Как предотвратить мошенническую массовую отправку SMS или звонков с вашего сайта, сервиса или приложения

Привет! Меня зовут Ася Лаврентьева, я отвечаю за маркетинг в i-Digital. Мы подготовили небольшую, но ёмкую инструкцию о том, как обезопасить свои сайты, приложения и другие системы от рисков атак, в которых применяются массовые запросы на отправку SMS с кодами аутентификации.

За последние несколько месяцев мы столкнулись с тремя инцидентами атак на ресурсы наших клиентов, в которых используется авторизация через SMS или звонки.
Мошенники проанализировали API систем и разработали скрипт для автоматизированного частого запроса метода регистрации/авторизации, при котором система генерирует множественные запросы на отправку SMS-сообщений или звонков. SMS отправляли на реальные номера, полученные в результате взлома баз с персональными данными. В одном из кейсов применили случайно сгенерированные номера.
На фрод атаку обратили внимание быстро, в том числе за счет работы нашей системы мониторинга: мы зафиксировали всплески трафика клиентов, показатели сильно отличались от штатных объемов. Но вот поиск и устранение уязвимостей занял время, в течение которого авторизация в сервисах наших клиентов для обычных пользователей не работала.

Как предотвратить мошенническую массовую отправку SMS или звонков с вашего сайта, сервиса или приложения

Такие случаи происходят потому, что бизнес не всегда использует меры по предупреждению или снижению рисков атак. Хотя их последствия могут быть крайне неприятными.

Финансовые риски. За SMS, которые отправил Оператор придется платить.
Репутационные риски. В случае если мошенники используют базу реальных номеров, люди начинают получать сообщения на свой номер телефона от имени бренда, который подвергся атаке.
Штрафы. В случае, если реальный человек получит такую смс, он имеет право пожаловаться в ФАС на использование его персональных данных и отправку SMS без согласия. Штрафы могут быть разными в зависимости от сферы.
Неработоспособность сервиса.
Когда факт атаки установлен, авторизационный сервис блокируется до выяснения причин и устранения риска. Иногда на поиск уязвимости уходит большое количество времени, в этот период атаки продолжаются, а сервисы авторизации для реальных пользователей недоступны.

При запуске сервисов для авторизации мы отправляем своим клиентам памятку с действиями и инструментами, которые помогут себя обезопасить. Мы рекомендуем проверять технические системы (API WEB-сайтов, API frontend/backend мобильных приложений) на наличие уязвимостей, связанных с беспрепятственным бесконечным вызовом метода, при котором происходит отправка кодов.

Мы разделяем меры безопасности на технические и аналитические.

Технические меры

Добавление системы CAPTCHA. Считаем, что это обязательно.
Ограничение количества запросов на отправку SMS или звонков с одного номера в единицу времени.
Валидация номера абонента на корректность и принадлежность к действующему оператору связи.
Сбор цифрового отпечатка устройства. Пользователя можно идентифицировать по совокупности характеристик браузера, идентификатору мобильного устройства, IP-адресу, истории взаимодействия с сервисом. На эту уникальность можно сделать ограничение по количеству запросов на авторизацию.
В случае, если речь идет о закрытых корпоративных системах, можно настроить отправку трафика с определенных IP-адресов.

Аналитические меры

Добавить в систему мониторинга отслеживание конверсии, то есть успешное введение отправленного кода. В случае, если конверсия резко падает и не соответствует штатной, это может означать DDoS.
Добавить в систему мониторинга количество отправляемых SMS в единицу времени для отслеживания незапланированного увеличения этого количества.

Самое важное – закладывать закрытие уязвимостей на этапе разработки системы и сразу ставить ограничения.

Если атака случилась, рекомендуем делать следующее.

Деактивировать API-ключ или другие параметры аутентификации – так трафик перестанет поступать к провайдеру сервиса авторизации.
Написать в тех. поддержку провайдера с просьбой перекрыть отправку вашего трафика. Провайдер на своей стороне должен оперативно включить заглушку, трафик не будет отправляться абонентам.
Иметь техническую возможность ограничить запросы только с тех IP, с которых идут массовые фрод-запросы.
Если для атаки используется пул номеров или один номер, то нужно ограничить отправку на этот номер или диапазон, чтобы не останавливать сервис полностью.
Проанализировать, каким образом пользователь может беспрепятственно вызывать методы отправки сообщений. Попробовать самостоятельно взломать API. Или можно прибегнуть к услугам аудита внешними компаниями.
Быть на связи! Важно держать сотрудников, клиентов, бизнес-партнеров и другие заинтересованные стороны в курсе последней информации об атаке, ее влиянии и реакции организации. Молчание может указывать на вашу некомпетентность, путаницу или что-то худшее

Если атака случилась впервые и до этого у вас не было четкого плана по реагированию на инциденты, то обязательно разработайте такой алгоритм и поделитесь нужной информацией с сотрудниками.

Несмотря на то, что защита от атак это в первую очередь ответственность клиента, провайдер на своей стороне тоже должен принимать меры по снижению рисков фрода. Рекомендуем уточнять у провайдера о наличии следующих мер:

Фиксация резкого увеличения объемов трафика объёмов трафика. В случае, если такое происходит, провайдер должен оперативно сообщить вам об инциденте.
Возможность установить ограничение на количество отправок на один и тот же номер в сутки.
Возможность принимать запросы на отправку только с разрешенных IP.
Настройка отправки трафика только по определенным шаблонам. Можно попросить настроить отправку трафика только определенных текстов через шаблоны. Если вас взломает злоумышленник и захочет отправлять свой текст, то провайдер заблокирует такой трафик, так как он не будет соответствовать шаблонам.
Блокировка отправки на международные номера, в случае если вы не работаете с иностранными пользователями. Блокировку отправки на международные номера можно реализовать как на своей стороне, так и на стороне поставщика.

Итак, чтобы быть уверенными в том, что ваши сервисы защищены.

1. Используйте методы защиты. Даже самые простые из них типа CAPTCHA, существенно снижают риски фрода.

2. Внедрите мониторинг: объем трафика, количество запросов на отправку с одного номера.

3. Разработайте алгоритм работы с инцидентами и придерживайтесь его. Обязательно включите в алгоритм контакты для связи с провайдером сервисов авторизации, чтобы связаться с ним и заблокировать фрод-трафик как можно скорее.

4. Убедитесь, что ваш провайдер на своей стороне «закрывает» эти риски: использует мониторинг, может заранее ограничить количество запросов с одного номера в сутки, предоставляет возможность приема запросов на отправку SMS и звонков с конкретного IP сервера клиента, настраивает блокировку на международные номера и другие меры.

Берегите себя и свой бизнес!