SMS správy sú najčastejšie zasielané na medzinárodné čísla s prémiovou sadzbou pod kontrolou útočníkov. Útočníci profitujú tým, že dostávajú podiel z poplatkov za odoslané správy, často v spolupráci s podvodnými telekomunikačnými operátormi. Finančné prostriedky, stratené v dôsledku takejto škodlivej aktivity, je náročné vymôcť, keďže sú bežne odvádzané do krajín s minimálnou finančnou kontrolou a činnosť je prezentovaná ako legitímna prevádzka zabezpečená „marketingovou aktivitou“. NCKB v kybernetickom priestore SR zaznamenalo viacero útokov tohto typu. Útočníci využili automatizované skripty na zneužitie registračných formulárov rôznych online služieb. Výsledkom sú státisíce odoslaných SMS správ na zahraničné telefónne čísla, čím zasiahnutým organizáciám vznikla priama finančná škoda v desiatkach tisíc eur. Útočník dokázal obísť viaceré bezpečnostné prvky zasiahnutých spoločností, pričom k detekcii útokov došlo až s časovým odstupom, čo malo priamy vplyv na výslednú výšku finančnej škody.
Vzhľadom na narastajúcu frekvenciu výskytu a potenciálnu závažnosť dopadov týchto útokov NCKB odporúča:
Zavedenie CAPTCHA: Implementujte overovací mechanizmus CAPTCHA na všetkých verejných formulároch, ktoré odosielajú SMS, aby sa overilo, že požiadavka pochádza od reálneho človeka, nie bota.
Obmedzenie počtu požiadaviek (Rate limiting): Nastavte obmedzenia na počet požiadaviek pre jednotlivé IP adresy a identity používateľov, ktoré spúšťajú odosielanie SMS, vrátane tzv. exponenciálneho backoffu (predlžovania času medzi pokusmi o odoslanie SMS cez API) pre opakované pokusy.
Blokovanie čísel so zvýšenou tarifou: Využite služby na blokovanie vysoko rizikových destinácií (napr. regióny s prémiovými sadzbami), detekciu a blokovanie VOIP, virtuálnych alebo prémiových čísel. Pri tomto kroku je ale potrebné uvedomiť si, že môže dôjsť aj k blokovaniu legitímnych požiadaviek využívajúcich prémiové čísla.
Filtrovanie telefónnych čísel: Obmedzte odosielanie SMS len na špecifické krajiny, kde pôsobíte, a používajte zoznamy povolení/obmedzení pre telefónne predvoľby krajín na základe obchodných potrieb. Telefónne čísla možno tiež overiť napr. cez HLR (Home Location Register) lookup a na základe toho blokovať rizikové regióny alebo čísla. Aj tu treba mať na zreteli, že táto služba môže byť pri overovaní veľkého množstva čísel drahá a nie všetci operátori poskytujú spoľahlivé dáta o číslach. Uvedený nástroj overuje pravosť čísla a nie jeho prémiovosť. Z toho dôvodu sa treba pozerať na HLR lookup ako na pomocný nástroj.
Aplikácia pravidiel na sieťových a bezpečnostných prvkoch: Blokujte pokusy o spojenia z IP adries anonymizačných služieb (napr. Tor exit nody, bezplatné VPN služby) a zakladanie účtov prostredníctvom dočasných emailových adries (odporúčame využívať whitelist na povolené služby). Blokovanie anonymizačných služieb taktiež môže viesť k obmedzeniu legitímnych používateľov služby.
Monitorovanie prevádzky a behaviorálna analýza: Používajte analytické nástroje na detekciu anomálií, ako sú náhle špičky v odosielaní SMS do určitých krajín a masové zakladanie účtov. Kombinujte poznatky zo správania používateľov, reputáciu IP, rýchlosť a historické vzorce na detekciu automatizovaných pokusov a anomálií.
Ak už incident nastal:
Mitigácia vektora útoku: Dočasne vypnite alebo obmedzte funkčnosť zneužívaného formulára, alebo aplikácie, aby sa zabránilo ďalšiemu zneužitiu.
Koordinácia s poskytovateľom telekomunikačných alebo SMS služieb: Upozornite svojho poskytovateľa telekomunikačných služieb, ktorý môže sledovať anomálnu aktivitu a aplikovať dodatočné protiopatrenia.
Nahlásenie incidentu: Nahláste incident Národnému centru kybernetickej bezpečnosti prostredníctvom JISKB alebo mailom na incident@nbu.gov.sk. V prípade potvrdeného zneužitia prostriedkov a vzniku finančnej škody podajte trestné oznámenie orgánom činným v trestnom konaní.
