Fergal Parkinson
Published on: August 1, 2023
Jusqu’à cette année, peu de personnes en dehors des cercles techniques de niche avaient entendu parler de l’ACI, qui est aujourd’hui devenu une expression à la mode.
La raison la plus importante est Elon Musk.
Le personnage le plus en vue du secteur technologique – l’homme au franc-parler et aux performances exceptionnelles qui est à l’origine de PayPal, Tesla, SpaceX et des fusées spatiales – l’a propulsé sous les feux de la rampe dès les premiers jours de son nouveau rôle de propriétaire de Twitter.
“J’ai découvert que Twitter se faisait arnaquer à hauteur de 60 millions de dollars par an pour des SMS”, s’est-il emporté. “En gros, il y a des opérateurs téléphoniques qui ne sont pas très honnêtes, dans d’autres parties du monde, et qui jouent avec le système en envoyant des SMS d’authentification à deux facteurs encore et encore, et en créant un million de comptes robots pour payer la note afin que Twitter leur envoie des SMS, et que Twitter leur verse des millions de dollars, sans même leur demander.
Elon – bienvenue sur le site Artificially Inflated Traffic.
Comme beaucoup de choses dans le monde numérique, cette expression à rallonge est généralement réduite à son acronyme, AIT. Elle est aussi parfois décrite comme AGT – Artificially Generated Traffic (trafic généré artificiellement) – mais cela revient au même.
Et la description de Musk était assez exacte, même si elle est généralement décrite de manière un peu moins franche.
Il s’agit essentiellement d’un scénario dans lequel des acteurs malveillants utilisent des bots pour enregistrer de nouveaux comptes sur des sites web, chaque nouvelle application générant automatiquement l’envoi d’un code de passe à usage unique (OTP) par SMS.
La raison pour laquelle ils font cela est que le client final – dans le cas de Musk, Twitter – paiera la facture pour les messages OTP envoyés à tous ces comptes robots. Et bien que le montant facturé pour chaque message envoyé soit relativement faible, si ces robots peuvent créer des centaines de milliers, voire des millions de nouvelles demandes, la somme cumulée pour l’escroc peut s’avérer très lucrative.
En gonflant artificiellement le trafic, ils génèrent des revenus en l’absence d’un seul nouveau client.
Et, comme le dit Musk, étant donné que le paiement se fait presque automatiquement, l’argent peut disparaître sans que personne ne s’en aperçoive. Les escrocs travaillent en outre délibérément sur cet aspect discret. Par exemple, ils aiment lancer une vague de demandes le vendredi soir, lorsqu’elles ont moins de chances d’être détectées – et traitées – pendant plusieurs heures que dans un autre créneau.
Mais là où Musk simplifie à l’extrême, c’est dans l’attribution des responsabilités : “il y a des opérateurs téléphoniques qui ne sont pas très honnêtes”.
Cette affirmation réductrice suggère qu’il existe un coupable unique et visible pour chaque escroquerie à l’ACI – en fait, et c’est exaspérant, il n’y en a presque jamais, et c’est ce qui fait qu’il est si difficile de dénoncer l’auteur de l’escroquerie et de mettre fin à ses relations commerciales avec lui.
Cela s’explique par la complexité des chaînes numériques impliquées dans ces processus, avec de multiples agences interagissant les unes avec les autres et payant et recevant chacune des frais pour de petites sommes.
Par conséquent, essayer d’identifier le “coupable” et de prendre des sanctions à son encontre après qu’il a “fait le coup” est généralement une entreprise vouée à l’échec : il est très difficile de déterminer qui est le coupable et si vous perturbez les connexions existantes de manière spéculative, vous risquez de couper l’herbe sous le pied de véritables nouveaux clients que, bien entendu, vous cherchez désespérément à attirer.
Il est beaucoup plus judicieux d’adopter les procédures les plus récentes au moment de l’inscription. En utilisant des processus de filtrage basés sur les données des télécommunications, les entreprises hôtes peuvent détecter en quelques secondes si le numéro utilisé au moment de l’inscription est authentique et connecté à une personne réelle. Notre version de cette procédure s’appelle TMT Authenticate , mais d’autres produits sont disponibles, comme on le dit à la BBC. L’intérêt de ces procédures est que vous ne laissez pas votre plateforme être inondée de faux clients, de sorte que vous ne savez plus qui est réel et qui ne l’est pas – et vous n’avez pas besoin d’envoyer d’OTP parce que la sécurité de la vérification est d’une telle intégrité qu’elle n’est tout simplement pas nécessaire. Il n’y a donc aucun risque d’attaque par AIT.
Mais, bien sûr, il arrive parfois que vous ne soyez pas en mesure de démanteler vos procédures d’onboarding et de recommencer à zéro. Si vous avez encore besoin d’utiliser des OTP délivrés par SMS comme outil de communication avec vos clients, nous avons un produit alternatif, TMT TeleShieldqui peut fonctionner avec ce que vous avez et le rendre beaucoup plus sûr. Ce produit élimine les numéros robots et garantit que seuls les numéros authentiques et actifs associés à une personne réelle à l’endroit où elle prétend être peuvent les recevoir – et bloque, par exemple, les numéros surtaxés ou les numéros non valides liés à des tentatives d’accord préalable en connaissance de cause.
Musk, comme à son habitude, a tenté de trouver sa propre solution : “J’ai dit qu’il fallait couper toute entreprise de télécommunications dont la fraude dépassait 10 %. Cela a causé des dégâts dans de nombreuses régions du monde. Aujourd’hui, nous revenons vers les opérateurs et leur disons : “Écoutez, si vous arrêtez de nous escroquer, nous vous paierons volontiers une certaine somme d’argent pour les SMS, mais vous ne pouvez pas fermer les yeux”. Nous acceptons 10 % de fraude, mais pas 90 %”.
Je ne suis pas sûr que cette approche puisse jamais être fonctionnelle ou même rentable. Il est beaucoup moins coûteux d’investir dans des protocoles permettant d’éviter le problème. Mais Musk sera Musk.
Pour le reste d’entre nous, il s’agit plutôt de trouver des moyens pratiques d’avancer. Car, bien sûr, ce problème est mondial. Twitter n’est que la partie émergée d’un iceberg AIT très lucratif et glissant.
Last updated on août 1, 2023
"Phone number verification plays a critical role in helping to detect and prevent online fraud. TMT ID’s TeleShield product provides easy access to global mobile data, enabling us to enhance the actionable results of our MaxMind minFraud® services."
"BTS (Business Telecommunications Services) is successfully using TMT’s Velocity and Live services to check the status of mobile numbers. This way we make sure we optimize the performance of the service offered to our customers and ensure the quality of terminating traffic to all countries.”
"Working with TMT’s TeleShield service has expanded our ability to detect fraud and minimise the risk to our business. TeleShield brings peace of mind and the opportunity to stop fraud before it affects our customers’ bottom line or the service."
"LATRO relies on TMT’s TeleShield to provide the most up to date and reliable numbering qualification information within our fraud reporting tools, enabling us to protect our customer’s revenues and empowering them to defend themselves against fraudulent numbers."
"TMT is a valued partner that enables us to manage our routing costs effectively. They proactively and continuously expand their operator and country coverage while delivering exceptional customer service. We can always count on them to achieve high-quality results and look forward to our continued collaboration."
"TMT provides us with the most comprehensive numbering intelligence data through their fast and reliable Velocity and Live services. TMT is a trusted partner for us, their products ensure that we continue to optimise the best performance and service to our customers."
"TeleShield from TMT gives 42com the power to detect and target telephony fraud scams internationally, thereby protecting our company from the financial and customer experience impacts of telecommunications fraud."
"It has been a pleasure to work with the team at TMT. They have become an essential provider of accurate numbering data information and Number Portability services globally."
"Deutsche Telekom Global Carrier uses TMT ID as one of their key suppliers for Mobile Number Portability Data services. Deutsche Telekom Global Carrier uses TMT ID’s Velocity MNP solution. This is an ultra-fast query service that optimises the routing of international voice calls and A2P messaging."
Nous fournissons les données les plus complètes sur les appareils, les réseaux et la numérotation mobile.
Contactez nous > Discutez avec un expert >
