Si vous construisez une application nécessitant que les utilisateurs saisissent un numéro de téléphone et reçoivent un SMS, vous devriez vous inquiéter de la fraude — la fraude au partage des revenus internationaux en particulier.

Avec une augmentation de 12 % des pertes dues à la fraude signalées en 2023 par rapport à 2021, ce qui représente environ 38,95 milliards de dollars perdus, la fraude en télécommunications devient une menace majeure pour les revenus des entreprises.

Bien qu'il existe malheureusement trop de types de fraude différents, l'une qui affecte presque tous les acteurs de l'industrie des télécommunications est la fraude au partage des revenus internationaux (IRSF). Même si votre application n'offre pas directement un service de télécommunications, elle peut être affectée lors des tentatives de vérification et d'authentification des utilisateurs.

Dans cet article, nous allons discuter de ce qu'est l'IRSF et comment cela affecte les entreprises et les clients utilisant des mécanismes de vérification par SMS et OTP.

Qu'est-ce que la fraude au partage des revenus internationaux (IRSF) ?

La fraude au partage des revenus internationaux, ou IRSF, est une forme de fraude financière dans laquelle des cybercriminels exploitent les structures tarifaires complexes des appels internationaux et des SMS pour générer et détourner des revenus vers leurs propres comptes. Ce type de fraude est également appelé fraude au pompage de SMS ou fraude au péage SMS.

La fraude au pompage de SMS est réalisée lorsque des fraudeurs gonflent artificiellement le volume de messages SMS internationaux envoyés vers des numéros à tarif premium. Ils le font généralement en trompant les applications en complétant de fausses inscriptions ou des demandes de vérification de téléphone sur ces numéros premium. Ces numéros entraînent des frais plus élevés, et l'application ciblée par ces fraudeurs paie le coût.

Et ces coûts peuvent atteindre des montants importants. En 2023, Elon Musk a révélé que Twitter a perdu 60 millions de dollars par an à cause de la fraude au pompage de SMS !

Comment fonctionne l'IRSF ?

Le fraudeur se procure une gamme de numéros de téléphone à tarif premium (IPRN) qu'il utilisera pour s'inscrire sur différentes applications avec des inscriptions de vérification par téléphone.

Ils opèrent généralement depuis des pays où la réglementation dans ce domaine est laxiste ou mal appliquée.

Le fraudeur est souvent en collusion avec un opérateur de télécommunications, un opérateur ou quiconque opérant un niveau entre le message et le destinataire, comme l'agrégateur de SMS. En effet, les opérateurs de télécommunications doivent conclure des accords pour partager les revenus avec d'autres opérateurs afin de faciliter les messages internationaux. Bien que ces accords soient censés être mutuellement bénéfiques, ils créent des lacunes que les fraudeurs peuvent exploiter.

Les fraudeurs inondent ensuite une entreprise de demandes de faux OTP vers des numéros premium qu'ils contrôlent (les fraudeurs). L'entreprise accumule une grosse facture, tandis que le fraudeur et l'opérateur/de la télécommunication partagent l'argent généré par les numéros premium.

L'IRSF peut également se produire au sein des routes normales de télécommunication vers des numéros réguliers. Ils peuvent ne pas coûter aussi cher, mais accumulent tout de même suffisamment d'argent volé pour rendre la fraude rentable. C'est ce qui rend l'IRSF si difficile à détecter.

Cette forme de fraude est structurellement difficile à combattre, au point d'attirer l'attention d'Europol, comme elle le devrait.

"Il s'agit du schéma de fraude le plus dommageable à ce jour, où un criminel s'associe à un fournisseur de numéros à tarif international (IPRN) qui facture des tarifs élevés… et accepte de partager les revenus pour tout trafic généré par le fraudeur." — Europol

Autres méthodes d'attaque IRSF

Bien que la fraude au pompage de SMS soit la plus courante et celle qui peut entraîner les plus grandes pertes pour les entreprises, les fraudeurs peuvent utiliser un éventail de méthodes d'attaque :

Hacking PBX

En exploitant les vulnérabilités des systèmes de central téléphonique privé (PBX) - réseaux téléphoniques utilisés au sein d'une entreprise - les fraudeurs peuvent rediriger les appels vers des numéros à tarif premium.

Fraude Wangiri

Également connue sous le nom de fraude "one-ring", les attaquants passent des appels courts aux cibles, les incitant à rappeler. L'appel de retour est dirigé vers un numéro à tarif premium.

Échange de SIM

Les fraudeurs prennent le contrôle du numéro de téléphone d'une victime en trompant le fournisseur de services mobiles afin de échanger le numéro contre une carte SIM qu'ils contrôlent. Cela leur permet de recevoir des appels et des SMS destinés à la victime.

Fraude au roaming

Les fraudeurs peuvent exploiter les accords de roaming international pour passer des appels facturés vers un autre réseau, en utilisant des cartes SIM volées ou clonées ou en profitant des retards de facturation dans les enregistrements d'appels internationaux.

Quelles entreprises devraient s'inquiéter de l'IRSF ?

Bien que certains secteurs soient plus exposés aux attaques frauduleuses, comme la finance, la santé ou les applications sociales, toute entreprise internationale qui envoie des messages de vérification dans le monde doit s'inquiéter de l'IRSF.

Ce n'est même pas obligé d'être une grande marque ou une application. Tant que l'application a un champ de saisie pour un numéro de téléphone et est conçue pour envoyer un SMS à quiconque, elle est vulnérable à l'IRSF.

Que ce soit pour des ouvertures de compte, des inscriptions d'utilisateurs ou des vérifications de transaction, les fraudeurs peuvent détourner toute livraison basée sur SMS.

Si vous dirigez ou travaillez dans une entreprise comme celle-ci, vous n'avez pas à demander, “Cela peut-il nous affecter ?” Vous devez demander, “Quand cela va-t-il nous arriver ?”

Comment l'IRSF impacte-t-il les entreprises ?

Pertes financières

Les entreprises subissent des pertes financières directes à cause de l'IRSF, entraînant souvent des factures téléphoniques exorbitantes dues aux faux utilisateurs.

Cette fraude entraîne également des coûts indirects, tels que le coût d'enquête et d'atténuation de la fraude, et des coûts opérationnels supplémentaires.

Dommages à la réputation

Si les clients sont directement affectés par la fraude ou si leur sécurité d'information est compromise, cela peut entraîner des dommages sévères à la confiance des clients et des employés.

Certaines entreprises peuvent être tentées de répondre à la fraude en bloquant des pays et des régions entiers, frustrant ainsi les véritables utilisateurs qu'elles y ont.

Interruption opérationnelle

Un volume élevé de demandes factices peut entraîner un plantage ou un temps d'arrêt du système d'une entreprise, impactant l'expérience des véritables utilisateurs. La détection et la réponse à l'IRSF peuvent également perturber les opérations commerciales régulières, détournant des ressources et de la main-d'œuvre des activités principales et pouvant entraîner une perte d'avantage concurrentiel.

Pénalités légales

Les entreprises peuvent être condamnées à une amende ou poursuivies si on prouve qu'elles n'ont pas suffisamment protégé les données de leurs clients. Toute accusation de fraude au pompage de SMS peut également entraîner des organisations à être accusées d'aider et d'encourager la fraude.

Comment détecter l'IRSF ?

Détecter l'IRSF est délicat car cela peut être mélangé avec des appels internationaux légitimes. Mais vous pouvez garder un œil sur ces signaux :

• Enquêtez sur toute augmentation soudaine du nombre de demandes d'OTP dans une courte période, surtout en provenance de pays où votre entreprise n'a pas beaucoup de clients.

• Portez une attention particulière à la vitesse à laquelle les demandes de SMS arrivent des utilisateurs. Soyez méfiant de l'IRSF chaque fois qu'il y a une augmentation inexpliquée de ces chiffres.

• Demandez à vos fournisseurs d'OTP de signaler tout volume important de demandes d'OTP en provenance de destinations internationales à haut risque de fraude.

• Recherchez des SMS multiples dirigés vers le même numéro ou la même destination.

Comment protéger votre entreprise de l'IRSF avec Prelude ?

L'ISRF n'est pas inévitable et votre entreprise peut trouver une solution pour protéger vos clients (et votre budget) contre ces attaques.

Chez Prelude, nous nous concentrons sur la réalisation de quelques choses très bien. L'une d'entre elles est la prévention de l'IRSF, en particulier du pompage de SMS. Le SDK et l'API de Prelude sont spécifiquement conçus pour protéger les clients contre l'IRSF dans leurs flux de vérification basés sur OTP.

Comment y parvenons-nous ?

• Nous utilisons une évaluation des risques de signal croisé pour identifier le spam avec la meilleure précision afin que nos clients n'envoient des SMS OTP qu'à de réels utilisateurs.

• Nous enrichissons notre analyse avec des bases de données commerciales pour une détection de fraude plus précise.

• Notre connaissance est partagée entre tous nos clients. Une attaque bloquée profitera à tous les comptes.

• En cas d'attaque, nous ne bloquons pas des opérateurs ou des pays entiers. Au lieu de cela, nous faisons une note précise de la fraude et localisons les problèmes afin que votre entreprise ne soit pas impactée, ni par une perte financière ni par la suspension de SMS nécessaires. Nous préférons être précis au point de pouvoir offrir une infrastructure SMS dans des pays non desservis par des concurrents comme l'Indonésie, les Philippines et le Brésil — car les clients légitimes ne devraient pas souffrir à cause des actions des cybercriminels.

Nous sommes également une entreprise native de l'IA, ce qui signifie que nous pouvons mieux cerner la fraude en utilisant des méthodes d'évaluation précises qui prennent en compte des heuristiques et des données enrichies. Les fournisseurs traditionnels ne se contentent que de regarder un numéro de téléphone pour déterminer la fraude, mais vous payez alors pour de faux négatifs et perdez des opportunités de croissance avec de faux positifs.

Si nous avons éveillé votre curiosité, vous pouvez réserver une démo pour voir comment Prelude envoie des SMS OTP à 60% de moins que le coût du marché, avec 99% de délivrabilité et une fraude étonnamment minimale.