Zloupotreba dvostruke autentifikacije na internetu – IRSF

Share

Sigurno je svako od vas nekad dobio SMS ili poziv na mobilni telefon koji je bio malo čudan. Poruka u kome se moli uplata kredita na račun pošiljaoca ili molba da obavite hitan poziv na priloženi broj ili propušten poziv sa broja koji je na prvi pogled predugačak i nije lokalni broj. U svim ovakvim slučajevima radi se o „pecanju“ žrtava ne bi li pošiljalac, bolje reći prevarant, na vama vrlo lako zaradio. U jednom malo sofisticiranijem okruženju, pričaćemo o International Revenue Share Fraud (IRSF) tipovima prevara u ICT svetu i vezi između softverskih internet/mobilnih platformi i klasičnih telekomunikacionih servisa.

Dvostruka autentifikacija – 2FA

Kada sam pre nešto više od četiri godine došao u kompaniju TeleSign nisam ni slutio kakav se biznis vrti oko naizgled jednostavne stvari. Zapravo, nisam ni znao da postoji taj biznis. Radi se o pojačanoj sigurnosti internet korisnika kada se, pored obaveznog korisničkog imena i lozinke, korisnik opredeli za tzv. dvostruku autentifikaciju (two factor authentication 2FA) putem isporuke jednokratne šifre (One-Time Passcode – OTP) slanjem SMS-a ili poziva na privatni broj telefona korisnika. Zvuči jednostavno, ali zapravo ne postoji nijedna internet kompanija koja ovaj dodatni servis ima implementiran u sopstvenoj režiji, čak ni one najveće. U stvari, vrlo mali broj kompanija u svetu pruža ovu uslugu internet kompanijama.

Najpre, šta je ideja slanja OTP-a? Naime, hipoteza je sledeća: korisnik je u posedu svog broja telefona i pretpostavlja se da samo on može da primi OTP čime dokazuje da se prilikom autentifikacije radi upravo o njemu, odnosno da je on ta osoba koja trenutno želi da se autentifikuje prilikom registrovanja na sajtu, otvaranja email naloga, logovanja na već napravljeni nalog, plaćanja na internetu itd. Time korisnik, u stvari, na sjajan način štiti sam sebe, a u isto vreme internet kompanija koja pruža uslugu korisniku takođe štiti sebe dobijanjem/potvrđivanjem legitimnog korisnika.

Premijum servisi u službi gospođice „prevare“

Sa druge strane, tu opciju zaštite naloga neki prevaranti koriste i to ne da bi prodrli u tuđe korisničke naloge, već zbog ostvarivanja direktne zarade. Najpoznatiji mehanizam je gore pomenuti IRSF koji se još zove i IPRS Fraud (International Premium Rate Services Fraud). Ova vrsta prevare je vrlo dobro poznata u Telco svetu. Smatra se da 25% svih prevara na telekomunikacionim servisima predstavlja upravo IRSF. Kako se to uopšte radi i šta je preduslov koji garantuje zaradu prevarantima? Pre svega, potrebno je zakupiti jedan ili više premium rate brojeva koji imaju osobinu da vlasnik tog broja zarađuje od dolaznih poziva ka tom broju. Radi pojašnjenja šta su premijum brojevi, podsetimo se jednog dobro poznatog primera. Svima su nam poznati telefonski kvizovi na TV kanalima u kojima se gledaoci namamljuju da učestvuju i gde je sitnim slovima naznačena cena poziva koja je višestruko veća od cene običnih poziva. Ne aludiram na to da je ovaj primer jedan od primera prevare, mada…

Automatizacija prevare

Slična stvar je u pitanju i ovde. Takođe je bitno da prevaranti izaberu provajdere brojeva i uopšte države u kojima je pravna regulativa slaba i nije lako dokazati i učiniti nešto da bi se oštećena strana zaštitila. Kada je sve to ispunjeno, prevaranti traže pogodnu internet stranicu preko koje se podnosi glasovna (voice) verifikacija. Kada je pronađu, sledeći korak je izvršavanje automatskih programskih skripti u kojoj prevaranti ugrade masovno pozivanje glasovne verifikacije sa targetirane stranice na premium rate brojeve koje su prethodno zakupili. Ovim automatizmom, vrlo lako mogu da izgenerišu i na stotine hiljada poziva u vrlo kratkom periodu, na primer u roku od sat vremena.

Raspodela dobiti

Upravo su prevaranti ti koji najviše zarađuju, međutim, ne treba smetnuti sa uma da u procesu uspostave poziva može da učestvuje nekoliko provajdera usluge i operatera, sve do krajnjeg operatera, matičnog vlasnika premijum broja. Svi oni nešto zarađuju u ovom lancu, tako da praktično dele zaradu sa prevarantima. Zato se ova prevara i zove „podela/deljenje zarade“ – revenue share. Ko na kraju plaća trošak uspostavljenih internacionalnih poziva? Naravno, neko mora da plati trošak poziva, a to su najčešće internet kompanije koje i jesu žrtve napada, a ponekad se trošak reflektuje i na primarnog provajdera verifikacione usluge. Upravo TeleSign, kao pružalac verifikacionih usluga, vodi aktivnu borbu protiv ovakvih (i ne samo ovakvih) vrsta prevara. Postoje interni mehanizmi detekcije i prevencije kao i dodatne usluge i proizvodi koje TeleSign nudi svojim korisnicima kako bi se zaštitili od IRSF-a.

Ukoliko planirate da omogućite 2FA verifikaciju na vašoj internet stranici ili mobilnoj aplikaciji, vodite računa o zaštiti od gore opisanih vrsta prevara, bilo uvođenjem interne logike u vaš sistem ili eksterne dodatne zaštitne usluge. U protivnom, sledeća žrtva IRSF-a možete biti upravo VI!

 

Share

Prijavi se da prvi dobijaš nove blogove i vesti.

Оставите одговор

Dejan Pešić

Knowledge Engineering Lead @ TeleSign Corporation
mm

Dejan je rođen u Beogradu 1974. godine. Diplomirao je 1999. godine na Katedri za računarske tehnologije i informatiku na Elektrotehničkom fakultetu u Beogradu, a zatim sledećih 15 godina posvećuje inteligentnom izveštavanju i automatizovanju poslovnih izveštaja, oblasti koja je opšte poznata pod nazivom Data Warehousing & Business Intelligence. Nadgradnja na prethodno iskustvo počinje pridruživanjem kompaniji TeleSign 2013. godine gde vodi tim inženjera znanja (Knowledge Engineering). Tim se bavi proučavanjem i prevencijom prevara u ICT svetu, kao i praćenjem i unapređenjem kvaliteta podataka i usluga kompanije.

Prijavi se da prvi dobijaš nove blogove i vesti.

Категорије