La verifica tramite SMS è essenziale per le aziende di oggi, dalla sicurezza degli account alla prevenzione delle frodi. Ma cosa succede quando gli SMS diventano lo stesso strumento che i truffatori utilizzano per prosciugare le tue risorse? Entra in gioco la frode da SMS pumping, una truffa sofisticata che costa alle aziende milioni ogni anno.

In questa guida, analizzeremo che cos’è la frode da SMS pumping, come funziona e, soprattutto, come proteggere la tua azienda da questa minaccia crescente.

Che cos'è la frode da SMS pumping?

Il SMS pumping è un tipo di frode in cui i truffatori generano messaggi di testo falsi verso numeri a pagamento premium che controllano per guadagnare denaro. Ingannano le persone inducendole a inviare questi messaggi o sfruttano servizi digitali come gli OTP (password monouso) per attivare il traffico automatico di SMS.

I truffatori spesso collaborano con operatori mobili non etici o trovano modi per dirottare i percorsi SMS per guidare questo traffico fasullo. Poiché le aziende pagano per ogni SMS che inviano e i clienti possono accumulare inconsapevolmente addebiti verso numeri premium, il danno finanziario può essere significativo.

Conosciuto anche come frodi con SMS Toll o Traffico Artificialmente Inflazionato (AIT), il SMS pumping è una forma di Frode Internazionale di Condivisione dei Ricavi (IRSF) che colpisce sia le aziende che gli individui, con le aziende che affrontano le maggiori perdite finanziarie.

Come funziona il SMS pumping?

Il SMS pumping è una frode sofisticata  che richiede competenze tecniche e spesso il coinvolgimento di un operatore di rete mobile, che sia consapevole o meno.

I truffatori iniziano collaborando con carrier non etici o ottenendo accesso a numeri a pagamento premium. Promettono a questi operatori volumi elevati di SMS e un aumento delle entrate, utilizzando numeri a pagamento internazionale (IPRN) per generare traffico. 

Una volta che il carrier acconsente, i truffatori inondano il sistema con il traffico SMS, di solito attraverso attivatori digitali come le richieste di OTP, le verifiche degli account o i codici di autenticazione a due fattori (2FA).

Questi messaggi SMS vengono instradati verso numeri premium controllati dai truffatori, di solito in paesi stranieri, gonfiando il costo per le aziende che pagano per ogni messaggio. Quando la vittima (un'azienda o un individuo) riceve la bolletta gonfiata, il carrier divide le entrate con i truffatori che hanno orchestrato l'attacco.

In breve, sia i truffatori che i loro partner disonesti traggono profitto dal traffico SMS falso, mentre la vittima si trova a dover coprire i costi.

Esempi di frode da SMS pumping

Targeting di un individuo

Lily riceve un SMS che dice: “Congratulazioni! Hai vinto una carta regalo da $100! Rispondi 'SÌ' per richiederla.”

Entusiasta dell'offerta, Lily risponde “SÌ.” Quello che non sa è che rispondendo, si è iscritta inconsapevolmente a un servizio SMS premium.

All'improvviso, Lily inizia a ricevere messaggi frequenti da un numero a pagamento premium, e viene addebitato per ogni SMS ricevuto. La sua bolletta telefonica lievita, ma si accorge che qualcosa non va solo quando vede gli addebiti inaspettati.

Cercare di annullare l'abbonamento è un incubo. È costretta a passare attraverso numerosi passaggi: inviare ulteriori messaggi (che costano anche soldi), navigare su siti web mal progettati o contattare numeri di assistenza clienti difficili da raggiungere.

Targeting di un'azienda

DopeSocks, un rivenditore di abbigliamento di lusso basato su abbonamento, offre ai clienti il 15% di sconto sul loro primo abbonamento in cambio dell'inserimento del numero di telefono sul sito.

Una volta che un cliente inserisce il proprio numero di telefono, l'azienda invia un SMS con un codice sconto. È una strategia semplice per aumentare gli iscritti da parte dei clienti interessati.

Ma i truffatori vedono un'opportunità. Usano bot per inondare il sito con migliaia di numeri di telefono falsi. Ogni numero attiva un SMS che viene instradato verso un numero a pagamento premium controllato dai truffatori.

DopeSocks si trova quindi a dover affrontare una bolletta enorme per tutti quegli SMS — ma senza clienti reali. Ogni messaggio che hanno inviato è andato a numeri fraudolenti, a vantaggio dei truffatori mentre l'azienda deve pagare la bolletta.

Quando questi messaggi vengono inviati, rimbalzano da rete a rete prima di raggiungere la loro destinazione. Questo significa che non c'è modo di rilevare quale rete sta colludendo con gli autori della frode SMS. Nella maggior parte dei casi, non si riesce mai a identificare il criminale che ha truffato il tuo sistema.

Come la frode da SMS pumping danneggia le aziende

Nel 2023, il 5% degli SMS da Applicazione a Persona (A2P) erano fraudolenti. Questo significa che più di 20 miliardi di messaggi sono stati inviati dai truffatori! Questi messaggi fraudolenti costano ai marchi una smisurata cifra di $6,7 miliardi a livello globale (fonte).

Anche i nomi più grandi  con enormi budget per l'ingegneria non sono immuni. Ad esempio, Elon Musk ha riferito che Twitter stava subendo truffe da parte delle aziende telefoniche per $60M/anno di SMS 2FA falsi.

La frode SMS è diffusa e può influenzare le aziende in molti modi:

1. Perdita finanziaria immediata

Questa è la più ovvia. Il traffico SMS fraudolento porta a massive perdite finanziarie. Poiché le aziende pagano per ogni SMS che inviano, i truffatori possono sfruttare questo per far lievitare i costi instradando i messaggi verso numeri premium che controllano.

Questi costi possono rapidamente salire a centinaia di migliaia, o addirittura milioni. Peggio ancora, se i dipendenti o i clienti cadono vittima di truffe SMS, le aziende potrebbero essere costrette a coprire gli addebiti fraudolenti, creando responsabilità finanziarie inaspettate e devastanti.

2. Sicurezza e privacy compromesse

Il SMS pumping non solo impatta il tuo budget, ma mette anche a rischio la sicurezza e la privacy. I truffatori usano spesso tattiche come lo scambio di SIM, phishing o smishing per ottenere accesso non autorizzato a dati sensibili dei clienti.

Quando un'azienda non riesce a proteggere queste informazioni, le conseguenze sono gravi:

• Furto di identità del cliente

• Accesso non autorizzato ai conti aziendali

• Violazioni delle normative sulla privacy (come il GDPR)

• Perdita di proprietà intellettuale

Affrontiamolo: nessun marchio può sopravvivere a una reputazione di scarsa sicurezza, specialmente in un'era in cui le preoccupazioni sulla privacy digitale sono ai massimi storici.

3. Tassi di conversione più bassi

All'inizio, potrebbe sembrare che tu stia guadagnando un flusso di nuovi utenti, ma non farti ingannare. Se la tua azienda è presa di mira da un attacco SMS pumping, quegli iscritti sono account falsi creati da bot — utenti che non si convertiranno mai in clienti paganti.

La tua base utenti si gonfia con profili falsi. Il tuo tasso di conversione crolla mentre il tuo costo per conversione lievita, rendendo più difficile giustificare la spesa per il marketing. I tuoi report e le tue analisi diventano inaffidabili, e i dati errati portano a decisioni sbagliate. 

In breve, il traffico falso avvelena le tue metriche di performance e rende impossibile capire il vero comportamento dei clienti. Senza dati accurati, le tue strategie di marketing e vendita ne risentono, e finisci per sprecare tempo, denaro e risorse a inseguire fantasmi.

4. Saturazione dei canali di comunicazione

Quando i truffatori inondano il tuo traffico SMS, è come un buffet all-you-can-eat per i bot. E i tuoi utenti reali rimangono affamati.

Un attacco SMS pumping su larga scala sopraffà il tuo sistema di messaggistica, intasandolo con traffico falso. Il tuo fornitore di SMS viene sovraccaricato, causando ritardi o anche interruzioni totali del servizio.

Gli utenti reali non possono ricevere messaggi critici, che si tratti di un codice di accesso, di una conferma di pagamento o di un reset della password. I clienti che cercano di convalidare i loro acquisti online o le transazioni finanziarie rimangono al buio.

Il risultato? Utenti frustrati, carrelli abbandonati e fiducia in calo nel tuo marchio. Peggio, questi ritardi colpiscono spesso nei momenti peggiori, come durante le stagioni di acquisto di punta o durante aggiornamenti cruciali delle app.

5. Erosione della reputazione del marchio

La frode non danneggia solo il tuo bilancio, ma distrugge anche la fiducia. Che si tratti di clienti o dipendenti, una volta che la fiducia è rotta, è incredibilmente difficile ricostruirla.

I clienti smetteranno di acquistare da aziende che non possono mantenere i loro dati al sicuro, e i dipendenti si sentiranno vulnerabili se i loro dati di contatto personali sono esposti ai truffatori. Questo porta a una perdita di entrate, alla credibilità danneggiata del marchio e a un calo della fidelizzazione e del mantenimento dei clienti.

In parole povere: la fiducia ci vuole anni per costruirla e secondi per perderla. La frode da SMS pumping è uno dei modi più rapidi per sgretolare la tua reputazione.

6. Costi operativi aggiuntivi

Affrontare le conseguenze della frode da SMS pumping non solo erode le tue risorse finanziarie. Richiederà anche enormi sforzi sulla produttività dei tuoi dipendenti poiché il personale per la cybersecurity avrà le mani piene a risolvere i problemi per ogni vittima di frode. 

Devono anche indagare su ogni addebito fraudolento, gestire clienti comprensibilmente irritati, implementare meccanismi di sicurezza più robusti per il futuro e, se possibile, attivare cause legali contro i truffatori (se possono essere identificati).

Come rilevare la frode da SMS pumping?

La prevenzione delle frodi è un gioco interminabile di gatto e topo, e la frode da SMS pumping non fa eccezione. Tuttavia, ci sono chiari segnali di avvertimento che la tua azienda potrebbe essere sotto attacco. Ecco cosa tenere d'occhio:

1. Picchi inspiegabili nel traffico SMS

Noti un'improvvisa ondata di traffico SMS, specialmente al di fuori degli orari di punta? Questo è un campanello d'allarme.

Se le tue richieste di OTP o i tuoi messaggi SMS aumentano senza un corrispondente aumento dell'attività degli utenti legittimi o di una campagna di marketing, è probabile che ci siano dei truffatori dietro.

2. Messaggi SMS inviati a paesi insoliti

Se noti un alto volume di messaggi SMS inviati a paesi in cui la tua azienda non opera o non ha una base clienti significativa, potrebbe essere un segno che i truffatori stanno sfruttando i tuoi servizi SMS.

3. Numeri di telefono sequenziali o in pattern

Se i numeri di telefono che richiedono gli OTP sembrano sospettosamente simili o seguono schemi sequenziali (es. +1234567801, +1234567802, +1234567803), non è solo una coincidenza.

I bot spesso utilizzano elenchi di numeri automatizzati per richiedere OTP, quindi individuare questi schemi è un chiaro segno di frode da SMS pumping.

4. Tassi di conversione più bassi

La frode da SMS pumping può riflettersi nei tuoi tassi di conversione. Una volta che i truffatori ricevono l'SMS OTP, non si preoccuperanno di seguirne l’utilizzo poiché hanno già ottenuto ciò di cui avevano bisogno.

Se noti un calo nel tasso di conversione (complessivo o in un paese specifico), è un forte indicatore che il traffico fraudolento sta gonfiando la tua base utenti senza fornire un valore reale.

5. Reclami dei clienti sui ritardi

I truffatori che intasano il tuo sistema SMS possono causare ritardi agli utenti reali che cercano di ricevere i loro codici di verifica.

Se il tuo team di supporto clienti inizia a ricevere reclami su consegne lente di OTP, il tuo sistema potrebbe essere sovraccarico di richieste false.

6. Il tuo budget SMS perde colpi

Infine, se il tuo budget SMS si esaurisce più velocemente del solito o la tua bolletta mensile lievita senza un corrispondente aumento dell'attività degli utenti, la tua azienda ha certamente pagato ai truffatori per una bella vacanza.

Come prevenire la frode da SMS pumping?

Rilevare la frode SMS è un primo passo nella giusta direzione. Ma ora probabilmente ti starai chiedendo: "Come posso prevenire la frode prima che influisca sulla mia bolletta?"

Ecco alcuni modi in cui puoi prevenire la frode per proteggere la tua azienda e i tuoi utenti.

1. Imposta un limite di bilancio giornaliero con il tuo fornitore

Uno dei modi più comuni per prevenire la frode da SMS pumping è implementare un limite di velocità. Questo implica fissare un tetto sul volume giornaliero dei messaggi o sui limiti di spesa.

Ad esempio, potresti stabilire una policy che la tua spesa SMS non dovrebbe mai superare i $300 al giorno per le verifiche OTP e le autenticazioni basate su SMS. Questa salvaguardia ti protegge dall'essere colpito da una bolletta scioccante alla fine del mese o dell'anno.

Tuttavia, gestisci questa cosa con attenzione. Sebbene il rate limiting possa bloccare le attività fraudolente, può anche attivare falsi positivi, impedendo agli utenti genuini di completare le proprie transazioni, specialmente se la tua app subisce un'improvvisa ondata di traffico reale. Il monitoraggio regolare e la regolazione dei limiti in base alla crescita è la chiave per trovare il giusto equilibrio tra sicurezza ed esperienza dell'utente.

2. Crea un elenco di blocco

Creare un elenco di blocco manuale ti consente di segnalare e bloccare utenti che hai identificato come fraudolenti. Tuttavia, questo approccio ha un grosso svantaggio: è reattivo, non proattivo. Stai essenzialmente chiudendo la porta dopo che il truffatore è già entrato, e mantenere l'elenco può richiedere tempo.

3. Blocca paesi specifici

Un'altra opzione è bloccare il traffico SMS verso paesi specifici, soprattutto se la tua azienda non opera lì. 

Ma procedi con cautela. Questo metodo può frustrarti utenti legittimi in quelle regioni e potrebbe comportare la perdita di opportunità commerciali. A meno che tu non abbia dati solidi che indicano frodi da un paese specifico, non raccomandiamo di vietare paesi. La precisione è fondamentale.

4. Usa il Prelude Verify API

Integrato direttamente nel nostro API OTP, il nostro sistema di prevenzione frodi utilizza un algoritmo di apprendimento automatico adattivo per valutare il rischio in tempo reale per ogni tentativo di accesso.

Prelude valuta i segnali di rischio per ogni richiesta OTP — attingendo a un vasto database di numeri di telefono e schemi di attività fraudolenta.

Per ogni tentativo di accesso o autenticazione, il sistema combina i dati del tuo utente con le nostre intuizioni sui rischi per segnalare comportamenti sospetti. Questo significa rilevare bot, spam e tentativi di frode prima che causino danni, senza interrompere i tuoi utenti genuini.

Se identifichiamo utenti sospetti, prendiamo immediatamente provvedimenti bloccando quei numeri, impedendo alla tua azienda di inviare ulteriori messaggi a loro. Questo significa niente più interazioni con utenti falsi e niente più denaro sprecato su traffico SMS fraudolento.

Ad esempio, abbiamo aiutato il nostro cliente BeReal a ridurre il suo traffico fraudolento del 95%, portando a una riduzione del 75% dei suoi costi di verifica SMS.

Esempio di un attacco SMS pumping bloccato

Ecco un esempio di un attacco che abbiamo recentemente bloccato per uno dei nostri clienti, un'azienda europea nel settore foodtech. 

L'attacco è originato da numeri di telefono registrati nel Regno Unito, uno dei mercati in cui opera il nostro cliente. Anche se la posizione non era un campanello d'allarme immediato, il nostro algoritmo avanzato ha segnalato un'anomalia: dozzine di numeri all'interno dello stesso range mostravano tassi di conversione sospettosamente bassi.

Grazie a questa rilevazione precoce, siamo stati in grado di bloccare proattivamente questi numeri prima che l'attacco guadagnasse slancio. L'attività fraudolenta è continuata per diversi giorni, ma non appena i truffatori si sono resi conto che non stava funzionando, hanno abbandonato l'attacco.

Alla fine, abbiamo prevenuto un volume di messaggi fraudolenti quasi equivalente al normale traffico mensile totale del nostro cliente, risparmiando loro diverse migliaia di dollari che sarebbero stati persi a causa dell'attacco.

Come Prelude aiuta contro il SMS pumping?

Prelude protegge la tua azienda dal SMS pumping rilevando e bloccando le richieste OTP fraudolente in tempo reale. Il nostro Verify API utilizza il machine learning per analizzare i numeri di telefono, segnalare schemi sospetti e fermare il traffico falso prima che raggiunga il tuo fornitore SMS.

Attraverso l'intelligence open-source, partnership strategiche e R&D, aggiorniamo continuamente il nostro elenco di blocco di numeri fraudolenti noti, impedendoti di inviare SMS ai truffatori e garantendo che paghi solo per utenti legittimi. 

Se viene rilevata qualsiasi attività sospetta, blocchiamo immediatamente l'interazione, aiutandoti a evitare bollette SMS inaspettate e mantenere alti i tuoi tassi di conversione.

Con Prelude, ottieni una prevenzione proattiva delle frodi senza interrompere l'esperienza degli utenti reali.

Se sei pronto a proteggere la tua azienda dalla frode SMS, registrati gratuitamente e inizia a testare l'API di Prelude oggi stesso — senza carta di credito richiesta!

Hai domande? Il nostro team di vendita è qui per aiutarti. Che tu abbia bisogno di ulteriori dettagli sulla prevenzione della frode SMS o voglia esplorare come Prelude possa soddisfare le esigenze della tua azienda, abbiamo ciò di cui hai bisogno.