O mercado mundial de mensagens de texto (SMS) enviadas por empresas para consumidores (A2P, na sigla em inglês) registra em média US$ 2 bilhões em perdas por ano decorrentes de 11 diferentes tipos de fraude. Essa é uma das conclusões de um estudo global realizado pelo Mobile Ecosystem Forum (MEF), com o apoio de 25 empresas desse mercado, incluindo operadoras, integradores, agregadores e provedores de soluções, dentre as quais há três brasileiras: Movile, TWW e Zenvia.
A entidade disponibilizou o estudo na Internet. Nele, há uma descrição de cada um dos 11 tipos de fraude, junto com uma avaliação de seus impactos e suas causas, além de proposições para a sua detecção e combate.
"Esse é um passo inicial para entender a situação. Depois vamos trabalhar para educar os players da indústria, especialmente quem consome SMS corporativo, ou seja, os compradores. Precisamos também do envolvimento das operadoras. E no fim haverá um processo de certificação com as melhores práticas do mercado", explica Gabriela Fernandes, gerente geral do MEF na América Latina.
Será constituído um subgrupo no Brasil para analisar o problema sob uma perspectiva local. Fernandes lembra que as diferentes leis e regulamentações ao redor do mundo precisam ser levadas em conta: o que é crime num país pode não ser em outro, por isso é necessário haver análises regionalizadas.
Veja abaixo um resumo sobre cada uma das 11 fraudes por SMS identificadas pelo MEF:
1) Spam – É o envio de mensagens de texto A2P sem o prévio consentimento (opt-in) do destinatário. É realizado principalmente em campanhas de marketing de produtos, mas também durante eleições, como marketing eleitoral. É particularmente danoso em mercados onde quem paga pela mensagem é o destinatário, como acontece nos EUA e no Canadá. Uma das formas de prevenção é a adoção de mecanismos padronizados de denúncia, para que números que enviam spams sejam bloqueados por todas as teles conjuntamente. É preciso também estimular a investigação e a punição dos spammers, de acordo com a legislação de cada país. Algumas teles adotam firewalls e bloqueiam mensagens que contenham certas palavras, mas isso às vezes atinge mensagens que não são spams.
2) Spoofing do remetente do SMS – É a alteração do remetente da mensagem, usando um nome que poderia enganar o receptor por ser alguém que ele conhece ou confia. É comumente usado para geração de leads, coleta de informações sensíveis do usuário ou envio de mensagens ofensivas.
3) SMS Phishing (SMiShing) – É a prática do phishing via SMS, combinando spam e spoofing. Trata-se do envio de uma mensagem falsa, pretendendo ser de alguma empresa ou órgão de governo conhecidos, na qual se solicita alguma ação por parte do usuário. Geralmente é acompanhada de um link para uma página falsa onde são solicitadas informações pessoais do consumidor. O objetivo é roubar senhas de banco, números de cartões de crédito ou quaisquer outros dados que possam gerar benefícios financeiros para os criminosos. Uma das formas de combater é monitorar o tráfego de SMS e bloquear remetentes suspeitos que usem marcas sem autorização. A identificação dos links maliciosos contidos nas mensagens também pode servir para o bloqueio.
4) SMS Malware – É o envio de um link por SMS para baixar algum código malicioso com o intuito de infectar o celular da vítima. O vírus pode ter diversas finalidades, como roubo de informações, assinatura de serviços premium, reconfiguração do telefone e/ou envio de spam para a agenda de contatos. Para combatê-lo é preciso implementar mecanismos de controle de identidade de remetentes e monitorar o tráfego pare reconhecer padrões de ataques, como a presença do link malicioso.
5) Acesso hackeado – É quando as credenciais de envio de SMS de uma companhia são roubadas e usadas indevidamente por terceiros. Isso acontece para o envio de spam ou de SMS phishing mantendo o anonimato do fraudador.
6) Rotas cinzentas – Consiste no envio de mensagens sem pagamento pela terminação, aproveitando brechas nas conexões internacionais das teles. É um tipo de fraude utilizado por integradores que não possuem conexão direta às teles de um determinado país para oferecerem preços mais baixos.
7) Falsificação do título global no MAP – Trata-se de alterações em parâmetros do MAP (Mobile Application Part) para enganar o firewall de operadoras e acessar seu SMSC (Short Message Service Center), deixando passar mensagens sem cobrar. Geralmente é adotado por agregadores que têm conexão com a rede internacional de sinalização para obter uma vantagem competitiva indevida.
8) Falsificação do título global de SCCP – Trata-se de falsificar determinados parâmetros no processo de envio de uma mensagem de forma a pagar apenas pelo custo de sinalização, não pela terminação da mensagem. Essa fraude só pode ser feita por uma empresa que tenha acesso à rede internacional de sinalização e um SMSC, ainda que ilegalmente, por meio das credenciais de terceiros.
9) SMSC Comprometido – É a utilização indevida do SMSC de terceiros para o envio de mensagens, sem pagar por isso. A conta fica depois com o dono do SMSC.
10) Chipeiras (SIM farms) – Trata-se do uso indevido de chipeiras com SIMcards de pessoas físicas para o envio de mensagens de texto com finalidade comercial, aproveitando-se de promoções e planos das operadoras para o consumidor final com preços mais em conta que aqueles praticados para envio de SMS A2P. Foi muito comum no Brasil durante a onda de promoções para envio de mensagens on-net, ou seja, entre usuários da mesma operadora.
11) Inflação artificial de tráfego – Consiste em enviar mensagens para si mesmo, geralmente a partir de chipeiras, para aumentar artificialmente o volume de SMS recebido e se aproveitar de acordos de revenue share por tráfego recebido.
O estudo completo pode ser baixado de graça aqui.
Vale ler também a mais recente edição da Pesquisa Panorama Mobile Time/Opinion Box – Mensageria no Brasil, que revela um pouco mais sobre o comportamento do brasileiro no uso de comunicadores instantâneos em seus smartphones e SMS.