您可能是如何实现它的最佳判断者。 实施质询-响应验证:大多数(如果不是全部)短信泵送实例都使用机器人,这些机器人以尽可能多的消息流量为目标的一系列号码。例如,如果您有一个 Web 应用程序,机器人的脚本将尝试在您的登录页面上依次注册号码。
