På forkant med AIT: Sådan beskytter du din konto mod Artificially Inflated Traffic
Du kan i dette blogindlæg blive meget klogere på Artificially Inflated Traffic (AIT), samt hvad du kan gøre for at beskytte dig imod det.
Virksomheders brug af A2P SMS beskeder er i dag mere udbredt end nogensinde før, hvor SMS anvendes til en lang række gavnlige formål, herunder massekommunikation, notifikationer, påmindelser, marketing, alarmer og sikkerhed.
Trusselsbilledet er desværre også fulgt med, og det nyeste skud på stammen er Artificially Inflated Traffic (AIT), også kaldt Traffic Pumping, hvor svindlere genererer kunstig trafik via OTP (one-time-passwords) SMS-beskeder. Der er dermed hverken tale om spam eller phishing, som ellers normalt er det, tankerne falder på, når man taler om SMS-svindel.
For få år siden var Artificially Inflated Traffic en perifer trussel, men i dag er AIT det helt store emne inden for telebranchen med fokus på, hvad der kan gøres for at begrænse det. Omtalen af AIT nåede helt ud i massemedierne, da Elon Musk fortalte, at Twitter (nu X) tabte hele $60 mio. om året på grund af botgenereret SMS-trafik.
Med det sagt er risikoen for, at man bliver ramt af AIT, heldigvis stadig lav. På grund af størrelsesordenen på svindlen, der kan løbe op i flere hundrede tusinde kroner, så er det dog vigtigt, at man er opmærksom på truslen og tager nogle forholdsregler.
Hvordan fungerer Artificially Inflated Traffic (AIT)?
Kort fortalt skabes den kunstige trafik ved hjælp af bots, der anmoder et sign up/login flow på en hjemmeside om OTP koder, hvor der anvendes mobilnumre, som svindlerne har et økonomisk incitament til at skabe trafik til. Det skyldes dermed ikke lækkede API-nøgler eller en sikkerhedsbrist ved GatewayAPI, men simpelthen at svindlerne har kunnet udnytte en sårbarhed på en hjemmeside til at generere de mange SMS-beskeder.
AIT-svindel udfolder sig typisk på følgende måde:
- En svindler konstruerer eller anskaffer en bot, der kan generere falske konti.
- Svindleren finder et sårbart flow og slipper botten fri, hvorefter botten trigger OTP-beskeder til en række mobilnumre, fx en serie på 10.000 mobilnumre, som svindleren har et økonomisk incitament til at skabe trafik til.
- Svindleren gør krav på indtægterne.
- Dette nummer kan svindleren derefter gentage igen og igen.
Som ejer af den konto, OTP-beskederne sendes fra, vil du med stor sandsynlighed bære det økonomiske ansvar, når systemerne registrerer beskederne som leverede. Det ses ofte, at SMS-beskederne sendes til mobilnetværk i fjerntliggende lande, hvor prisen pr. SMS er høj, hvilket også betyder, at udgiften hurtigt kan løbe op.
Eksempler på flows hvor OTP-beskeder indgår
Nedenfor kan du se eksempler på gængs brug af OTP SMS-beskeder, hvilket giver et indblik i de sammenhænge, hvor OTP-beskeder dagligt anvendes til at skabe stor værdi for virksomheder og slutbrugere. Det er desværre i sådanne flows, at svindlerne ofte slår til, hvis sikkerheden er utilstrækkelig.
- Verificering af nye brugerregistreringer: Når en ny bruger forsøger at oprette en konto, kan de blive bedt om at indtaste deres telefonnummer. En engangskode sendes derefter til dette nummer. Brugeren skal indtaste denne kode på hjemmesiden for at fuldføre registreringsprocessen. Dette hjælper med at bekæmpe falske konti og svindel.
- Adgang til konti: OTP-beskeder via SMS kan hjælpe brugere med at gendanne adgangen til deres konto, hvis de har glemt deres adgangskode. Når brugeren vælger at nulstille deres adgangskode, kan systemet sende en engangskode til deres registrerede telefonnummer. Brugeren skal derefter indtaste denne kode for at verificere deres identitet og fortsætte med nulstillingsprocessen. Dette hjælper med at sikre, at det kun er den rette bruger, der kan nulstille adgangskoden.
- Stemmesystemer: Ved onlineafstemninger, som kan omfatte alt fra populære tv-shows til afstemninger i en boligforening, kan arrangørerne sende en engangskode via SMS til hver deltager for at sikre, at hver person kun stemmer én gang.
- En lægepraksis kan bruge OTP’er til at verificere patientens identitet, når de booker online aftaler eller får adgang til sundhedsoplysninger. Dette sikrer, at kun den retmæssige patient har adgang til deres egne oplysninger, hvilket giver et ekstra lag af sikkerhed.
- Validering af brugeranmeldelser: Hvis en virksomhed har en online platform, hvor kunder kan give feedback eller anmelde produkter, kan de bruge OTP via SMS til at bekræfte anmelders identitet. Når en kunde indsender en anmeldelse, kan en engangskode blive sendt til deres telefonnummer. Kunden skal derefter indtaste denne kode for at bekræfte deres anmeldelse. Dette kan hjælpe virksomheden med at sikre autentiske og pålidelige anmeldelser.
- Betalingsgateways: Når en bruger foretager en online transaktion, kan betalingsgateways bruge OTP’er sendt via SMS til at bekræfte transaktionen, hvilket øger sikkerheden.
Hvordan kan man beskytte sig mod AIT?
Svindelnumre bliver mere og mere sofistikeret i alle industrier, som årene går. Bare tag et nyligt eksempel med Spotify, hvor bagmænd via AI-generede sange og bots, der afspiller de AI-generede sange, kan berøve Spotify og kunstnere for store beløb. Denne type svindel fandtes ikke for bare nogle år tilbage.
Selvom der ikke findes en specifik strategi til at bekæmpe alle former for AIT, kan virksomheder og organisationer indføre visse forebyggende foranstaltninger, der kan mindske risikoen for et angreb betydeligt. Dem vil vi gennemgå nedenfor.
Geo Permissions værktøj
For effektivt at beskytte din GatewayAPI-konto mod misbrug, anbefaler vi på det kraftigste, at du anvender Geo Permissions-værktøjet, som er tilgængelig i dit GatewayAPI dashboard. Dette sikrer, at din konto kun kan sende SMS-beskeder til godkendte lande.
Du kan her vælge at blokere for SMS-trafik til alle lande med undtagelse af de lande, hvortil du faktisk sender beskeder. Denne fremgangsmåde er især relevant, hvis du selv styrer SMS-udsendelserne, og du dermed har fuld kontrol over, hvor der sendes til.
Har du derimod fx en SaaS-tjeneste eller en IT-platform, hvor SMS kommunikation er integreret, og du har kunder over hele verden, kan det være svært at forudsige, hvilke lande der sendes SMS’er til. I dette tilfælde kan du i stedet overveje at tillade alle lande med undtagelse af specifikke højrisikolande.
Læs mere om, hvordan du konfigurerer Geo Permissions i vores FAQ-sektion. Bemærk, at denne feature kun er tilgængelig for REST API’et.
Tilføjelse af reCAPTCHA, hCAPTCHA eller KeyCAPTCHA
Du kan også indsætte reCAPTCHA (I’m not a robot), hCAPTCHA (vælg alle billeder med lyskryds) eller KeyCAPTCHA (saml puslespillet) på det flow, hvorfra OTP-beskeden genereres for at forhindre botaktivitet og automatiseret misbrug.
Dette vil naturligvis tilføre en smule friktion, hvilket ikke altid falder i god jord hos marketing- eller salgsafdelingen, når det kommer til sign up flows. Dog kan det gøres på en god måde, så det ikke går nævneværdigt ud over brugeroplevelsen.
Opsæt begrænsninger og tidsforsinkelser
Du kan i dit eget system opsætte begrænsninger, som kan gardere dig mod gentagne anmodninger fra identiske IP-adresser, enheder eller telefonnumre ved at fastsætte et maksimalt antal anmodninger i sekundet/minuttet/timen.
Brugen af tidsforsinkelser, hvor tidsintervallet mellem tilladte indtastninger stiger eksponentielt, er også noget, der kan sætte en effektiv stopper for bot-aktivitet.
Hvordan opdager man AIT?
Hvis uheldet er ude på trods af diverse sikkerhedsforanstaltninger, er det i nogle tilfælde muligt at standse AIT i opløbet. Det ses ofte, at svindlere gennemfører mindre udsendelser til at starte med, og derefter trykker på speederen – gerne i weekenden eller efter arbejdstid, hvor man ikke er lige så opmærksom.
Svindlerne kan også finde på at holde det kørende i længere tid, hvor der gradvist udsendes beskeder på et niveau, der holder sig under radaren, ligesom eksemplet med Twitter.
Vi anbefaler at holde øje med følgende for at fange AIT-svindel i opløbet:
- Spor konverteringsraten på OTP-beskederne: Hold øje med hvor mange der indtaster den tilsendte kode. Et fald i konverteringsraten kan tyde på, at du skal være ekstra varsom.
- Kig om der bliver anvendt fortløbende nummerserier: Svindlere har ofte anskaffet nummerserier, hvilket bevirker, at de indtastede numre typisk vil være identiske med undtagelse af de sidste cifre, fx +4542688353, +4542688354, +4542688355, +4542688356.
- Se efter mistænkelige mønstre: Bliver der sendt mange beskeder til lande, hvor din virksomhed ikke har nogen brugere? Bliver der sendt beskeder på tidspunkter, hvor der normalt ikke sendes beskeder? Eller har du set en stigning i trafikken uden at kunne forklare hvorfor? Så kunne det igen tyde på, at du skal være ekstra varsom.
Stort fokus på potentielle trusler
Vi har konstant øje på trusselsbilledet og sørger løbende for at informere jer om nye potentielle risici. Vi har nultolerance over for SMS svindel i alle afskygninger og arbejder løbende på at udvikle nye sikkerhedsværktøjer.
Derudover gør vi løbende vores bedste for at opsætte kreditgrænser, som matcher den brug, der er på den specifikke GatewayAPI konto, hvilket kan være med til at formindske skaden betydeligt. Det er en fin balancegang, da vi ved alle nye tiltag samtidig skal sørge for, at vi ikke forstyrrer legitim SMS trafik.
Hvis du har mistanke om, at din konto er blevet udsat for AIT-svindel, beder vi dig straks kontakte os. Vi gør vores bedste for at reagere hurtigt på svindel, både for din sikkerheds skyld og for at bevare tilliden til A2P SMS-industrien som helhed.
Om forfatteren
Mathias er specialist i SMS routing og har fingeren på pulsen med alt hvad der rører sig inden for SMS industrien. Han er derudover Regional Sales Director i Tyskland og er på fornavn med alle vores større forretningskunder og samarbejdspartnere globalt.