Schützen Sie Ihr GatewayAPI-Konto vor Betrügern
SMS-Betrug ist weltweit ein großes Problem, wodurch viele Menschen Opfer von Belästigungen werden oder über SMS ihrer Wertgegenstände und Informationen beraubt werden.
Auch Unternehmen, die A2P-SMS-Traffic versenden, sind zunehmend von solchen Betrugsfällen betroffen, indem ihre Konten im Zuge verschiedener Betrugsmaschen gehackt werden.
Bei GatewayAPI nehmen wir Sicherheit sehr ernst und haben eine Reihe von Sicherheitsmaßnahmen eingeführt, darunter Anforderungen für URL-Whitelisting und 2FA bei der Anmeldung sowie Tools, die dazu beitragen können, Ihr Konto vor Missbrauch zu schützen. Darüber hinaus beobachten wir kontinuierlich den Traffic und greifen ein, wenn wir etwas Ungewöhnliches feststellen.
Dennoch können wir nicht alles abfangen. Daher empfehlen wir unseren Kunden, die Sicherheit ihres GatewayAPI-Kontos sowie die Sicherheit der Systeme zu überprüfen, die mit unseren APIs verbunden sind, um sicherzustellen, dass keine Schwachstellen vorhanden sind.
Im Folgenden gehen wir auf die verschiedenen Arten von Angriffen ein, die derzeit stattfinden, und darauf, was Sie tun können, um sich vor diesen zu schützen.
Beispiele für SMS-Betrugsmaschen
Es gibt viele verschiedene SMS-Betrugsmaschen, bei denen das Ziel der Betrüger in der Regel darin besteht, sich durch verschiedene ausgeklügelte Methoden zu bereichern.
Damit Sie wissen, wie Betrüger sich Zugang zu Ihrem Konto verschaffen oder Ihren Sign-up-Flow ausnutzen können, haben wir hier einige der häufigsten SMS-Betrugsmaschen aufgeführt:
- SMS-Phishing-Nachrichten (auch bekannt als Smishing) mit einem Link, bei denen es das Ziel ist, Informationen vom Benutzer zu erhalten oder den Benutzer zum Herunterladen von Malware zu bewegen.
- SMS-Spam, der beispielsweise für Kreditdienste und Seiten mit nicht jugendfreien Inhalten wirbt oder politische Botschaften enthält.
- SMS-Traffic-Pumping, auch bekannt als SMS-Betrug mit Zollgebühren, SMS 2FA Premium Rate Fraud oder Artificially Inflated Traffic bei dem One-Time-Passwörter (OTPs) bei den Sign-up-Flows ausgenutzt werden. In diesem Fall fordert ein Bot Tausende von Verifizierungscodes an, die an Nummern gesendet werden, wobei die Betrüger einen Anteil an den erzielten Einnahmen erhalten.
Im Folgenden können Sie mehr darüber erfahren, was Sie tun können, um sicherzustellen, dass Ihr Konto möglichst nicht in eine der oben genannten Betrugsmaschen verwickelt wird.
IP-Whitelisting
In Ihrem GatewayAPI-Dashboard haben Sie die Möglichkeit, ein IP-Whitelisting einzurichten, das sicherstellt, dass nur autorisierte IP-Adressen SMS-Nachrichten von Ihrem GatewayAPI-Konto senden können.
Diese Sicherheitsmaßnahme stellt sicher, dass, selbst im Falle einer Kompromittierung Ihrer API-Schlüssel oder Ihres Systems, andere Parteien nicht in der Lage sind, Ihr Konto für den Versand von SMS-Nachrichten zu nutzen. Dies ist eine schnelle und wirksame Methode, um die SMS-Sicherheit Ihres GatewayAPI-Kontos erheblich zu verbessern.
Erfahren Sie hier mehr darüber, wie Sie IP-Whitelists auf der GatewayAPI-Plattform einrichten.
Geo Permissions
Über Ihr GatewayAPI-Dashboard können Sie Geo Permissions konfigurieren. Diese schützen Ihr Konto vor Missbrauch, indem sichergestellt wird, dass von Ihrem Konto SMS-Nachrichten nur in zulässige Länder gesendet werden können. Diese Funktion kann von allen GatewayAPI-Kunden kostenlos genutzt werden.
Falls für Ihren Anwendungsfall geeignet, können Sie alle Länder standardmäßig sperren und dann die ausgewählten Länder, in die Sie SMS senden, aktivieren. Dies ist insbesondere für Kunden relevant, die selbst SMS versenden.
Wenn Sie stattdessen einen SaaS-Dienst mit integrierter SMS-Kommunikation anbieten und Kunden auf der ganzen Welt haben, kann es schwierig sein, im Voraus zu wissen, in welche Länder der SMS-Verkehr über Ihr GatewayAPI-Konto gesendet wird. In diesem Fall könnten Sie stattdessen erwägen, alle Länder außer bestimmten Hochrisikoländern zuzulassen.
Weitere Informationen zur Konfiguration unserer Geo Permissions finden Sie in unserem FAQ-Bereich.
Erhöhen Sie die Sicherheit von Systemen, die mit APIs verbunden sind
Wir sehen oft, dass sich Hacker Zugriff auf die Systeme verschaffen, die mit unseren APIs verbunden sind. Auf diese Weise erhalten die Betrüger die Möglichkeit, SMS-Traffic über die GatewayAPI zu senden, obwohl die Sicherheit der GatewayAPI im Prinzip nicht kompromittiert wurde.
Wir haben daher eine Reihe wichtiger sicherheitsrelevanter Schwerpunktbereiche zusammengestellt, die Sie sich ansehen und auf ihre Relevanz für Ihr System und Ihr Set-up prüfen sollten. Eine Kombination dieser Sicherheitsmaßnahmen führt in vielen Fällen dazu, dass Hacker und Bots sich leichtere Ziele suchen, es sei denn, Sie wurden gezielt ausgewählt.
Richten Sie einen zusätzlichen Schutz für die Log-in-Flows ein
Schützen Sie Ihren Log-in-Flow vor Brute-Force-Angriffen, bei denen ein Bot Tausende von möglichen Kombinationen ausprobiert, um das Passwort zu erraten. Dem kann leicht entgegengewirkt werden, indem ein Limit festgelegt wird, wie oft ein Benutzer ein falsches Kennwort eingeben kann, bevor ein Timeout für die Log-in-Versuche aktiviert wird. Es können beispielsweise drei mögliche Versuche festgelegt werden, bevor ein Timeout von einer Minute aktiviert wird.
Darüber hinaus können Sie bei der Erstellung und Anmeldung in Ihrem System eine Zwei-Faktor-Authentifizierung vorschlagen oder verlangen. Auch hierbei ist es wichtig, dass Sie zugleich mehrere der anderen Sicherheitsmechanismen nutzen, um nicht dem Risiko des oben beschriebenen Traffic-Pumping ausgesetzt zu werden.
Um Angriffen von Bots entgegenzuwirken, können Sie des Weiteren die Verwendung von reCAPTCHA oder hCAPTCHA in Betracht ziehen.
Setzen Sie ein Rate-Limit ein
Schützen Sie sich davor, dass dieselben Nachrichten innerhalb kurzer Zeit tausende Male gesendet werden können. Dies wird erreicht, indem Sie die Anzahl der SMS-Nachrichten begrenzen, die pro Sekunde/Minute/Stunde von einem Benutzer oder insgesamt von Ihrem Konto versendet werden können, sodass Sie rechtzeitig eingreifen können, bevor große Mengen versendet werden. Dies ist besonders relevant, wenn Sie beispielsweise Softwarelösungen mit integrierter SMS-Kommunikation anbieten, welche die Endbenutzer nutzen können.
Beschränkungen für API-Endpoints
Dies kann auch von Vorteil sein, um die Kontrolle über alle API-Endpoints zu behalten. Auch wenn sich einer der API-Endpoints in einer Testphase befindet, sollte eine Beschränkung für die Anzahl der Nachrichten festgelegt werden, die über diesen Endpoint gesendet werden können.
Best Practices
Um den Blogbeitrag abzurunden, listen wir hier einige Best Practices zum Thema IT-Sicherheit auf:
- Wählen Sie ein sicheres Passwort für Ihr GatewayAPI-Konto und die Systeme, die mit den zu GatewayAPI gehörenden APIs verbunden sind.
- Aktualisieren Sie Ihre Passwörter regelmäßig.
- Stellen Sie sicher, dass die richtigen Personen Zugang zur GatewayAPI und zu den zugehörigen Systemen haben und dass deren Zugangsstufe der Nutzung dieser Systeme entspricht.
- Stellen Sie sicher, dass Passwörter und API-Schlüssel nirgendwo auf unsichere Weise weitergegeben werden. Falls dieser Fall dennoch eintreten sollte, erstellen Sie ein neues Passwort oder generieren Sie neue API-Keys.
Vielen Dank für Ihr Interesse an diesem Blogbeitrag. Wir hoffen, dass Sie nun gut darüber informiert sind, welche zusätzlichen Sicherheitsmaßnahmen Sie ergreifen können, um so weit wie möglich zu verhindern, dass Ihr GatewayAPI-Konto Opfer eines SMS-Betrugs wird.
Wenn Sie Fragen zu den oben stehenden Informationen haben, können Sie uns jederzeit im Support-Chat oder unter support@gatewayapi.com kontaktieren.