16. august, 2022  |  AIT, Phishing, Security, Spam, Tech

Beskyt din GatewayAPI konto mod svindlere

Tilbage til oversigten
Beskyt din GatewayAPI konto mod svindlere

SMS svindel er et stort problem på verdensplan, hvor mange oplever, at de bliver chikaneret eller franarret værdier og oplysninger via SMS. 

Svindlen er i stigende grad også begyndt at gå ud over virksomheder, der sender A2P SMS trafik, hvor de oplever, at deres konti bliver hacket som led af forskellige svindelnumre. 

I GatewayAPI tager vi sikkerhed meget seriøst, og har indført en række sikkerhedsforanstaltninger, herunder krav om URL whitelisting og 2FA ved login samt stillet en række værktøjer til rådighed, som kan være med til at beskytte din konto mod misbrug. Derudover monitorerer vi trafik løbende, og griber ind, hvis vi kan se, at der er noget, som skiller sig ud fra normalen. 

Med det sagt, så kan vi ikke fange alt, og vi opfordrer derfor også vores kunder til at gennemgå sikkerheden på deres GatewayAPI konto samt gennemgå sikkerheden på de systemer, som er koblet op på vores API’er for at sikre, at der ikke er nogen sårbarheder. 

Vi vil nedenfor gennemgå de forskellige typer angreb, som finder sted i dag, og bagefter hvad du kan gøre for at beskytte dig imod dem.

GatewayAPI er opmærksomme på SMS svindelnumre

Eksempler på SMS svindelnumre

Der findes mange forskellige SMS svindelnumre, hvor målet for svindlerne oftest er at berige dem selv via forskellige sindrige metoder.

For at give dig en forståelse for, hvad svindlere kan få ud af at tiltvinge sig adgang til din konto eller udnytte dit signup flow, så har vi inkluderet nogle af de mest udbredte SMS svindelnumre her: 

  • SMS phishing beskeder (også kaldt Smishing) med et link, hvor målet er at udfritte information fra brugeren eller få brugeren til at downloade malware. 
  • SMS spam der promoverer fx kviklånstjenester og sider med voksenindhold eller indeholder politiske budskaber.
  • SMS traffic pumping, også kendt som SMS toll fraud, SMS 2FA Premium Rate Fraud eller Artificially Inflated Traffic (AIT), hvor one-time passwords (OTPs) udnyttes ved signup flows. Her går en bot ind og anmoder om tusindvis af bekræftelseskoder, som sendes til numre, hvor svindlerne modtager en andel af den omsætning, der genereres.

Nedenfor kan du læse mere om, hvad du kan gøre for så vidt som muligt at sikre, at din konto ikke bliver inddraget i en af de ovenstående svindelnumre.

Sikre din konto mod SMS svindel via IP whitelisting

IP whitelisting

I dit GatewayAPI dashboard har du mulighed for at opsætte IP whitelisting, som sikrer, at det kun er via godkendte IP adresser, der kan sendes SMS-beskeder fra din GatewayAPI-konto.

Denne sikkerhedsforanstaltning sikrer, at selvom dine API-nøgler eller dit system er blevet kompromitteret, vil andre parter ikke være i stand til at anvende din konto til at sende SMS-beskeder fra. Det er dermed en hurtig og effektiv metode til at forbedre SMS sikkerheden på din GatewayAPI konto gevaldigt. 

Læs mere om, hvordan du opsætter IP whitelisting på GatewayAPI platformen i vores FAQ sektion.

Geo permissions

Via dit GatewayAPI-dashboard kan du konfigurere geo permissions, som kan beskytte din konto mod misbrug ved at sikre, at din konto kun kan sende SMS beskeder til tilladte lande. Bemærk, at denne feature kun er tilgængelig for REST API’et.

Hvis det passer til din use case, kan du vælge at blokere alle lande som udgangspunkt og derefter aktivere de udvalgte lande, som du sender SMS-trafik til. Dette er især relevant for kunder, der selv håndterer SMS udsendelser.

Hvis du i stedet tilbyder en SaaS-tjeneste, hvor SMS kommunikation er integreret, og du har kunder over hele verden, så kan det være svært at forudsige på forhånd, hvilke lande der sendes SMS trafik til via din GatewayAPI-konto. I dette tilfælde kan du i stedet overveje at tillade alle lande med undtagelse af specifikke højrisikolande.

Læs mere om, hvordan du konfigurerer geo permissions i vores FAQ-sektion

Øg sikkerheden på systemer, som er forbundet med API’er

Vi ser ofte, at hackere får adgang til de systemer, som er forbundet med vores API’er. På den måde får svindlerne mulighed for at udsende SMS trafik gennem GatewayAPI, selvom sikkerheden ved GatewayAPI i princippet ikke er blevet kompromitteret. 

Vi har derfor samlet en række af de vigtigste sikkerhedsrelaterede fokusområder, som du kan gennemgå og vurdere relevansen af i forhold til dit system og dit setup. Ofte vil en kombination af disse sikkerhedsforanstaltninger få hackere og bots til at gå videre til nemmere mål, medmindre I naturligvis er blevet særskilt udpeget.

 

Opsæt ekstra beskyttelse på login flows

Beskyt dit login flow mod brute force-angreb, hvor en bot afprøver tusindvis af kombinationsmuligheder for at gætte adgangskoden. Dette kan nemmest imødegås ved at opsætte en begrænsning på, hvor mange gange en bruger kan angive en forkert adgangskode inden der indsættes en time-out på login forsøg. Det kan fx være tre forsøg inden en time-out på ét minut indsættes. 

Derudover kan I opfordre til eller kræve tofaktor autentificering ved oprettelse og login på jeres system. Her er det også vigtigt, at I anvender flere af de andre sikkerhedsmekanismer samtidig, så I ikke er sårbare overfor traffic pumping, som blev beskrevet ovenfor.

I kan også overveje at tage reCAPTCHA eller hCAPTCHA i brug til at imødegå angreb fra bots. 

 

Indsæt en rate-limit

Garder jer mod, at de samme beskeder sendes tusindvis af gange inden for et kort tidsrum. Det opnås ved at opsætte en begrænsning på antallet af SMS beskeder, der kan sendes i sekundet/minuttet/timen fra en bruger eller samlet fra jeres konto, så I når at slå bremsen i inden der er blevet udsendt store volumener. Det er særligt relevant, hvis I fx tilbyder software løsninger, hvor SMS kommunikation er integreret, som slutbrugerne kan benytte.

 

Begrænsninger på API endpoints.

Det kan også være en fordel at holde godt styr på alle API endpoints. Selv hvis en af API endpoints’ene er i en testfase, bør der være en begrænsning på, hvor mange beskeder der kan sendes via det endpoint.

Bedste tiltag mod sms svindel

Best practices

Som afrunding har vi oplistet en række best practices, når det kommer til IT sikkerhed: 

  • Vælg en stærk adgangskode til din GatewayAPI konto og de systemer, der er forbundet til de API’er, der tilhører GatewayAPI.
  • Opdater regelmæssigt dine adgangskoder.
  • Sikr at det er de rette personer, som har adgang til GatewayAPI samt tilknyttede systemer, og at deres deres adgangsniveau matcher deres brug af dem. 
  • Sørg for at adgangskoder og API keys ikke er delt nogen usikre steder. Hvis de er det, så lav en ny adgangskode eller generer nye API keys.

Tak for din interesse i dette blogindlæg. Vi håber, at det har gjort dig klogere på, hvilke yderligere sikkerhedstiltag du kan implementere for så vidt som muligt at undgå, at din GatewayAPI konto uforsætligt bliver inddraget i et SMS svindelnummer.

Hvis du har spørgsmål til ovenstående oplysninger, er du altid velkommen til at kontakte os på supportchatten eller på support@gatewayapi.com