Semana passada, postamos um artigo sobre nossa pesquisa de empresas com processos de autenticação de dois-fatores (2FA) que são frequentemente contornados usando sites abertos de SMS.
Primeiramente, é importante saber se as pessoas são capazes de contornar o seu processo de segurança e até mesmo, mais importante, entender como estão fazendo isso. Assim que souber como seu sistema de segurança está sendo violado, você precisa encontrar e implementar soluções efetivas para eliminar essas violações.
Uma solução bastante efetiva, que usamos aqui na RingCaptcha, é a blacklist. Uma blacklist é, essencialmente, uma lista de números que não estão estão permitidos receber senhas únicas (OTP) ou códigos de verificação de telefone através da RingCaptcha. Todo cliente da RingCaptcha tem sua própria blacklist que é gerada assim:
- Cliente adiciona o número à blacklist: Os clientes da RingCaptcha podem logar em seu painel de controle e adicionar os números de telefones em suas blacklists.
- RingCaptcha adiciona os números de telefones às blacklists de seus clientes: RingCaptcha adiciona números de telefones de duas fontes diferentes para a blacklist de cada um de seus clientes
(i) Sites abertos de SMS
Estamos constantemente buscando por sites que oferecem números de telefone abertos para envio de SMS que qualquer usuário pode utilizar para contornar verificação de telefone, e assim populamos nossa blacklist e mantemos atualizada. Números de telefones desses sites abertos são adicionados em todas as blacklists de clientes.
(ii) Análise de Fraude e Heurística
Também temos algoritmos que checam abuso de número de telefone. Eles procuram por comportamentos suspeitos de números de telefone. Números de telefones a partir desses algoritmos só são aplicados à blacklist do cliente que tem o site ou aplicativo solicitou a senha única (OTP) ligada. Alguns exemplos de comportamentos suspeitos de telefone que ativam nosso algoritmo a adicionar um número à blacklist são:
- Fazendo muitas solicitações OTP, mas nunca verificando com sucesso com uma OTP enviada
- Solicitar uma OTP apenas uma vez, mas sempre com um conjunto de números de telefone parecidos
Note que a blacklist passa por mudanças para produzir nossa Blacklist Efetiva (detalhada na sequência). Isso é onde as nuances de blacklist acontecem, como um telefone da blacklist ser reciclado para as mãos de um cliente novo e genuíno, um número de telefone entrando pra blacklist por causa uso indevido por invasores que não são donos.
Blacklist Efetiva
Colocar um telefone de maneira incorreta em uma blacklist pode resultar em um usuário genuíno não podendo verificar seu telefone seja durante o login ou registro, etc. Essa é uma situação que queremos evitar. Para garantir a assegurar que não bloqueamos números de telefone genuínos, nós guardamos informações adicionais sobre cada número de telefone quando possível e com o consentimento de nossos clientes. Por exemplo:
- A localização do usuário (IP) durante a solicitação
- Hora e data da solicitação OTP
- Tipo de aparelho no qual a solicitação foi feita
- O número de telefone teve serviço negado no momento?
Essa informação adicional nos ajuda a tomar decisões mais corretas e a lidar com as nuances de se o telefone deveria estar em nossa Blacklist Efetiva em algum momento. A Blacklist Efetiva é dinâmica e é gerada periodicamente para permitir que nosso sistema determine rapidamente se um número de telefone deveria ser bloqueado de receber uma OTP.
Performance da blacklist
Nossa blacklist tem se provado bastante valiosa para nossos clientes ao ajudá-los no combate à fraude em seus sites e aplicativos. Abaixo segue alguns dados sobre nossa blacklist e o valor que provê.
Blacklist Efetiva da RingCaptcha Dividida por Fonte:
- 79% de número são de comportamento ou atividade suspeita.
- 19% de números são de sites abertos de SMS
- 2% de números são de clientes adicionando os números em suas próprias blacklists
A Performance da Blacklist Efetiva da RingCaptcha:
Média mensal de solicitações OTP bloqueadas: 1.7%
Ao levar em consideração um cliente da RingCaptcha na indústria de ecommerce como exemplo, A RingCaptcha rebate todas as taxas de cartão de crédito que o cliente tem que pagar por causa de usuários fraudulentos (ao evitá-los e também seu impacto negativo).
Blacklist é uma das muitas ferramentas que constroem nosso sistema de analytics e monitoramento de fraude. Tem mais perguntas sobre nossa blacklist? Ou gostaria de saber mais sobre como podemos ajudar a prevenir usuários fraudulentos em seu site? É só enviar uma mensagem – hello@ringcaptcha.com ????