人工流量增加(Artificial Inflation of Traffic,AIT)技術是現今許多犯罪集團使用的詐騙技術,透過應用程式或網站產生大量的偽造流量,讓許多企業陷入危機。為了防堵 AIT 日益嚴重的威脅,英國國家網路安全中心(National Cyber Security Centre,NCSC)更新了簡訊和電話最佳實踐指南,以此降低簡訊和電話相關詐騙的風險。
對於許多企業或組織來說,簡訊傳送是一種簡單有效的傳播與行銷方式,但這可能存在著安全疑慮。目前的大眾通訊技術和系統無法確切地告訴接收者寄送方是否安全,這意味著網路犯罪分子能夠冒充其他合法企業或組織,透過模仿或惡意連結的嵌入進行詐騙。
AIT 類型的詐騙造成許多企業龐大的財務損失。像是 X(Twitter)創辦人馬斯克(Elon Musk)就表示,先前就因為不法集團,透過機器人發送認證簡訊詐騙,導致 X 損失高達6000萬美元。 因此 X (Twitter),於 3月20日起開放付費的Twitter Blue 訂閱者能夠使用雙重驗證(Two-factor authentication,2FA)方式來保護他們的帳戶,而非付費訂閱用戶將不再具有此項驗證功能。
英國國家網路安全中心(National Cyber Security Centre,NCSC)於 2022 年 1 月發布了簡訊和電話最佳實踐指南。2023年10月31日,為了防堵犯罪集團透過應用程式或網站的人工流量增加(Artificially Inflate Traffic,AIT)技術,NCSC 對指南內容進行了修正,希望企業以及組織能因此降低簡訊和電話相關詐騙的風險。
典型的 AIT 形式:
- 詐騙集團使用機器人建立大量虛假帳號
- 虛假帳號會在多重要素驗證(Multi-factor authentication,MFA)期間向手機號碼發送一次性密碼(one-time password,OTP)簡訊服務(Short Message Service,SMS)訊息
- 詐騙集團與行動生態系統中的電信業者或收購集團合作,阻斷 AIT, 未將訊息傳遞給終端用戶
- 詐騙集團與行動生態系統中的營運商或收購集團從中共同獲取利潤
簡訊和電話最佳實踐指南的內容重點:
- 審核驗證訊息是否完全按照發送的方式接收。內容或訊息發送者的任何變更都表明訊息的提供者可能正在使用不安全的網路,可能會提升監管的風險。
- 避免在訊息中詢問個人詳細資料及使用連結。若必需使用連結,建議使用簡單易讀的,例如:gov.uk/coronavirus,並且確保所有訊息中的連結一致,使人們更容易獨立檢查。
- 選擇 SenderID 時要小心,並且將 SenderID 的數量保持在最低限度。避免使用特殊字符,並確保將 SenderID 添加到英國行動生態論壇的註冊清單中。
- 限制使用者/識別碼在給定時間內可以發起的重試次數,以此防止阻斷式攻擊並降低詐騙風險。
- 考慮實施業務規則,例如:封鎖來自相同 IP 位址的多個請求,並引入速率限制以協助防止攻擊。嘗試了解歷史訊息模式進行比較,如果突然出現峰值,則很可能是攻擊。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Alex C(2023) .AIT fraud: what you need to know .
檢自:https://www.ncsc.gov.uk/blog-post/ait-fraud-what-you-need-to-know
National Cyber Security Centre(2022、2023) .Business communications – SMS and telephone best practice .National Cyber Security Centre
檢自:https://www.ncsc.gov.uk/guidance/business-communications-sms-and-telephone-best-practice
BBC(2023) .Twitter to charge users for text-message authentication .BBC
檢自:https://www.bbc.com/news/technology-64678260 (Nov.11,2023)
