In Bezug auf AIT immer auf dem neuesten Stand sein: Wie Sie Ihr Konto vor Artificially Inflated Traffic schützen können
Die Nutzung von A2P-SMS-Nachrichten durch Unternehmen ist heute weiter verbreitet als je zuvor, und SMS werden für eine Vielzahl nützlicher Bereiche wie Massenkommunikation, Benachrichtigungen, Erinnerungen, Marketing, Warnungen und Sicherheit eingesetzt.
Leider hat sich auch die Bedrohungslandschaft weiterentwickelt. Bei der neuesten Bedrohung handelt es sich um Artificially Inflated Traffic (AIT), auch bekannt als Traffic Pumping: Hierbei erzeugen Betrüger über OTP (One-Time-Passwords)-SMS-Nachrichten künstlichen Datenverkehr. Das bedeutet, dass es sich in diesen Fällen nicht um SMS-Betrug handelt, also um Spam oder Phishing.
Vor einigen Jahren war Artificially Inflated Traffic noch eine untergeordnete Bedrohung, doch heute ist AIT ein großes Thema in der Telekommunikationsbranche. Wichtig ist die Frage, was man dagegen unternehmen kann. Auch in den Massenmedien wurde von AIT berichtet, nachdem Elon Musk bekanntgab, dass Twitter (jetzt X) aufgrund von Bot-generiertem SMS-Verkehr ganze 60 Millionen Dollar im Jahr verloren hat.
Dennoch ist das Risiko, von AIT betroffen zu sein, glücklicherweise nach wie vor gering. In Anbetracht des Ausmaßes des Betrugs, der Schäden von mehreren Tausend Euros verursachen kann, sollte man sich jedoch der Gefahr bewusst sein und Vorsichtsmaßnahmen treffen.
Wie funktioniert Artificially Inflated Traffic (AIT)?
Kurz zusammengefasst: Der künstliche Datenverkehr wird von Bots erzeugt, die auf einer Website einen Sign-up-/Login-Flow für OTP-Codes über Mobilfunknummern anfordern, bei denen die Betrüger einen finanziellen Anreiz haben, den Traffic zu steuern. Dies ist nicht auf geleakte API-Schlüssel oder Sicherheitslücken in der GatewayAPI zurückzuführen, sondern liegt einfach daran, dass es den Betrügern gelungen ist, eine Schwachstelle in einer Website auszunutzen, um zahlreiche SMS-Nachrichten zu generieren.
Ein AIT-Betrug läuft in der Regel folgendermaßen ab:
- Ein Betrüger konstruiert oder erwirbt einen Bot, der gefälschte Konten erstellen kann.
- Der Betrüger findet einen anfälligen Datenfluss und setzt den Bot frei, der dann OTP-Nachrichten an eine Reihe von Mobiltelefonnummern sendet, z. B. an eine Reihe von 10.000 Mobiltelefonnummern, für die der Betrüger einen finanziellen Anreiz hat, den Datenverkehr zu steuern.
- Der Betrüger beansprucht die Einnahmen.
- Dieser Betrug kann dann immer und immer wieder wiederholt werden.
Als Inhaber des Kontos, von dem aus die OTP-Nachrichten versendet werden, tragen Sie höchstwahrscheinlich die finanzielle Verantwortung, wenn die Systeme die Nachrichten als zugestellt registrieren. Häufig werden SMS-Nachrichten in solchen Fällen an Mobilfunknetze in abgelegenen Ländern gesendet, wo die Kosten pro SMS hoch sind, was zur Folge hat, dass sich die Kosten schnell summieren können.
Beispiele für Flows, bei denen OTP-Meldungen enthalten sind
Nachfolgend finden Sie einige Beispiele für die gängige Verwendung von OTP-SMS-Nachrichten. Sie zeigen, in welchen Zusammenhängen OTP-Nachrichten tagtäglich eingesetzt werden, um für Unternehmen und Endnutzer einen großen Mehrwert zu generieren. Leider schlagen Betrüger bei unzureichenden Sicherheitsvorkehrungen häufig genau bei solchen Flows zu.
- Verifizierung neuer Nutzerregistrierungen: Wenn ein neuer Benutzer versucht, ein Konto zu erstellen, wird er möglicherweise aufgefordert, seine Telefonnummer einzugeben. An diese Nummer wird dann ein einmaliger Code gesendet. Der Nutzer muss diesen Code auf der Website eingeben, um den Registrierungsvorgang abzuschließen. Dieser Vorgang hilft bei der Bekämpfung von gefälschten Konten und vor Betrug.
- Zugang zu Konten: OTP-Nachrichten per SMS können Nutzern helfen, erneut auf ihr Konto zuzugreifen, wenn sie ihr Passwort vergessen haben. Wenn ein Nutzer sein Passwort zurücksetzen möchte, kann das System einen einmaligen Code an dessen registrierte Telefonnummer senden. Der Nutzer muss dann diesen Code eingeben, um seine Identität zu bestätigen und sein Passwort zurückzusetzen. Auf diese Weise wird sichergestellt, dass nur der richtige Nutzer das Passwort zurücksetzen kann.
- Systeme für Abstimmungen: Bei Online-Abstimmungen, die von beliebten Fernsehsendungen bis hin zu Abstimmungen in einer Wohnungsgenossenschaft reichen können, können die Organisatoren einen einmaligen Code per SMS an alle Teilnehmenden senden, um sicherzustellen, dass jede Person nur einmal abstimmt.
- Eine Arztpraxis kann OTPs verwenden, um die Identität der Patienten zu überprüfen, wenn diese online Termine buchen oder auf Gesundheitsinformationen zugreifen. Auf diese Weise wird sichergestellt, dass nur der rechtmäßige Patient Zugang zu seinen eigenen Informationen erhält, was eine zusätzliche Sicherheitsebene darstellt.
- Validierung von Nutzerbewertungen: Wenn ein Unternehmen über eine Online-Plattform verfügt, über die Kunden ihr Feedback abgeben oder Produkte bewerten können, können zur Überprüfung der Identität des Bewerters OTP per SMS versendet werden. Wenn Kunden eine Bewertung abgeben, kann ein einmaliger Code an ihre Telefonnummer gesendet werden. Der Kunde muss dann diesen Code eingeben, um seine Bewertung zu bestätigen. Dies kann Unternehmen dabei helfen, authentische und vertrauenswürdige Bewertungen zu gewährleisten.
- Zahlungsgateways: Wenn ein Anwender eine Online-Transaktion durchführt, können Zahlungsgateways per SMS gesendete OTPs verwenden, um die Transaktion zu bestätigen, wodurch die Sicherheit erhöht wird.
Wie können Sie sich vor AIT schützen?
Die Betrugsmethoden werden im Lauf der Jahre in allen Branchen immer ausgefeilter. Ein jüngstes Beispiel hierfür zeigen Betrugsfälle in Verbindung mit Spotify: Mit Hilfe von KI-generierten Songs und Bots, die diese Songs abspielen, können Hintermänner Spotify und die Künstler um große Summen bringen. Diese Art des Betrugs gab es vor wenigen Jahren noch nicht.
Zwar gibt es keine spezifische Strategie zur Bekämpfung aller Formen von AIT, doch können Unternehmen und Organisationen bestimmte vorbeugende Maßnahmen ergreifen, die das Risiko eines Angriffs erheblich verringern können. Wir gehen diese Strategien im Folgenden durch.
Geo-Permissions-Tools
Um Ihr GatewayAPI-Konto wirksam vor Missbrauch zu schützen, empfehlen wir Ihnen unbedingt die Verwendung des Geo-Permissions-Tools, das in Ihrem GatewayAPI-Dashboard verfügbar ist. Auf diese Weise wird sichergestellt, dass Ihr Konto nur SMS-Nachrichten an autorisierte Länder senden kann.
So können Sie den SMS-Verkehr in all jene Länder blockieren, in die Sie keine Nachrichten versenden. Diese Vorgehensweise ist vor allem dann relevant, wenn Sie den SMS-Versand selbst steuern und somit die volle Kontrolle darüber haben, wohin die SMS gesendet werden.
Wenn die SMS-Kommunikation hingegen über einen SaaS-Dienst oder eine IT-Plattform erfolgt und Sie Kunden in der ganzen Welt haben, kann es schwierig sein, vorherzusagen, in welche Länder SMS-Nachrichten gesendet werden. In diesem Fall können Sie stattdessen erwägen, alle Länder außer bestimmten Hochrisikoländern zuzulassen.
In unserem FAQ-Bereich können Sie mehr über die Einrichtung von Geo Permissions erfahren. Beachten Sie bitte, dass diese Funktion nur für die REST-API verfügbar ist.
Hinzufügen von reCAPTCHA, hCAPTCHA oder KeyCAPTCHA
Sie können auch reCAPTCHA (Ich bin kein Roboter), hCAPTCHA (Alle Bilder mit Ampeln auswählen) oder KeyCAPTCHA (Puzzle zusammensetzen) in den Flow integrieren, aus dem die OTP-Nachricht generiert wird, um Bot-Aktivitäten und automatischen Missbrauch zu verhindern.
Dies führt jedoch zu einer gewissen Verzögerung, was bei der Marketing- oder Vertriebsabteilung nicht immer gut ankommt, wenn es um Sign-Up-Flows geht. Dies kann jedoch auf eine Art und Weise erfolgen, welche die Benutzerfreundlichkeit nicht wesentlich beeinträchtigt.
Das Einrichten von Einschränkungen und Zeitverzögerungen
Sie können in Ihrem eigenen System Beschränkungen einrichten, um wiederholte Anfragen von identischen IP-Adressen, Geräten oder Telefonnummern zu verhindern, indem Sie eine maximale Anzahl von Anfragen pro Sekunde/Minute/Stunde definieren.
Auch der Einsatz von Zeitverzögerungen, bei denen sich die Zeitspanne zwischen autorisierten Eingaben exponentiell erhöht, kann Bot-Aktivitäten wirksam stoppen.
Wie kann man AIT erkennen?
Wenn es trotz diverser Sicherheitsmaßnahmen zu einem solchen Angriff kommt, ist es in manchen Fällen möglich, AIT frühzeitig zu stoppen. Es kommt häufig vor, dass Betrüger zunächst nur wenige Nachrichten verschicken und dann das Gaspedal durchtreten – vorzugsweise am Wochenende oder nach Feierabend, wenn die Aufmerksamkeit geringer ist.
Sie können auch über einen längeren Zeitraum hinweg Nachrichten verschicken, die unbemerkt bleiben, wie das Twitter-Beispiel gezeigt hat.
Um AIT-Betrügereien frühzeitig zu stoppen, empfehlen wir Ihnen, auf folgende Punkte zu achten:
- Verfolgen Sie die Konvertierungsrate der OTP-Nachrichten: Behalten Sie im Auge, wie viele Personen den ihnen zugesendeten Code eingeben. Ein Rückgang der Konvertierungsrate kann ein Hinweis darauf sein, dass Sie besonders achtsam sein sollten.
- Prüfen Sie, ob fortlaufende Zahlenreihen bei den Telefonnummern verwendet werden: Die Betrüger erwerben oft Nummernserien, was bedeutet, dass die eingegebenen Nummern bis auf die letzten Ziffern identisch sind, z. B. +4542688353, +4542688354, +4542688355, +4542688356
- Achten Sie auf verdächtige Muster: Werden viele Nachrichten in Länder versendet, in denen Ihr Unternehmen keine Nutzer hat? Werden Nachrichten zu Zeiten verschickt, zu denen normalerweise keine Nachrichten verschickt werden? Oder haben Sie einen Anstieg des Traffics festgestellt, ohne dass Sie sich diesen erklären können? All dies können Hinweise darauf sein, dass Sie besonders achtsam sein sollten.
Abschließende Anmerkungen
Wir beobachten die Sicherheitslage ständig und informieren Sie laufend über neue potenzielle Risiken. Wir verfolgen in Bezug auf SMS-Betrug jeglicher Art eine Null-Toleranz-Politik und arbeiten ständig an der Entwicklung neuer Tools.
Darüber hinaus bemühen wir uns stets, Kreditlimits einzurichten, die der Nutzung des jeweiligen GatewayAPI-Kontos entsprechen, wodurch der Schaden erheblich verringert werden kann. Dies ist ein heikler Balanceakt, denn wie bei allen neuen Maßnahmen müssen wir sicherstellen, dass wir den legitimen SMS-Verkehr nicht stören.
Wenn Sie den Verdacht haben, dass Ihr Konto Ziel eines AIT-Betrugs geworden ist, kontaktieren Sie uns bitte umgehend. Wir tun immer unser Bestes, um schnell auf Betrugsfälle zu reagieren – sowohl zu Ihrer Sicherheit als auch zur Sicherung des Vertrauens in die A2P-SMS-Branche insgesamt.
Mathias ist auf SMS-Routing spezialisiert und kennt sich bestens mit den neuesten Entwicklungen in der SMS-Branche aus. Er ist außerdem Regional Sales Director in Deutschland und kennt alle unsere wichtigen Geschäftskunden und Partner weltweit mit Vornamen.