60 дней фильмов
и сериалов по промокоду:
VC60
Забрать
60 дней подписки Яндекс Плюс бесплатно для новых пользователей, ранее не оформлявших подписку Яндекс Плюс либо подписки, её включающие, при условии привязки банковской карты. Далее — автопродление: 199 ₽/месяц. Действует на территории РФ. Активировать до 30.08.2021 г. https://hd.kinopoisk.ru/gift. Условия: clck.ru/FMQND.
18+

SMS-мошенничество: и с регистрацией, и с SMS — две рабочие схемы по отъёму денег у компаний

Тема мошенничеств, связанных с SMS, достаточно часто поднимается в последнее время и по большей части представлена фишинговыми рассылками с линками на вредоносные ресурсы. Менее распространен так называемый СИМ-свопинг — «угон» сим-карты. Мошенник получает паспортные данные жертвы с помощью фишинга. Приобретает в DeepNet бланки нотариальных доверенностей (один такой бланк стоит 5 000 рублей плюс печать — 1000 рублей, итого всего 6 000 рублей). Предъявляет доверенность оператору мобильной связи и просит выпустить дубликат сим-карты. Получает дубликат, а вместе с ним и возможность зайти в сервисы, для доступа к которым используется проверка по номеру телефона (интернет-банки, электронные кошельки, аккаунты в соцсетях и т. д.).

Чтобы не стать жертвой СИМ-свопинга, стоит написать в салоне вашего оператора сотовой связи заявление о запрете перевыпуска SIM-карты без вашего личного присутствия. Кроме того, не надо выкладывать свои персональные данные в интернет, в том числе нельзя пересылать скан-копии и фотографии своих документов с помощью мессенджеров или электронной почты. А для доступа к банковским счетам и электронные кошельки есть смысл завести отдельную SIM-карту. Этот номер никому никогда не сообщать и нигде не публиковать.

Чаще всего эти способы мошенничеств нацелены на частных лиц – владельцев сотовых телефонов. Между тем, компании также могут стать жертвой мошенников, и я бы хотел осветить некоторые кейсы, с которыми мы столкнулись в своей работе.

Компания Интис Телеком более 12 лет предоставляет услуги СМС-уведомлений. Все это время и российский, и глобальный рынки стабильно росли. В 2020 году объем рынка СМС в мире составил более 40 миллиардов долларов, из них около 2 миллиардов долларов — это российский рынок. Суммы немаленькие, так что некоторые СМС-агрегаторы не могут удержаться от соблазна использовать мошеннические схемы и просто-напросто воровать деньги заказчиков.

Для начала – немного теории. СМС можно условно поделить на две большие группы. Первая – это так называемые транзакционные СМС, то есть те, в которых абоненту приходит индивидуальная информация, которую он ожидает в определенный короткий промежуток времени. Это может быть верификационная СМС от Фейсбука или СМС с кодом двухфакторной авторизации на Госуслугах. Это важные сообщения с точки зрения абонента, и в случае невозможности получить такую СМС абонент будет жаловаться. Ведь он не сможет воспользоваться сервисом. Вторая группа – рекламные СМС. Их абонент не ожидает и, если такая СМС не дойдет, скорее всего, даже не заметит этого факта. Существуют еще некие промежуточные варианты, например, СМС-уведомление о статусе заказа.

До 2014 года операторы тарифицировали только доставленные СМС, что имело как свои достоинства, так и недостатки. В настоящее время операторы мобильной связи тарифицируют все СМС, в том числе и не доставленные: на выключенные телефоны, на несуществующие номера и т. п.

Операция «Перехват»: не шлите ваши денежки операторам…

Теперь, когда примерно понятно, как работают СМС-агрегаторы, перейдем к сути этих мошеннических схем. Заключаются, они, собственно, в следующем:

1) Не отправлять СМС на выключенные / неактивные номера.

2) Генерировать искусственный трафик на стороне клиента (например, совершать фейковые регистрации).

Как работает первая схема:

Поскольку клиент платит за все СМС, в том числе и недоставленные, СМС-агрегатор анализирует трафик и оценивает вероятность того, что номер неактивный. Он это может делать на основе предыдущих рассылок, или обмениваясь подобными данными с другими СМС-агрегаторами. Таким образом, клиенту выдается статус «Не доставлено», клиент оплачивает эту СМС, а агрегатор получает 100% прибыль с нее, так как она не дошла до оператора связи и не была тарифицирована оператором. Прибыль агрегатора может достигать 15-20% от оборота — в зависимости от того, в насколько запущенном состоянии находится абонентская база клиента.

Каким образом клиенты пытаются бороться с таким мошенничеством? Ну, во-первых, используют свои подконтрольные тестовые номера и периодически шлют на них СМС. Однако эффективность данного способа достаточно низкая, ведь тестовые номера по статистическому профилю трафика значительно отличаются от реальных абонентов. Поэтому СМС-агрегатору не составляет труда находить их и добавлять в белый список. После чего номера, которые могут оказаться тестовыми, направляются в каналы с самым высоким приоритетом.

Во-вторых, клиент может запросить у оператора связи сводные данные. Например, сколько было передано оператору за отчетный месяц СМС-сегментов с отправителем «CompanyX» и сравнивают со своими данными. В случае заметного расхождения предъявляют претензии своему поставщику СМС. Этот способ доступен относительно крупным клиентам: банкам, федеральным сетям и пр.

«Мёртвые души»: 2021 edition

Вторая схема мошенничества более изощренная, но и более прибыльная. Рассмотрим ее подробнее.

Допустим, у клиента есть Интернет-магазин, в котором регистрируются пользователи и делают покупки. Как обычно используется СМС в данном бизнес-процессе?

1) СМС при регистрации — для верификации номера телефона;

2) уведомление о статусе заказа;

3) восстановление забытого пароля;

4) СМС при входе в качестве двухфакторной авторизации.

Итак, СМС-агрегатор генерирует массив номеров на интересующего оператора. Обычно выбирается самый дорогой, но могут быть «подмешаны» и другие операторы, чтобы мошенничество не так бросалось в глаза. Далее этот массив номеров передается ботнету, который в Интернет-магазине осуществляет действия, ведущие к отправке СМС. Клиент, естественно, отправляет эти сообщения СМС-агрегатору, а тот, в свою очередь, генерирует фейковые статусы для клиента и одновременно передает данные, содержащиеся в тексте (например, код, пароль и т. д.) в ботнет для завершения автоматической операции.

Что получается в итоге? Интернет-магазин имеет определенное количество мертвых регистраций и бесполезных действий, а СМС-агрегатор забирает полную стоимость сообщения в свой карман. Учитывая месячный оборот СМС в несколько миллиардов сообщений, даже 20% мошеннического трафика составляют внушительную сумму, которую фактически оплачивает клиент.

У этой схемы есть разновидность в виде грубой, нарочитой генерации искусственного трафика. Она используется для дискредитации конкурентов и последующего обращения к клиенту с предложением себя в качестве надежного и честного поставщика. Классический способ создания проблемы и предложение ее решения.

Следим за руками! И за отчётами

И тут мы задаем себе два традиционных вопроса: «Кто виноват?» и «Что делать?» Виноваты, как ни странно, клиенты. Во-первых, потому, что в тендерах подчас продавливают цену настолько низко, что СМС-агрегатор в погоне за заказом вынужден отдавать услугу «в ноль» или даже с убытком. Естественно, у него возникает желание забрать свое, и тут в ход идут любые ухищрения. Во-вторых, обычно обманывают беспечных клиентов, которые плохо следят за тем, что происходит в их IT-системе и не следят за актуальностью абонентской базы. Вышеперечисленные виды мошенничества вполне могут быть купированы внимательным отношением к трафику и его характеристикам.

Мы, в Интис Телеком, можем рекомендовать следующие способы противодействия мошенничеству:

1) Периодически проверять свою клиентскую базу и «очищать» ее от неактуальных и недоступных номеров. Имейте в виду, либо это сделаете вы, либо ваш поставщик, и от того, кто это сделает, будет зависеть, кто из вас сэкономит деньги.

2) Добиваться высокого процента доставки в СМС-рассылках или СМС-уведомлениях. Типичный процент доставки для СМС-рассылок по актуальной базе должен быть около 90-95%, по СМС-уведомлениям – 97-99%.

3) Провести аудит своей IT-инфраструктуры, приложений, Интернет-магазинов на предмет предотвращения автоматических действий. Даже элементарное добавление Google ReCapcha (в том числе невидимой) заметно осложнит автоматические действия ботнета.

4) Мониторить метрики (объем, процент доставки, распределение доли между операторами) и, в случае резкого изменения какого-либо показателя, проводить расследование и задавать вопросы вашему поставщику.

5) Не замалчивать выявленные случаи мошенничества и предавать их самой широкой огласке. Только так можно очистить рынок от недобросовестных игроков.

Очевидно, что способы мошенничеств не исчерпываются двумя, описанными в статье. Мы продолжаем внимательно изучать ситуацию на рынке и будем уведомлять читателей по мере их выявления и изучения.

{ "author_name": "Андрей Инсаров", "author_type": "self", "tags": [], "comments": 40, "likes": 34, "favorites": 33, "is_advertisement": false, "subsite_label": "life", "id": 257520, "is_wide": true, "is_ugc": true, "date": "Fri, 11 Jun 2021 14:01:13 +0300", "is_special": false }
0
40 комментариев
Популярные
По порядку
Написать комментарий...
6

О, а я-то думал, зачем капча нужна в интернет магазинах… Спасибо)

Ответить
3

Тема мошенничества, связанного с смс, поднимается не в последнее время, а уже лет 10 минимум

Ответить
1

Немножко другой уровень теперь. И другие масштабы.

Ответить
2

Вот решение проблемы. Вроде как для битрикс24, но может и без битрикса будет работать
https://www.youtube.com/watch?v=Wm5ZunBe9Ps

Ответить
1

Очень странно звучит: клиента обманывают, но виноват всё равно клиент. В духе российского предпринимательства

Ответить
0

Если вы будете прогуливаться в толпе с открытой сумочкой, то наверное есть часть вины, нет? 

Ответить
0

Знаете, нет. Также как с девушкой. Если она в короткой юбке, не значит, что она хочет быть жертвой насилия

Ответить
0

Никто не хочет. Дело не в хотении, а в том, что мы живем в реальном мире, где из раскрытой сумочки воруют деньги, а дырами в программном обеспечении пользуются мошенники и хакеры. 

Ответить
1

А как узнавать процент доставленных сообщений?

Ответить
1

Вообще, мобильный оператор возвращает статус доставки по каждому сообщению. СМС агрегаторы также транслируют эти статусы для своих клиентов.

Ответить
1

Какие-то очень очевидные советы и рекомендации, нет?

Ответить
1

Очевидные, однако объемы подобных мошенничеств возрасли в этом году в несколько раз. 

Ответить
1

А как ип я не могу обратиться к оператору, чтобы мне такие данные предоставили?

Ответить
0

Да, и не как ИП, не можете. И автор немного ввел в заблуждение фразой "клиент может запросить у оператора связи сводные данные. ". 

Нет не может. Оператор откажет, потому что условная компания в данной схеме никто. Договор у оператора с агрегатором.

Другое дело, если хорошие отношения у самого агрегатора с операторами и он готов показывать клиенту открытое, прозрачное сотрудничество. Можно "показать" такие справки. 

Все, что в статье имеет место быть, но краски сгущены, конечно. 
Кем учтен такой "взрывной" рост мошенничества, на каком основании выводы? Клиент перешел к другому поставщику и нашептал, что там его обкрадывали или есть оф статистика, где есть разбирательства на данный счет? Сомневаюсь. 

Напугали, приукрасили, рекламировали себя и также попадают под написанную статью )) 

Важно не на советы смотреть, а на наличие лицензий, данные ФСТЭК России, прямые и активные! договоры с крупными мобильными операторами и конечно репутацию. Ах да, не ленитесь посмотреть обороты компании - много о чем говорит. Кто в лидерах, а кто субагент. 

Найти таких очень легко)

Ответить
1

Короче, всё, что я понял из поста – это то, что надо следить за актуальностью базы. Это как бы и так очевидно было.

Ответить
0

Основная проблема - массовая генерация ботами паразитного потока СМС. 

Ответить
–2

"В 2020 году объем рынка СМС в мире составил более 40 миллиардов долларов"
Серьееееезно? Кто-то еще пишет СМС?

Ответить

Системный Паша

Сергей
0

Я тоже иногда пользуюсь с смс, особенно с пожилыми лицами, которые предпочитют пользоваться до сих пор простыми телефонами. 

Ответить
3

Или когда есть номер телефона, и кроме него ничего. Не искать же мне человека в меседжерах ради одного сообщения. 

Ответить
1

А вы почитайте пост до конца, я там обо всём этом рассказываю. 

Ответить
1

Банки пишут, сайты и другие сервисы

Ответить
0

Ты как на госуслуги заходишь, клоун?

Ответить
0

"стоит написать в салоне вашего оператора сотовой связи заявление о запрете перевыпуска" – не берут опсосы такие заявления. Услуга есть, но заявление брать отказываются и соответственно выдавать копию о приеме.

Ответить
0

Это противоречит закону. Они обязаны принять такое заявление.

Ответить
0

Сотрудник билайна вообще рассмеялся, когда я ему об этом сказал. Вы сами пробовали так делать? Наверняка как-то сделать можно, но для обывателя не особо понятно)

Ответить
5

Заказное письмо с описью вложения?

Ответить
1

Вот. Это самый правильный вариант

Ответить

Комментарий удален

0

Я, наверное, чего-то не понимаю, но базу рассылки предоставляет смс-сервису клиент, так? И если там есть неактивные номера, то это же не мошенничество, а косяк клиента, нет?

Ответить
0

Не совсем так. Трафик генерируют без ведома клиента. С помощью ботов. 

Ответить
0

Не замалчивать, конечно, надо, но в чем проблема перерегистрировать юр лицо и продолжить это делать?

Ответить
0

Это не так просто. Надо же контракты иметь с операторами, агрегаторами. Процесс достаточно затратный по времени. 

Ответить
0

Надо просто переводить клиентов из СМС рассылок в мессенджеры. Сейчас практически у каждого установлен хотя бы один мессенджер. 

Ответить
0

Вроде бы как да, но есть нерешенные вопросы:
-Транзакционные сообщения должны быть доставлены в любом случае, а мы достоверно не знаем, какой месенджер установлен у человека (у некоторых ни одного).
-Фоновая передача данных иногода отключается в смартфоне, особенно когда включен режим энергосбережения, значит нужно будет специально "разбудить" телефон для получения сообщения.
-Не все месенджеры дают возможность бизнес-отправки (например, Телеграм не дает). А те, которые дают, делают это по достаточно высоким ценам, кроме того, нужно соблюсти кучу условий (WhatsApp).
Есть еще, конечно, RCS, но он пока не получил широкого распространения, по-крайней мере, в России. 
Поэтому проще на стороне клиента все-таки подстраховаться от подобных случаев.

Ответить
0

"стоит написать в салоне вашего оператора сотовой связи заявление о запрете перевыпуска SIM-карты без вашего личного присутствия"

Недавно попробовал так сделать в салоне продаж МТС (в одном из торговых центров), в Москве. Сотрудница начала было оформлять, но потом, в процессе, уточнила у кого-то по телефону и сообщила, что такая услуга для физических лиц не предоставляется: это можно сделать, только если номер оформлен на юр. лицо. Я опешил от неожиданности, позвонил в поддержку МТС для уточнения этой информации - оператор подтвердила такое положение дел.
Так и пришлось уйти оттуда ни с чем.

Ответить
0

вы в "Интис Телеком" на хуй никому не нужны.
Высосанная проблема из пальца.

Ответить
0

Вот и проФФесионалы подтянулись))

Ответить
0

радует что вы согласны с моими утверждениями выше

Ответить

Комментарий удален

0

Вы поразительно осведомлены в этом вопросе
Такого вида мошенничество для меня открытие
Я ранее знал о мошенничестве с продажей лидов 

Ответить
0

А что скажете когда после отправки транзакционной смс клиенту  через агрегатора, клиенту начинает поступать спам в огромном колве?

Ответить
0

Звучит странно. Т.к. СМС сейчас дорогие, спамить невыгодно. Средняя конверсия по спаму в лиды редко бывает лучше 0,1%. При стоимости СМС в 2,5 рубля, 1 лид выходит 2500 рублей. Дороговато и нерентабельно.

Ответить
Читать все 40 комментариев
Придумал ТВ на спинках кресел и электронные системы бронирования: это «главный новатор авиарынка» Дэвид Нилеман Статьи редакции

За 30 лет он успел основать пять авиакомпаний, одну из которых запустил в пандемию, несколько раз прогорел и даже был уволен из собственной фирмы. В 2021 году он развивает Breeze, лоукостера с высококлассным обслуживанием, а как он это делает — в пересказе Inc.

Дэвид Нилеман Business Insider
Как успешно пройти испытательный срок?

Свершилось – вы получили работу мечты! Но впереди еще три месяца испытательного срока. Это время дается вам и работодателю, чтобы определиться, насколько вы друг другу подходите. Как использовать это время с максимальной для себя пользой? Рассказывает главный специалист отдела подбора персонала Ольга Шабалина. Как всегда, упаковали полезные…

RU-CENTER (NIC.RU) Опять дарят "подарки" увеличивающие стоимость продления услуг ВДВОЕ

Занимаюсь своими делами. Приходит письмо от RU-CENTER (NIC.RU) смысл которого сводится к тому, что если я не хочу потратить при продлении доменов сумму вдвое больше и так конской стоимости продления, то я должен отложить свои дела и потратить час своей жизни, что бы всё вернуть как было до "подарка".

Я задолбался искать один и тот же запрос в Яндекс и Google и создал Мультипоиск

Теперь можно искать в разных поисковиках в 1 клик

31 июля завершается приём заявок в 1-й этап отбора программы B2C Future Solutions
Мошенники развели 22-летнюю девушку на 700 тысяч рублей. Чем мы можем помочь и чему научиться?

Многие, я думаю, видели, не так давно выпущенную статью о том, как мошенники под видом сотрудников банков и прокуратуры обманули сестру автора на 700 тысяч рублей. Вот, если что, ссылка на неё:

Почему вам НЕ подойдет конвейерная бухгалтерия: 5 причин

Всем привет. Я Владимир Зинин, финансист с многолетним опытом работы, основатель сервиса конвейерной бухгалтерии «МАКО». Напомню, мы позволяем экономить на высококвалифицированном штатном бухгалтере, но при этом не терять в качестве, что часто происходит при передаче бухгалтерии на аутсорсинг. Фактически мы адаптировали принципы бухгалтерии…

Как малому бизнесу понять свою «зону смерти»

Риск-менеджмент традиционно считается уделом крупных компаний. Кроме них просчитывают риски разве что стартапы, и те по требованию инвесторов. Малый и средний бизнес (МСБ) работает без подобной аналитики — ему не до этого. Предпринимателей можно понять, когда ты поднимаешься с нуля или масштабируешь проект, мысль идет в векторе достижения…

Как подготовиться к жизни без cookies: рекомендации маркетологам

О технологии Federated Learning of Cohorts (FLoC), которая заменит cookies, Google объявил еще в начале года. Недавно компания анонсировала перенос запуска технологии на 2023 год, и теперь у рынка интернет-маркетинга есть 2 года, чтобы найти альтернативу работе с данными. Как выглядит ситуация сейчас и что делать маркетологам — в обзоре от AiData.

Как превратить юристов из бюрократов в опору компании

Бывает, что корпоративные юристы — люди, которые не показываются из кабинета и иногда вставляют палки в колёса другим отделам. Но в «Фоксфорде» они сами ходят к бизнес-заказчикам и предлагают идеи. Юрист онлайн-школы «Фоксфорд» Катя Кулакова рассказывает, как работает юридический отдел, который живёт интересами компании.

Катя Кулакова, юрист онлайн-школы "Фоксфорд"
null