Trafic artificiellement gonflé (AIT) : une menace croissante pour l’écosystème de messagerie

Le monde de la messagerie A2P est complexe. Il implique de nombreux acteurs, passerelles et protocoles, tous destinés à garantir que les utilisateurs reçoivent les communications qui leur sont destinées. Il n’est pas facile de naviguer dans un écosystème aussi dense, et les fraudeurs peuvent profiter de cette complexité. Un système frauduleux appelé AIT pour « Artificially Inflated Traffic » en anglais, ou « trafic artificiellement gonflé » a pris discrètement de l’ampleur sans que les entreprises ne semblent s’en inquiéter – jusqu’à présent.

L’AIT est un type d’escroquerie par SMS qui génère d’importants volumes de faux trafic via des applications mobiles ou des sites web. Selon les récentes conclusions de Mobilesquared présentées lors du Forum mondial du MEF, les plus grandes menaces pour la messagerie en 2022 étaient les routes grises, l’AIT et l’hameçonnage par SMS. L’AIT devrait devenir la principale menace en 2023.

Voici un scénario courant d’AIT :

1. Les fraudeurs conçoivent un bot pour créer de faux comptes.
2. Le bot déclenche l’envoi d’un code à usage unique par SMS à des numéros de téléphone mobile.
3. Les fraudeurs s’associent à une tierce partie malhonnête pour intercepter le trafic gonflé sans réellement délivrer de messages aux utilisateurs finaux.
4. Ensemble, ils revendiquent les revenus, partagent les bénéfices…
5. … et répètent le processus pour gonfler encore les revenus ou trafiquer les statistiques de conversion.

En tant que propriétaire de l’application, vous devrez probablement payer la facture au fur et à mesure de la livraison des messages. Les fraudeurs choisissent souvent de gonfler le trafic vers des destinations lointaines, car les destinations internationales dont les coûts de livraison sont élevés sont les plus rentables.

Trois facteurs principaux expliquent l’augmentation de la fraude par AIT :

• Avec l’augmentation des coûts des SMS A2P, le potentiel de profit de l’AIT est de plus en plus intéressant pour les fraudeurs. Et comme le coût des SMS peut être élevé, certains choisiront d’utiliser les bénéfices des escroqueries par AIT pour payer le trafic SMS légitime.
• L’AIT est difficile à identifier car il n’est pas régi par les accords et règlements communs relatifs aux SMS. Cela signifie qu’il peut contourner les pare-feux des opérateurs de réseaux mobiles, car les codes à usage unique ne sont pas considérés comme du spam.
• Les escrocs pourraient utiliser des moyens frauduleux pour générer du trafic afin de dépasser la concurrence et d’augmenter leur valeur sur un marché saturé.

L’impact principal est d’ordre financier. Les entreprises subissent d’importantes pertes de profit liées à la fraude par AIT. Twitter, par exemple, perdrait 60 millions de dollars par an à cause de cette fraude SMS.

La fraude par AIT peut passer complètement inaperçue et n’apparaître qu’après comparaison du volume des messages livrés avec les recettes prévues.

La réputation de la marque peut également être menacée, car les entreprises pourraient être perçues comme illégitimes et non conformes par leurs clients. Si un utilisateur reçoit plusieurs codes à usage unique qu’il n’a pas demandés, il remettra probablement en question l’intégrité de l’entreprise.

Les entreprises ne sont pas les seules à être perdantes. L’AIT est un problème pour l’ensemble de l’écosystème de la messagerie, menaçant aussi bien les opérateurs que les services de messagerie. Avec l’augmentation des tarifs des SMS et les nouvelles procédures de régulation, les marques commencent à envisager d’autres canaux. Les opérateurs mobiles risquent également de perdre des revenus provenant des SMS A2P, car les marques se tournent vers d’autres méthodes d’authentification.

Bien qu’il n’existe pas de bonnes pratiques spécifiques pour lutter contre l’AIT, les entreprises peuvent mettre en œuvre certaines méthodes de prévention et de détection qui aident à réduire de manière significative le nombre d’attaques frauduleuses.

• Surveiller les très gros volumes de messages sortants suspects : ajouter des contrôles supplémentaires sur les identifiants d’IP, d’utilisateur ou d’appareil lorsqu’une personne crée un compte. Cela permet d’identifier les comportements suspects et d’agir avant que les fraudeurs n’aient la possibilité de demander l’envoi d’un message.
• Surveiller les taux de conversion des codes à usage unique envoyés par SMS : dans de nombreux cas, les escrocs ne peuvent pas assurer des taux de conversion élevés.

Les entreprises devraient :

• Limiter le nombre de tentatives de demande de SMS à partir de la même adresse IP ou du même appareil.
• Désactiver l’option d’envoi de messages à des destinations non utilisées (la plupart des cas se produisent dans des pays où les marques ne sont pas présentes).
• Utiliser la vérification CAPTCHA ou autres outils similaires pour bloquer les bots.
• Use Sinch SMS Verification, which allows businesses to increase conversion and prevent fraud by monitoring their conversion rates in real-time to help identify AIT.

Les opérateurs devraient :

• Veiller à l’utilisation légitime des séries attribuées lorsqu’ils louent des numéros et des séries de numéros à des tiers.
• Ne sélectionner que des partenaires fiables pour l’acheminement du trafic SMS vers les réseaux avec des clients professionnels, afin de réduire le nombre d’intermédiaires entre les expéditeurs et les abonnés.
• Faire preuve de prudence et ne pas accepter de promesses de recettes trop ambitieuses de la part de vendeurs cherchant à conclure des accords sur mesure. Si cela semble trop beau pour être vrai, c’est probablement le cas !

En tant que leader de la communication basée dans le cloud, Sinch s’engage à respecter les normes les plus strictes en matière de transparence et de responsabilité. C’est pourquoi nous travaillons avec nos clients pour réduire le risque d’AIT :

• Nous surveillons le trafic afin de détecter toute utilisation anormale et nous en informons les clients le cas échéant.
• Nous bloquons la fraude par AIT au niveau du réseau de destination et au niveau de la plage MSISDN.
• We offer AIT detection as a part of Sinch SMS Verification.
• Nous contribuons à un écosystème plus propre :​​
  • Notre stratégie de routage permet d’exclure les fraudeurs.
  • Nous modifions les accords de partenariat pour y ajouter des clauses relatives à l’AIT.​
  • Nous tenons un registre des destinations à risque.
• Nous réalisons également un test de faisabilité pour un système d’alerte automatique de détection des fraudes​.

Sinch est signataire du code de conduite relatif aux SMS professionnels dans le cadre du programme TEM (Trust in Enterprise Messaging) du MEF. Nous contribuons ainsi à accélérer l’assainissement du marché et à sensibiliser les acheteurs de solutions de messagerie d’entreprise aux menaces associées aux pratiques frauduleuses et aux processus d’approvisionnement médiocres.

We also keep our chain of trust as short as possible, with over 600 direct carrier connections to operators, actively monitor conversion rates, and take a legal stance when we have sufficient evidence to inform our suppliers. Learn more about our fight against fraud in SMS.