Cuando se trata del ecosistema de mensajería, sabemos que el panorama de amenazas está en constante evolución a medida que los atacantes varían sus métodos para eludir las nuevas regulaciones y otros desarrollos, pero la amenaza significativa para las empresas marca la reputación y la rentabilidad siguen siendo una constante.
Nuestro CSO, Simeon Coney, amplió esta afirmación en su charla sobre Nueva Amenazas a las empresas en el evento MEF Wholesale Connects en septiembre.
En una discusión virtual con el director de programas de MEF, James Williams, Simeon exploró las amenazas nuevas y en evolución más preocupantes para el ecosistema de mensajería, el impacto perjudicial que estas amenazas tienen tener en las empresas específicamentey los pasos que deben tomarse para mitigar los efectos. Aunque la industria de la mensajería ha sido proactiva en la provisión de defensas, los ataques continúan ocurriendo, creciendo y evolucionando. Contando hacia atrás desde 5, Simeon describe las nuevas amenazas más preocupantes para las empresas que estamos viendo en la industria de la mensajería.
5. Uso de servicios basados en mensajes para el fraude
El uso de servicios para el fraude está en el número 5. Estamos comenzando a ver una nueva gama de técnicas que utilizan servicios legítimos existentes para cometer fraude. Las empresas están implementando varios servicios legítimos basados en mensajes. Por ejemplo, cuando se adquiere un nuevo cliente, se le pedirá que proporcione algunos detalles de registro: nombre, dirección, número de teléfono, etc. A menudo, se envía un mensaje de bienvenida o similar al teléfono del cliente después del registro. Hemos visto a atacantes registrarse en este servicio e ingresar números de teléfono en destinos de alto riesgo y alto costo. Este medio que cuando se envía el «mensaje de bienvenida», genera ingresos para el estafador, lo que le cuesta más al negocio. Desafortunadamente, estas empresas empresariales a menudo tienen un conocimiento limitado sobre las diferentes tarifas para enviar mensajes, por lo que esta actividad fraudulenta no se detecta hasta que reciben su factura después del hecho, momento en el que se genera el tráfico y se incurre en el costo.
Vea a continuación ejemplos de destinos de alto riesgo y alto costo identificados en azul:
Mapa que identifica ubicaciones con tarifas de envío de alto costo
Al observar la estructura del ataque, podemos ver que los estafadores prueban sus métodos antes de comprometerse con volúmenes más altos: 
Gráfico de barras que ilustra el volumen de fraude basado en mensajes a lo largo del tiempo
Mitigación de fraude de SMS
Entonces, ¿cómo mitigamos esta amenaza? Para los atacantes, las recompensas de ingresos de este tipo de fraude de mensajes pueden ser lucrativas; por lo tanto, continúan realizando estos ataques. Una contramedida que pueden tomar los operadores es un enfoque volumétrico: observar niveles elevados de tráfico de SMS a un destino en particular. Del mismo modo, el análisis de los cambios de velocidad relativos e incluso absolutos podría ser otro método de detección. Simeon recomienda una variedad de técnicas basadas en inteligencia en todos los dominios como la forma más eficaz de mitigar estos ataques. Esto significa considerar múltiples variables: el perfil de riesgo de ciertos destinos, la proporción de contactos a números de destino específicos, densidades de saturación y analizar el comportamiento de cuentas sospechosas. Lea nuestro Gestión de Tráfico Comercial página del producto aprender más.
Williams tiene un buen punto: lo que no queremos hacer es bloquear rangos de números enteros, operadores o países para detener estos ataques. Tenemos que abordar esta actividad. antes de llegar a ese punto. Incluso como último recurso, no se recomienda bloquear a toda una nación para que no reciba todo el tráfico, ya que esto evitaría que el tráfico legítimo llegue a una gran cantidad de usuarios, alejando a una variedad significativa de clientes y evitando que accedan a los servicios de SMS que necesitan.
4. Ataques de phishing de marca
Los ataques de phishing de marca se han producido durante muchos años, pero más recientemente hemos visto técnicas cada vez más sofisticadas. Este es un problema para las empresas, ya que sus clientes y empleados ahora están siendo atacados, con atacantes que intentan acceder y comprometer los sistemas internos esenciales utilizando diversas técnicas. El siguiente ejemplo demuestra cómo los atacantes han estado utilizando nombres de dominio legítimos (Uber en este caso) para iniciar una conversación con el usuario (observe la llamada a la acción: «Reply Stop») y ganarse la confianza del usuario para obtener información personal:
Mensaje de suplantación de identidad
En los siguientes ejemplos, el atacante afirma que se deben tomar medidas urgentes en relación con la cuenta Grab de un usuario para que haga clic en un enlace:
Mitigación de ataques de phishing
Debido a la naturaleza precisa de algunas de las campañas de ataques dirigidos, los métodos de detección volumétrica no serán efectivos ya que se envían muchos menos mensajes en el caso de ataques de phishing o balleneros, por ejemplo. Esto significa que el volumen de estos mensajes se encuentra por debajo de cualquier umbral de detección típico de un mecanismo de detección de fraude estándar que utiliza técnicas volumétricas.
Otro problema que señala Simeon son los mensajes legítimos que envían las empresas. Tómese un segundo para comparar los siguientes mensajes. ¿Cuál crees que es falso?
Si adivinaste el primer mensaje estaba falsoestás equivocado. El problema que Simeón destaca aquí es queen el mensaje de phishing en realidad parece ser más legítimo que el mensaje real enviado por Bank of America. el link en el mensaje de phishing referencias ‘bancoofa‘ mientras que el enlace en el apagadoEl mensaje especial consta de números y letras aleatorios. Además, no hay errores ortográficos evidentes, haciendo eso más complicado para diferenciar entre los mensajes reales y falsos. suplantación de identidad mmiLos mensajes son cada vez más sofisticados. y más difícil de distinguir de los mensajes legítimosy también lo es la mitigación. Incluso filtrar por nombres de dominio sospechosos es menos efectivo ahora, ya que los atacantes ccambiar fácilmente a un nuevo nombre de dominio después de 100 mensajes más o menos. Otra vez, Simeon recomienda una combinación de técnicas a mitigar estos ataquesincluido el análisis de la llamada a la acción, detección de URL sospechosas y remitentes no autorizados de campañas similares.
Lea acerca de los ataques de phishing bancarios por SMS en Irlanda >
3. Ataques SS7 contra marcas
Los ataques SS7 no son nuevos, pero vemos un aumento en su uso, especialmente en las áreas de intercepción y redirección. Hay mucho en juego cuando el remitente es un banco o una institución financiera, y se corre el riesgo de que cosas como las contraseñas de un solo uso para la banca en línea de los usuarios sean redirigidas a un atacante. Simeon hace referencia a un excelente informe de la Iniciativa Global de Inclusión Financiera (FIGI) que puede encontrar aquí. Las siguientes cifras muestran los tipos de ataques de telecomunicaciones que vemos en la UE y su frecuencia, que se han extraído de este informe.
Fuente: Iniciativa Global de Inclusión Financiera (FIGI)
Fuente: Iniciativa Global de Inclusión Financiera (FIGI)
Estos tipos de ataques tienen un efecto dominó en todo el ecosistema de mensajería. Si el usuario final se ve afectado, pierde la confianza en la marca emisora, lo que afecta al ecosistema.
Mitigación de ataques SS7
Cuando se trata de mitigación, los siguientes cuatro estándares escritos por GSMA cubren una amplia gama de ataques y son buenos puntos de referencia: 
Estándares GSMA
Sin embargo, las tasas de implementación de estos estándares entre los operadores son preocupantes:
Fuente: Iniciativa Global de Inclusión Financiera (FIGI)
Aunque las tasas de implementación de estándares como el enrutamiento doméstico de SMS son buenas, lo que se destaca aquí cuando hablamos de los ataques SS7 es la implementación de firewalls de señalización que se ubica en un bajo 28.2% de los operadores. El cortafuegos es una técnica muy recomendada y respaldada en el por encima de los estándares. Los operadores móviles son responsables de su infraestructura de red y, por lo tanto, son responsables de protegerla de estos ataques. La implementación de un firewall de señalización eficaz es importante para proteger a los usuarios y las empresas de los ataques SS7, por lo que estos firewalls son esenciales para la salud del ecosistema de mensajería. Esta es sin duda un área en la que se pueden y se deben hacer mejoras.
2. Fraude de inflación de tráfico de SMS artificial
La inflación de tráfico artificial es una amenaza nueva y creciente para el ecosistema de mensajería, ya que las técnicas de los atacantes evolucionan para evitar la detección. El impacto de esta amenaza no debe subestimarse. Para ilustrar esto, el siguiente gráfico muestra el volumen de tráfico artificial que afecta solo una marca en una sola red:
Gráfico del volumen de tráfico artificial que afecta a una marca una red única
El impacto es enorme si pensamos en este volumen en términos de regiones enteras con múltiples redes y múltiples marcas dentro de esas redes. También mencionaré aquí, como señaló James Williams, que si estos volúmenes se hubieran mantenido en las tasas bajas que tenían antes del pico que podemos ver en el gráfico, podrían haber continuado, potencialmente para siempre, sin ser detectados.
Mitigación de Artificial SMS Inflación del tráfico Fraude
Estos atacantes han mejorado seriamente sus técnicas, lo que hace que la detección sea mucho más difícil. Anteriormente, los rangos de números secuenciales se usaban como método de detección, pero ahora estamos viendo números que parecen más realistas en lugar de rangos secuenciales. En el pasado, hemos abordado las ráfagas de tráfico como un método de mitigación, pero ahora tenemos una fase más inteligente del envío del tráfico, lo que hace que este método de detección sea menos efectivo. También hemos analizado la tasa de fallas de los mensajes para detectar estos mensajes antes, pero nuevamente, los atacantes han evolucionado, utilizando herramientas que pueden eludir los mecanismos en busca de altas tasas de fallas. Incluso el contenido falsificado que hemos visto anteriormente en estos mensajes ha migrado al contenido del mensaje real, lo que significa que ya no podemos identificar mensajes artificiales por el contenido.
Afortunadamente, mucho de este tráfico todavía es detectable. Enea AdaptiveMobile Security todavía está identificando grandes instancias del comportamiento y bloqueándolo, pero la forma en que estas técnicas han evolucionado es un tema preocupante relacionado con el ecosistema de mensajería.
1. Desconfianza del cliente hacia los mensajes
Finalmente, encabezando las listas está la desconfianza del cliente. ¿El culpable? Lo has adivinado: rutas grises. Si bien generan ingresos para algunos, los comportamientos de la ruta gris tienen consecuencias perjudiciales a largo plazo para el ecosistema. Estamos viendo identificaciones de remitentes y, de hecho, contenido de mensajes manipulados a nivel mundial por rutas grises.
El siguiente gráfico circular ilustra el porcentaje de mensajes que se modificaron desde el momento en que la empresa los envió hasta que el usuario final los recibió. Espantosamente, solamente 3% de estos mensajes se recibieron sin cambios. En todos los otros casos, fueron cambiados a alguna identidad de envío inverosímil.
Gráfico circular que ilustra el porcentaje de mensajes manipulados por rutas grises
Los atacantes diseñan las alteraciones de esos mensajes para animar al usuario a responder al mensaje y revelar información personal. La implicación para la marca es que los usuarios dejan de confiar en los mensajes legítimos y en las identidades de los remitentes legítimos. En respuesta a los ataques de fraude, las marcas a menudo especifican su ID de envío a los clientes, afirmando que pueden confiar en sus mensajes. Desafortunadamente, esto abre la puerta a ataques de bandeja de entrada en hilos, donde un mensaje se falsifica y se diseña para que aparezca en la misma cadena de mensajes que la identificación del remitente legítimo. Enea AdaptiveMobile Security ha observado un aumento significativo en el reporte falso de mensajes A2P legítimos debido a este tipo de ataques. Podemos concluir de esto que los clientes confían menos en los servicios legítimos y, por lo tanto, no responden a estos servicios. Simeon enfatiza la importancia de esta amenaza: cuando la confianza del consumidor desaparece, buscará servicios alternativos. Si este ecosistema no monetiza esos servicios alternativos, que es una pérdida de ingresos significativa. Esta es la razón por la cual la desconfianza del cliente está en la parte superior de esta lista.
Recomendación: sensibilización y educación
Cuando se le pide su consejo para combatir el fraude, Simeón recomienda concienciación y educación. Esto se aplica a todos los miembros del ecosistema de mensajería: operadores, empresas y usuarios. La industria se encuentra ahora en un punto en el que está claro lo que debe hacerse. Necesitamos comprender y aceptar que será un proceso continuo a medida que implementamos nuevos estándares y defensas, los ataques evolucionan y los atacantes se vuelven más sofisticados. Para las empresas, estar atentos a los ataques emergentes y cambiantes, y educarse sobre las técnicas y el impacto de estos ataques en sus clientes y, en consecuencia, en su marca, mejorará significativamente su capacidad para mitigar las amenazas de manera efectiva.
Relacionado:
Resumen del análisis de las amenazas móviles de los clientes en todas las industrias
Lucha contra las filtraciones de datos y las amenazas de seguridad
¿Qué es la seguridad móvil? ¿Y cuáles son las amenazas comunes a la seguridad móvil?
