警惕！防止短信和语音诈骗小贴士

技术的每一次进步，犯罪份子也会找到新的“商机”。CM.com作为国际云通信领域拥有多年经验的资深“玩家”自然也是遇到过这方面的问题，在帮助客户提升客户体验和转化的同时，不免也要与骗子们斗智斗勇。虽然我们已经采取了一切的措施来确保企业的安全，但也无法阻止骗子们的不断尝试。在这里，我们将分享一些小贴士帮助企业防止欺诈。多管齐下，让骗子们无处下手。

首先，如果企业在服务商帐户上遇到任何不寻常或可疑的活动，请立即与服务商联系，督促服务商采取一切必要措施来保护企业的数据，确保帐户安全。同时，企业也可以采取一些其他可行的预防措施。在本文中，我们列出了一些企业可能会遇到的最常见的欺诈类型，以及可以采取哪些措施来将风险降至最低。

骗子们需要与潜在受害者进行大量的沟通，他们更倾向于通过企业的服务商平台账户免费做到这一点。因此，防止账户泄露很重要，企业可以和服务商合作，通过不同的方式来降低帐户泄露的风险。下面我们来逐一了解。

为什么骗子们想要利用企业在服务商账户行骗？

我们都熟悉网络钓鱼：通过欺诈性的电子邮件和网站，诱骗收件人透露敏感信息，特别是银行信息，最终达成诈骗的目的。同样，短信和语音通话也被用来“钓”数据，这些技术被称为“短信钓鱼”和“语音钓鱼”。

通过企业的服务商账户进行钓鱼对骗子们来说很有吸引力：他们不仅可以免费发送消息还可以隐藏自己的身份。如果企业的账户被骗子们利用进行不法操作被发现，那么欺诈性信息就是来自企业，即便最终通过调查重获清白但企业名誉也遭受了损失。除此之外，骗子们还可能试图利用企业的服务商账户发起语音呼叫，拨打溢价号码，仍然是企业将承担费用。

所以，企业务必要做一些事情来防止犯罪分子破解您的帐户或窃取API令牌（Token）。

如何防止账户信息泄露？

• 确保企业的服务商帐户启用了双重身份验证(2FA)。与仅使用用户名和密码保护的帐户相比，此功能大大降低了未经授权访问的可能性。

• 使用单词、数字、符号和大小写字母的组合创建复杂的密码，甚至是短语型密码。避免使用个人信息或字典中可以找到的单词。

• 永远不要在网上或与不需要它的人分享企业的Token。企业的Token必须在自己的服务器上保持安全;在任何情况下，都不应该显示给网站的最终用户，即使是加密形式。企业的Token不应该包含在网站或移动应用程序的源代码中。

• 设定每月信用额度的上限，在活动需要时通过联对应的服务商客户经理提高额度。当企业的信用额度使用达到一定额度时，会自动收到电子邮件通知。当达到100%时，帐户将被暂时暂停。

短信批量诈骗和通话资费诈骗

在对话式商务领域，账户信息泄露并不是唯一的诈骗方式，企业还需要与短信批量诈骗和通话资费诈骗作斗争，骗子们可能会通过网站和认证步骤来进行诈骗。

什么是短信批量诈骗？

骗子们利用自动登录系统触发短信流量高峰，流向他们拥有的号码或与他们合谋的特定移动网络运营商(MNO)控制的一系列号码。骗子们通过这种方式获得收入，但企业却要为此买单。

注意那些发送到连号(即+1234567890、+1234567891、+1234567892、+1234567893等)的信息峰值，这些连续的号码很可能是由一个MNO控制的。另外，一般情况下骗子们不会完成双重验证（获取验证码后不会登录），但不幸的是，有些高级的骗子会使用工具来完成登录步骤。

什么是通话资费诈骗？

在通话资费诈骗的场景中，骗子们以语音验证为目标，生成大量的语音呼叫到付费电话号码，这些电话号码向呼叫者收取每次呼叫或每分钟的费用。如果这样的电话是从企业的网站产生的则企业要承担这种诈骗性的费用。

企业如何预防和甄别短信批量诈骗和通话资费诈骗？

• 通过在网站上实现BOTD或captcha等来检测和阻止机器人攻击。

• 监控一次性密码(OTP)转化率，并在转化率下降时发出警报。

• 在相同电话号码的验证重试请求之间实现(指数级)延迟。

• 提供替代渠道，如语音验证，不是在第一次，而是比如说在第三次验证尝试时。

• 在企业的网站上建立一个目的地“允许”或“阻止”列表。

• 分析IP并检测企业网站上的vpn。

• 对请求数量进行速率限制。例如，在企业的网站上限制每个电话号码/IP地址在一段时间内的请求数量。

• 如上所述，设定每月信用额度的上限。

在我们的生活中骗子们无处不在，这是一个可悲的事实。犯罪分子们总是会千方百计地寻找下手的机会。所以，在与靠谱的服务商合作的同时，企业也不要忘记加强自身对短信和语音诈骗的防范意识，不断更新诈骗防范的相关知识。CM.com作为欧洲老牌的上市云通讯服务商，严格遵循GDPR标准《一般数据保护条例》。平台更是通过了ISO 9001、14001、 20000-1,、27001认证、PCI-DSS 认证、GSMA 认证，以最严苛的方式保证数据的隐私和安全性。