Gut gewappnet gegen AIT-Betrug

Durch das Zusammenspiel verschiedener Partner, Netzwerke, Gateways und Protokolle kann Business Messaging reibungslos funktionieren. Doch je mehr Akteure an diesem Prozess beteiligt sind, desto größer ist die Gefahr von Schwachstellen und damit von Angriffen durch Betrüger. Um dem entgegenzusteuern und die Sicherheit und das Vertrauen zu wahren, sind Wachsamkeit und eine gute Zusammenarbeit auf allen Ebenen gefragt.

Immer mehr zum Problem wird eine Betrugsmasche namens „Artificially Inflated Traffic“ (AIT). Zum Schutz davor sind gewisse Präventivmaßnahmen erforderlich.

Was ist Artificially Inflated Traffic (AIT)?

Als Artificially Inflated Traffic (AIT) oder SMS Traffic Pumping wird eine Betrugsmasche bezeichnet, bei der Betrüger den SMS-Traffic über mobile Anwendungen oder Websites künstlich hochtreiben und daran Geld verdienen. Dazu nutzen sie beispielsweise ein Telefonnummernfeld, um ein Einmalkennwort (OTP), einen Link zum Herunterladen einer App oder eine andere Information per SMS anzufordern. Ohne angemessene Sicherheitsvorkehrungen und Kontrollmechanismen können sie so Nachrichten an eine Vielzahl von Telefonnummern eines bestimmten Mobilfunknetzbetreibers (MNO) senden lassen und von den dafür gezahlten Gebühren profitieren.

Was das Business Messaging betrifft, so stellen AIT-Betrug, Grey Routes und SMS-Phishing die größten Risiken dar. Sie können nicht nur erhebliche finanzielle Verluste zur Folge haben, die von den Betreibern und Nutzern getragen werden müssen, sondern auch die Kundenbeziehungen in Mitleidenschaft ziehen und dem Unternehmensimage schaden.

Wie kann ich erkennen, ob meine Konten von AIT-Betrug betroffen sind?

Ein typisches Indiz für AIT-Betrug ist ein sprunghafter Anstieg ausgehender Nachrichten, die an eine Reihe zusammenhängender Nummern oder Nummern mit ähnlichem Muster versendet wurden – oft an weit entfernte Zielländer. Wer SMS zum Versand von Einmalkennwörtern nutzt, wird zudem feststellen, dass der Verifizierungsprozess in solchen Fällen nicht abgeschlossen wurde. Sprich, die anfordernde Person hat das zugesendete Einmalkennwort nicht eingegeben. Meistens werden solche betrügerischen Aktivitäten jedoch erst einige Zeit später bemerkt.

So schützen wir Sie vor AIT-Betrug

Mit den richtigen Tools und Technologien ist es möglich, AIT-Betrug frühzeitig zu erkennen, zu minimieren und präventiv dagegen vorzugehen. Wir bei Esendex haben uns den höchsten Sicherheitsstandards verpflichtet und sind nach der international anerkannten Norm ISO 27001 zertifiziert. Wir arbeiten kontinuierlich daran, den Betrugsschutz für unsere Kundschaft weiter zu verbessern. Zum Beispiel durch:

Mustererkennung/Echtzeitüberwachung:

• Mithilfe verschiedener Kennzahlen und Datenanalysetools suchen wir nach Anomalien. Auf diese Weise lassen sich unter anderem auch mögliche AIT-Betrugsfälle aufdecken.

Verstärkte Sicherheit:

• Die Multi-Faktor-Authentifizierung schafft zusätzliche Sicherheit.

• Wenn wir oder ein Partner einen AIT-Betrug vermuten, ergreifen wir umgehend Maßnahmen, um ihn mit Sicherheit zu bestätigen, zu stoppen und den betroffenen Kunden zu melden.

Routing-Strategie:

• Wir arbeiten daran, die Zahl der Prozessbeteiligten auf möglichst wenige, vertrauenswürdige Partner zu beschränken.

• Wir analysieren laufend die Aktivitäten in den Versand- und Zielländern je Konto.

Zielländer mit hohem Risiko:

• Wir führen eine Liste bekannter Hochrisikoländer für den SMS-Versand.

Informationsaustausch:

• Bei uns profitieren Kunden von individuellem Support sowie länderspezifischen Informationen über die mit betrügerischen Aktivitäten verbundenen Bedrohungen, die jeweils geltenden Rechtsvorschriften, Best Practices und die Risiken, die schlechte Beschaffungsprozesse bergen.

So können Sie sich zusätzlich vor AIT-Betrug schützen

Verbraucher:innen wünschen sich einerseits ein Höchstmaß an Datenschutz und Datensicherheit, andererseits aber einen schnellen und einfachen Zugang zu Unternehmen. Diese beiden widersprüchlichen Wünsche miteinander in Einklang zu bringen, ohne unnötige Risiken einzugehen, ist eine große Herausforderung für Unternehmen. Unser Tipp:

Nutzen Sie die Ihnen zur Verfügung stehenden Tools und Technologien.

• Multi-Faktor-Authentifizierung: Bereits kleine Änderungen an der User Experience können automatisierte Skripte und Bots abwehren. Beispiel: Fordern Sie Nutzer:innen dazu auf, ihre E-Mail-Adresse zu bestätigen, bevor sie die Zwei-Faktor-Authentifizierung nutzen können.

• Nutzen Sie CAPTCHA und ähnliche Tools, um sich bei Telefonnummernfeldern gegen Betrug mit Bots abzusichern.

• Konfigurieren Sie Ihr Konto so, dass Nachrichten nur an Länder gesendet werden können, in denen Ihr Unternehmen tätig ist.

• Sprechen Sie mit Ihrem Esendex Account Management Team über die Einrichtung von Kostenlimits, um potenzielle Schäden zu begrenzen.

• Erwägen Sie den Einsatz von Unterkonten, um den SMS-Versand von Einmalkennwörtern vom restlichen SMS-Versand zu trennen. Das reduziert die Gefahr, dass AIT-Traffic bei Marketingkonten mit hohem Volumen zu lange unentdeckt bleibt.

• Setzen Sie Rate Limits, z. B. 1 Nachricht pro X Sekunden pro gleichem Nummernkreis.

• Überwachen Sie Ihre Conversion Rates. Wenn Sie bemerken, dass diese fallen (speziell in einem unerwarteten Land), lohnt sich ein genauer Blick darauf, da dies ein Anzeichen für AIT-Betrug sein kann.

Gemeinsam an einem Strang ziehen

Sie sind nicht allein! Nur durch gemeinsame Anstrengungen von Netzwerken sowie von Ihrem und unserem Team ist eine erfolgreiche Betrugsbekämpfung und -prävention möglich. Wir stehen nie still, sondern entwickeln uns kontinuierlich weiter. Proaktiv suchen wir nach Möglichkeiten, um unsere Systeme und Lösungen noch sicherer für Sie zu machen.

Da wir in jedem Land, in dem wir tätig sind, über engagierte Produkt-, Traffic- und Compliance-Profis verfügen, erhalten Sie immer schnelle Hilfe. Wenden Sie sich also jederzeit an uns, wenn Sie irgendwelche Bedenken haben.